質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.50%

  • Ruby on Rails

    7280questions

    Ruby on Railsは、オープンソースのWebアプリケーションフレームワークです。「同じことを繰り返さない」というRailsの基本理念のもと、他のフレームワークより少ないコードで簡単に開発できるよう設計されています。

railsサイトのURLからのファイルアクセス可能な範囲

解決済

回答 1

投稿

  • 評価
  • クリップ 0
  • VIEW 339

tetsutail

score 68

ruby on rails 5.1.3を利用しています。

サーバーを借りてwebサイトを公開したいのですが、例えば
http://example.com/../secretfileのようなアクセスの仕方ができたりしたら怖いなと心配です。

今、$ rails new プロジェクト名
で新しくプロジェクトを立ち上げ、apacheとpassangerの設定をして、basic認証で最低限のアクセス制限をしています。
そこで、http://私のサイト.com/にアクセスすると、Yay!のページが表示されます。
ただ、それだけではなく、プロジェクト名/public/ 以下にあるファイルにはアクセスできてしまっています。

 一つ目の例:デフォルト設定

これは、railsのデフォルト設定では、

  • プロジェクト名/public/ 以下にあるファイルは全てアクセス可
  • それ以外のファイルにはアクセス不可

ということでいいのでしょうか?
もしくは、URLを工夫することで、どのファイルにもアクセスできてしまうのでしょうか?

 二つ目の例:routes.rbを変更した場合

また、例えば

$ rails generate controller StaticPages home
とし、
config/routes.rbに

Rails.application.routes.draw do
    root 'static_pages#home'
end


としたとき、アクセス許可はどこまでされるのでしょうか?

  1. app/views/home.html.erbのみ
  2. app/views/home.html.erb + プロジェクト名/public/以下のみ
  3. 全てのディレクトリ
  4. その他

このうちどれでしょうか?

二つも質問してしまいましたが、もしよろしければ両方への回答をよろしくお願いします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

checkベストアンサー

0

一つ目の例:デフォルト設定

はい。開発用サーバでは、public/以下のみアクセス可能です。

実運用する場合、静的なファイルはnginxなどで捌いてしまうことが多いですが、この場合はサーバの設定次第です。とはいえ、ドキュメントルートより上まで遡ってアクセスできる、なんていうのはディレクトリトラバーサルと名前がつくぐらいの脆弱性なので、万が一発生すれば、即座に修正されるレベルの問題になります。

二つ目の例:routes.rbを変更した場合

これは「その他」になります。まず、public/以下がアクセスできる状況に変化はありません。そして、あとはルートで定めたStaticPagesController#homeの中身次第です。この中で固定のビューを呼び出そうが、どこかのファイルを読み取って表示しようが、データベースにアクセスしてPDFを生成しようが、自由です。

プログラム内からは、どこのファイルでも(パーミッションが整っていれば)読み書きできますので、ファイルアクセスするような場合は、とんでもないところを指していないか確認が必要です。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/09/05 00:33

    回答ありがとうございます。
    >
    ディレクトリトラバーサルと名前がつくぐらいの脆弱性なので、万が一発生すれば、即座に修正されるレベルの問題になります。

    というのは、rails側で即座に修正されるという意味で合っていますか?

    また、
    - config/routes.rbに見せたくないファイルへのルーティングを書かない
    - `public`以下に見せたくないファイルを置かない
    - railsで実行される可能性のあるプログラムや生成されるhtmlファイルには見せたくないファイルへ飛ぶ機能やリンクをつけない

    これらを守れるだけでも見せたくないファイルにアクセスされる可能性はかなり低くなると考えてよろしいでしょうか?

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.50%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • Ruby on Rails

    7280questions

    Ruby on Railsは、オープンソースのWebアプリケーションフレームワークです。「同じことを繰り返さない」というRailsの基本理念のもと、他のフレームワークより少ないコードで簡単に開発できるよう設計されています。