質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Ruby on Rails

Ruby on Railsは、オープンソースのWebアプリケーションフレームワークです。「同じことを繰り返さない」というRailsの基本理念のもと、他のフレームワークより少ないコードで簡単に開発できるよう設計されています。

Q&A

解決済

1回答

3075閲覧

railsサイトのURLからのファイルアクセス可能な範囲

tetsutail

総合スコア81

Ruby on Rails

Ruby on Railsは、オープンソースのWebアプリケーションフレームワークです。「同じことを繰り返さない」というRailsの基本理念のもと、他のフレームワークより少ないコードで簡単に開発できるよう設計されています。

0グッド

0クリップ

投稿2017/09/04 11:53

ruby on rails 5.1.3を利用しています。

サーバーを借りてwebサイトを公開したいのですが、例えば
http://example.com/../secretfileのようなアクセスの仕方ができたりしたら怖いなと心配です。

今、$ rails new プロジェクト名
で新しくプロジェクトを立ち上げ、apacheとpassangerの設定をして、basic認証で最低限のアクセス制限をしています。
そこで、http://私のサイト.com/にアクセスすると、Yay!のページが表示されます。
ただ、それだけではなく、プロジェクト名/public/ 以下にあるファイルにはアクセスできてしまっています。

一つ目の例:デフォルト設定

これは、railsのデフォルト設定では、

  • プロジェクト名/public/ 以下にあるファイルは全てアクセス可
  • それ以外のファイルにはアクセス不可

ということでいいのでしょうか?
もしくは、URLを工夫することで、どのファイルにもアクセスできてしまうのでしょうか?

二つ目の例:routes.rbを変更した場合

また、例えば

$ rails generate controller StaticPages home
とし、
config/routes.rbに

ruby

1Rails.application.routes.draw do 2 root 'static_pages#home' 3end

としたとき、アクセス許可はどこまでされるのでしょうか?

  1. app/views/home.html.erbのみ
  2. app/views/home.html.erb + プロジェクト名/public/以下のみ
  3. 全てのディレクトリ
  4. その他

このうちどれでしょうか?

二つも質問してしまいましたが、もしよろしければ両方への回答をよろしくお願いします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

一つ目の例:デフォルト設定

はい。開発用サーバでは、public/以下のみアクセス可能です。

実運用する場合、静的なファイルはnginxなどで捌いてしまうことが多いですが、この場合はサーバの設定次第です。とはいえ、ドキュメントルートより上まで遡ってアクセスできる、なんていうのはディレクトリトラバーサルと名前がつくぐらいの脆弱性なので、万が一発生すれば、即座に修正されるレベルの問題になります。

二つ目の例:routes.rbを変更した場合

これは「その他」になります。まず、public/以下がアクセスできる状況に変化はありません。そして、あとはルートで定めたStaticPagesController#homeの中身次第です。この中で固定のビューを呼び出そうが、どこかのファイルを読み取って表示しようが、データベースにアクセスしてPDFを生成しようが、自由です。

プログラム内からは、どこのファイルでも(パーミッションが整っていれば)読み書きできますので、ファイルアクセスするような場合は、とんでもないところを指していないか確認が必要です。

投稿2017/09/04 12:36

maisumakun

総合スコア145121

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

tetsutail

2017/09/04 15:33

回答ありがとうございます。 > ディレクトリトラバーサルと名前がつくぐらいの脆弱性なので、万が一発生すれば、即座に修正されるレベルの問題になります。 というのは、rails側で即座に修正されるという意味で合っていますか? また、 - config/routes.rbに見せたくないファイルへのルーティングを書かない - `public`以下に見せたくないファイルを置かない - railsで実行される可能性のあるプログラムや生成されるhtmlファイルには見せたくないファイルへ飛ぶ機能やリンクをつけない これらを守れるだけでも見せたくないファイルにアクセスされる可能性はかなり低くなると考えてよろしいでしょうか?
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問