「Webサイトにリンク切れのURLがあるとセキュリティ的に何が問題なのでしょう?」
背景)
セキュリティの勉強をしてる最中に、管理しているWebサイト内でリンク切れのURLがあるとセキュリティ的に問題があるとの記載を見たのだが、何が問題なのかわからず、自身の見解があっているのかを知りたい。
まずネットで調べてみると「ユーザが混乱するため」や「クローリングの機会損失」というものが何件もヒットしているが、これは、セキュリティ的な問題ではなさそう。。。
次に、404エラーを表示させてしまうため、攻撃者に必要以上の情報を与えてしまうため、他の攻撃の足掛かりとなってしまう、といった事が問題なのかと考えた。
でも、基本的にエラーが発生した時に共通のエラーページに飛ぶようにコーディングしていればあまり問題はない気がする。。。
⇒直接的な問題にはならなそう。。。
外部リンクの話になってしまいます,意図したリンク先のドメインの有効期限が切れてしまっている場合のリンク切れだと私は思います.
有効期限が切れたドメインを悪意のある人物が使い出した場合,リンクが貼られているWebサイトのユーザを悪意のあるページへ案内しているように見えます.
先に回答されている
@PondVillege 氏と同様の意見で恐縮です。
もう少し噛み砕いて回答させてもらうと、
リンク切れの場合には、「ドメインの失効」という可能性があります。
※非常に口語的な例になりますので
詳細に理解されたい場合は書籍などで調べてください。
例えば
www.tarou.co.jp(便宜上、太郎とします)というサイトの場合、
太郎さんが本当に運営していたサイトのドメインを
何らかの条件で「失効」すると
別人の悪太郎さんが「失効」したドメインを特定の条件で
「再取得」することができます。
そうすると
www.tarou.co.jp(悪太郎)になるわけですね。
すると
外部から見れば
www.tarou.co.jp(太郎)か
www.tarou.co.jp(悪太郎)か
判別できないわけです。
となれば、最早
リンクを踏んで本当にHTTPリクエストステータスが404なのか
404.htmlという独自のページを表示しているのかすら、
知識や情報が無いと判別できないような偽装をすることが可能なわけです。
(例えば、このページは古いのでお客様情報を入力~のような
ページを404として表示するなど)
そのため、セキュリティ的に問題がある、と言うことができます。
なので、そもそもリンク切れを起こさない、
運用者を証明するためにSSL証明書を発行する、など
色々な対応策があるわけですね。
もし疑問の解消に少しでも貢献できれば幸いです。
なるほど。
皆さんご回答ありがとうございます。
攻撃者にドメインが偽装されてしまうかもしれないというリスクがあるのですね。
理解出来ました!
ありがとうございました!
こんな話をしている間に,天下のNTTさんでこういうことが起きていますぅ
