PukiWikiで閲覧制限をかけると,そのページを見るのにパスワードを要求される.が,.htaccessが効かない環境だと,その内容が見えてしまう.
PukiWikiでは各ページの記事はデフォルトではwikiディレクトリの中にテキストファイルとして保存される.wikiディレクトリの中は
Order allow,deny Deny from all
のような感じで直に見えないようになっている.しかしこの.htaccessが効かない設定になっていると*1,このディレクトリにある記事のソースが丸見えになる.閲覧制限の有無にかかわらずである.データディレクトリをデフォルトのwikiから変更していた場合見つかりにくくはなるが,見つからない保証はない.
公開WebサイトにPukiWikiを使っている.初めは管理ページをこのWiki内に閲覧制限付きで作ろうと思ったが,
- ページ一覧に出ること
- http://ほげほげ?cmd=list?cmd=listで出るリスト
- 中身は見られないが,ページ名がわかってしまう
- PukiWiki上から閲覧制限をかけられないこと
- それから,上で書いた危険性
のため,閲覧制限付きページの作成はやめた.
