サーバーにアクセスが集中しているわけでもないのに「只今アクセスが集中しており〜」というページをわざわざ作成しトップページに置いてしまったことで大炎上している橋本聖子事務所のサイトですが、何が悪かったんでしょうか。
話題の橋本聖子事務所のサイトの応答。.htaccessいじって503出せばいかったのに(笑) pic.twitter.com/UxD4VAaV2n
— ぴずも@腰痛肩こり持ち(特殊市民♪) (@pismo_kumachan) 2014, 8月 21
そもそも、HTTPのやりとりなんて容易に見ることが出来るわけでして、上図のように応答に「200(正常終了)」が返ってきたらサーバーに何ら問題の無いことを露呈してしまうわけです。こんなの、多くの人がご存じなんですね。まぁ、今回は「わざわざページを作った」から問題と騒いだ人がいたこと(この段階では応答コードには言及していない)が事の発端だったわけですが、応答が「503(サービス利用不可)」でも特別にページを作って返すことがあるので、当初は単に無知な人たちが騒いだだけだったんですね。
実は以下のように.htaccessを記述すれば「アクセス過多を偽装したことが容易にばれることはなかった」んですよね。
ErrorDocument 503 /maintenance.html
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_URI} !=/maintenance.html
RewriteRule ^.*$ – [R=503,L]
</IfModule>
これは、サイト保守とかの時にメンテナンス中画面を出す手法で、ウェブサイト管理者ならば誰でも知っているはずのTipsなんですね。これだと、応答は「503(サービス利用不可)」になった上で件の「只今アクセスが集中しており〜」画面を出すことが出来たので、簡単にばれることはなかったんですよね。ウェブサイト管理者がこのTipsを知らなかったのが不幸の始まりと言う事なのでしょう。
と思っていたのですが、こんな事が発覚!
橋本聖子事務所のページ。なんやら、.htaccessが丸見えのような気がするんだが(笑) pic.twitter.com/sYMdslF1pb
— ぴずも@腰痛肩こり持ち(特殊市民♪) (@pismo_kumachan) 2014, 8月 21
あ〜、コンテンツ全削除して応答が「404(ファイルが見つからない)」だったら「只今アクセスが集中しており〜」を出すようにしていたんですねぇ。悪質ですねぇ。でも、先のTipsを知っていたならコンテンツを全削除することなく必ず「只今アクセスが集中しており〜」画面を出せたし、.htaccessを見ようとしても「只今アクセスが集中しており〜」画面になったはずだからばれなかったはずなんですけどねぇ。
いかにも残念。
.htaccessって丸見えで良いんだっけ?普通は403にすると思うけど。
— ぴずも@腰痛肩こり持ち(特殊市民♪) (@pismo_kumachan) 2014, 8月 21
ちなみに、通常は.htaccessって見せないように応答が「403(アクセス禁止)」を返すように設定されているはずなんですが、なんで見えるように設定してあるのかは謎です。Apacheを導入したときのデフォルト設定は見えないように設定されているので、わざわざ見えるように変更したんでしょうね。謎です。
と言うわけで、とっても簡単なTipsを知らなかったために大炎上する結果になってしまったんですねぇ。ウェブサイト管理者に恵まれていないというか、とことんついてない人だというか…
コメント