水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > CMSのタイマー機能の制限に注意

CMSのタイマー機能の制限に注意

2013年2月12日(火曜日)

CMSのタイマー機能の制限に注意

公開: 2013年9月16日11時20分頃

「国家検定ファイナンシャル・プランニング技能検定試験」の試験問題が事前に「公開」されてしまっていたそうで。

状況としてはこんな感じだったようですね。

研究会の説明によれば、本来なら試験実施後に公開するはずの試験問題のPDFファイルを、前もってWebサーバーにアップロードしていた。アクセス制限はかけておらず、URL(アドレス)さえ分かればインターネットを通じて誰でも閲覧できる状態になっていた。

しかも、PDFファイルのURLは「過去問」を掲載しているURLの試験日の部分を「20130127」と置き換えただけで、研究会のWebサイト利用者にとっては類推が容易だった(画面2)。URLを置き換えて試験問題を閲覧する方法は、ネット掲示板などを通じて一部受検者に知られていたようだ。

以上、FP国家検定の試験問題が漏洩、実施前の問題をWebサイトに“公開” より

ありがちといえばありがちな話ではあるのですが、興味深いのはその原因です。

具体的には、研究会のWebサイト担当者は、事前にサーバーに試験問題のPDFファイルを格納していた。コンテンツ・マネジメント・システム(CMS)のタイマー機能で試験問題の「目次」の公開日時を試験実施後に設定したものの、URL(アドレス)を直接指定すれば閲覧できるという認識は無かったという。

以上、FP国家検定の試験問題が漏洩、実施前の問題をWebサイトに“公開”(2/2) より

CMSのタイマー機能を使って、試験終了後に公開されるように設定したつもりだったわけですね。

ところが、そのCMSはおそらくHTMLの時限公開だけが可能で、PDFなどのファイルの時限公開はできないタイプだったのでしょう。PDFにリンクするHTMLは試験後まで公開されなかったものの、PDFは先にサーバーに公開状態で置かれてしまい、それが閲覧されてしまったというわけです。

CMSにもいろいろありますが、時限公開機能があるとうたっていても、有効なのはHTMLだけで、PDFなどのリソースはタイマー制御できないものがあります。CMSを使っている方は、HTML以外のリソースを時限公開できるものかどうか、一度確認されると良いと思います。

※ちなみに弊社のインダストリスタンダード (www.industry-std.com)は添付ファイルも制御できるタイプで、リンク元のHTMLが公開されるまではリンク先のPDFも公開されないようになっています。

関連する話題: Web / セキュリティ / CMS

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチ体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト