ユーザに任意の CGI を許可している自宅レン鯖のセキュリティホール

・特に権限の設定されていないすべてのファイルが CGI を使って読み出せる。
 ふだんの生活環境と同じマシンと兼用すると、見られてはいけない情報が
 流出する可能性がある。
・同様に、CGI から既存のファイルを消されたり書き換えられたりする可能性。
・Apache のインストールのしかたによっては、httpd.conf の権限が Everyone
 フルコントロールになっていることがある。すなわち、外部から CGI を使って
 Apache の設定を変更可能。
・外部への踏台となる穴となる CGI を設定される可能性。
 鯖から外へ向かうコネクションはルータで制限しておけ。
・Windows にはウィルス/ワーム/トロイが豊富にある。
 これらは実行ファイルである以上、CGI の中からでも起動可能である。

これらは運用上の穴なので、OS やアプリのセキュリティホールを
全部ふさいでも防げない。もちろん、設定によって対処可能なものも多いが、
どういうわけか自宅鯖構築のアンチョコではほとんど触れられていない。

CGI の問題は UNIX でもないわけではないが、UNIX では nobody や www のような
特殊なユーザ(読み書きできるファイル/ディレクトリが存在しない)の権限で動くか、
または CGI 所有者の権限(破壊的活動をしても被害を受けるのは本人だけ)で動く。
Windows でも UNIX の nobody/www 同様に Apache 専用のユーザで動かせ。
サーバ上に Everyone フルコントロールなファイルを置くな。

パッチだけ当ててセキュリティは万全とほざくな。