futuremix

組織内でグループウェアを使っていたりすると、イントラネット上のサーバの URL にどがリファラから漏れるのが気になります。

「内部の URL なんて漏れても別に良いじゃないか」という人もあるかも知れませんが、セキュリティ管理者だったらそれは失格です。これは攻撃者にとって有益な情報を提供することになります。私が、内部 URL の漏洩が問題だと意識したのは、高木浩光さんによるメーリングリストへの投稿記事が最初だったと思います。

さて、本日配信された JPCERT/CC REPORT 2005-03-24 に、役立つ記事が。

（前略）「Referer リクエストヘッダ」によって LAN 内の情報が外部に漏れて しまうことがあります。Web ブラウザによっては、この「Referer リクエスト ヘッダ」を一切送信しないように設定できるものがありますが、Web サイトに よっては Web ブラウザが「Referer リクエストヘッダ」を送信しないと正常 に表示/動作しない場合があります。

そこで LAN 内の情報だけを削除し、それ以外の「Referer リクエストヘッダ」 だけを送信するように proxy サーバに設定することが推奨されます。例えば、 Squid では、acl (Access Control List) で以下のような設定をすることで、特定の文字列で構成される「Referer リクエストヘッダ」のみを送信しないよ うにすることができます。

  acl internal referer_regex -i ^http://[^/]+\.example\.jp ^http://192\.168\. ^[a-z]:\\ ^file: 
  header_access Referer deny internal

灯台もと暗しというか、squid で除去するという手があったんですねー。さっそく設定してみましたが、良い感じです。もちろん上記の example.jp の部分や IP アドレスは、実際の運用に応じて変更の必要があります。