iT邦幫忙

0

進公司前,公司已有用Linux Server架設一套系統

此系統是架設在與公司官網同網域下的資料夾(須使用帳號密碼檢驗登入)
www.123.com/system <--像這樣

有同仁反應從系統上傳的檔案可在Google上用關鍵字(檔案內資料)查詢到

請問我該調整該資料夾(system)權限,抑或是當初系統設計上的錯誤(不該跟官網架設於同一網域)

有甚麼辦法能防止資料外洩?

麻煩各位前輩幫忙

謝謝

看更多先前的討論...收起先前的討論...
外獅佬 iT邦大師 1 級 ‧ 2013-04-30 14:46:10 檢舉
參考一下這個....看看是不是你要的開心
外獅佬 iT邦大師 1 級 ‧ 2013-04-30 14:49:28 檢舉
或者試試這種方法...
在網站根目錄下放一個robots.txt檔案
在robots.txt裡頭鍵入
User-agent: *
Disallow: /
禁止搜尋引擎搜索網站內容。
讚
外獅佬 iT邦大師 1 級 ‧ 2013-04-30 14:50:41 檢舉
如果是網頁....
可以在網頁上加上一個meta
像這樣...
<META NAME="ROBOTS" CONTENT="NOINDEX, NOFOLLOW">
robots.txt 比較好理解
請教如果是網頁
是否「每一頁」都要加 meta tag
才可以不被搜尋引擎 cached
疑惑

而以本題的「上傳檔案」而言
在「上傳檔案那頁網頁」加 meta tag
就可以防止該檔案被 cached 嗎
疑惑
外獅佬 iT邦大師 1 級 ‧ 2013-04-30 14:56:07 檢舉
當然是....不行....逃跑
外獅佬 iT邦大師 1 級 ‧ 2013-04-30 14:56:49 檢舉
其實...可以去告Google...然後請求賠償...開心
jeric1987 iT邦新手 5 級 ‧ 2013-04-30 15:23:07 檢舉
已經有申請"從 Google 搜尋結果中移除您自己網站的內容"了

但長期來說還是有機會被搜尋到?

也有開始撰寫robots.txt來測試是否可以防範
18
wiseguy
iT邦超人 1 級 ‧ 2013-04-30 18:00:35
最佳解答

你的問題是出在《架設的網站,存取權限設定錯誤》而不是單單只在於給不給 Google 索引到。因為 Google 還算是客氣的引擎,會看 robots.txt 的設定,但是像百度、新浪這類搜尋引擎,根本不鳥。能搜到什麼機密那更好。

所以要檢查你的帳密驗證是不是有漏洞。直接在 Google 上面搜尋你的網站是否有洩露哪些 URL 出去。下這樣的搜尋條件 (假設 www.123.com 對應IP是 1.2.3.4):
site:www.123.com
或者是
site:1.2.3.4
來看看有哪些 URL 洩露了。用瀏覽器試連看看是不是真的可以不用認證就抓到檔案。若可以,修改你的網站的認證設定,再重覆試,直到有認證的保護為止。

6
ted99tw
iT邦高手 1 級 ‧ 2013-04-30 14:33:09

誰敢找達士維達麻煩呢...疑惑

jeric1987 iT邦新手 5 級 ‧ 2013-04-30 15:56:50 檢舉

我只是個小小士兵而已...倒

14
jackwan
iT邦研究生 4 級 ‧ 2013-04-30 14:56:14

Web 的根目錄內是否有 robots.txt
若沒有就自己建一個內容如下, 列出不允許搜尋引擎造訪的目錄(請自行修改)

User-agent: *
Disallow: /cache/
Disallow: /images/
Disallow: /language/
Disallow: /libraries/
Disallow: /media/

jeric1987 iT邦新手 5 級 ‧ 2013-04-30 15:20:49 檢舉

目前有建立並使用Google網站管理員工具測試,但似乎沒有成效

Web網站是放在/var/www/html/裡,所以robots.txt也是放在此目錄應該沒錯?

robots.txt的權限為755

外獅佬 iT邦大師 1 級 ‧ 2013-04-30 15:30:41 檢舉

Disallow可以自己加,要防止搜尋的目錄
如果要防護整個網站,就把robot.txt放在根目錄,然後disallow: /
直接block根目錄,以下的子目錄也會排除在搜尋外。

8
門神JanusLin
iT邦超人 1 級 ‧ 2013-04-30 15:11:42

使用 .htaccess 方式
限制IP存取目錄

2
facers
iT邦新手 3 級 ‧ 2013-05-04 18:44:25

有密碼驗證正常是不會被查詢到的,你要看你被查到的是實體檔案(doc,pdf...etc)還是網頁,如果是網頁被搜尋到就應該檢查該頁是否真的有需要帳號密碼驗證才能進入,如果是檔案,就要看完整連結是否被貼到網路上去,才導致所有資料被搜尋到(這種情形,就算網頁有加上帳號密碼驗證保護也沒用),因為他找到是程式無法保護的網址。

4
120131511
iT邦研究生 4 級 ‧ 2013-05-04 21:47:21

不用爬蟲工具辛苦抓伺服器內的隱密資料,搜尋公司借瀏覽器將LOAD完的頁面再回傳到搜尋引擎就好,因此伺服器設什麼密碼權限都會破功。

2
bzbz
iT邦新手 2 級 ‧ 2013-05-06 22:43:16

即然不願意這個資料夾公開,就直接把system目錄移到內部網路就好啦,這是最好的方法

我要發表回答

立即登入回答