2008-08-01 内緒のURLは意味がない VPN WEBメール 今回は「武蔵工業大学」を取り上げさせていただきました。 いきなり結論から言います。 「アクセス可能なURLを隠すのは意味がない」 これは、今回紹介する大学の「SSL-VPN」のことです。紹介します。 「武蔵工業大学」です。(情報処理センターより) 学外からのSSL-VPNのURL通知 抜粋。「以下のウェブページより,SSL-VPNのURLを学外から知ることができるようになりました。 「SSL-VPNのURL通知」 https://ws.sc.musashi-tech.ac.jp/%7Eexternal/notify_sslvpn.html」 「上記のページからユーザ名を入力して実行すると,SC-UNIXサーバのメールアドレス(ユーザ名@sc.musashi-tech.ac.jp)にSSL-VPNのURLが通知されます。」 「なお,上記ページからの実行は1日1回に制限されていますので,ご注意ください。 ●記載日 2008/7/31」とのこと。 「SSL-VPN」のURLを学外から知る方法のようです。求める声が多かったのでしょう。 先日始めたばかりの運用のようですが、あえて偉そうに言います。すいません。 「これ、あまり意味がないと思います」 上記の仕組み自体は素晴らしいと思います。 (ユーザ名入力で登録アドレスへ自動送信。実行は1日1回のみ。等) しかし、何れわかっちゃいますよ。 例えば。。いま流行り(?)の「ソーシャルブックマーク」(公開型ブックマークとでもいいましょうか)。こういうサービスに、この大学のユーザが誰か一人でも登録したら、即公開ですよ。 また、あくまで一例ですが、Googleをちょっと使えばURLの特定は可能です。 「だったらWEBメールだって隠さなきゃ駄目じゃん!」と突っ込もうとしたら。。 Webメールサービス なんと、WEBメールのアクセスがSSL-VPN経由でした! 徹底している。。恐れ入りました。m(__)m 上記ページの画像から、VPN装置はジュニパー「Netscreen-SA」であることがわかります。 また、以下ページから、webメールは「Active!mail」であることがわかります。 http://www.ipc.musashi-tech.ac.jp/webmail/gakunai.html そもそも「SSL-VPN」のURLを隠すのって意味あるのでしょうか? しかもWEBメールがSSL-VPN経由って。。 「非公開とする運用に意味がある」のでしたら、それも1つのセキュリティーポリシー。