Robots.txt ดาบสองคม จริงหรือ ?

สืบเนื่องจากมาบทความ Robots.txt คืออะไร ? ที่ผมได้เขียนไม่นานนี้อ่ะครับ มันทำให้ผมคิดได้ว่า การที่เราเขียนไฟล์ robots.txt ให้ Google หรือ Search Engine ตัวอื่นมาเก็บข้อมูลไปนั้น ในส่วนของข้อมูลบางข้อมูลเราก็ไม่อยากเปิดเผย เช่น เอกสารข้อมูลลูกค้า รายชื่อติดต่อต่างๆ เป็นต้น ซึ่งเราก็สามารถสั่งให้ robot ไม่ต้องเก็บข้อมูลตามที่เราสั่งได้ แต่ทว่าการสั่งไม่ให้มันเก็บข้อมูลนี้ ก็อาจเกิดกรณีศึกษาอย่างนี้ได้


คำเตือน : ถ้าคุณจะนำวิธีการในบทความนี้ไปใช้สำหรับการแฮกหรือทำลายระบบคอมพิวเตอร์อย่างมีเจตนาร้ายและผิดกฏหมาย คุณต้องเป็นผู้รับผิดชอบสิ่งที่จะเกิดขึ้น ในฐานะผู้เขียนและบุคคลที่เกี่ยวข้องกับบทความนี้ จะไม่มีส่วนร่วมรับผิดชอบในการกระทำหรืออาชญากรรมที่คุณได้ก่อขึ้นโดยใช้วิธีและเครื่องมือที่ได้เขียนไว้ในบทความ เพราะบทความนี้มีเจตนาเพียงประการเดียวสำหรับผู้ที่สนใจในด้านความปลอดภัยของระบบ ที่ประสงค์จะป้องกันระบบเพื่อไม่ให้ตกเป็นเหยื่อของผู้ไม่หวังดีซึ่งทุกวันนี้มีจำนวนเพิ่มมากขึ้น เท่านั้น

หากจะจับขโมยให้ได้ ต้องคิดให้เหมือนขโมย แต่อย่าทำในสิ่งที่ขโมยจะทำ เพราะนั้น คือ ความผิด


ตัวอย่างเหตุการณ์สมมติ

บริษัท ABCD Service ได้จัดทำเว็บไซต์ขึ้นมาหนึ่งเว็บภายใต้ชื่อ www.sell-server.co.th ซึ่งเป็นเว็บบริการอัพเดตข้อมูลการติดต่อของลูกค้าที่ใช้บริการกับทางบริษัท

ทั้งนี้ในส่วนของผู้พัฒนาเว็บไซต์ได้เล็งเห็นถึงความปลอดภัยของข้อมูลที่เกี่ยวข้องกับลูกค้า จึงทำการเขียนไฟล์ robots.txt ขึ้นมาเพื่อกั้นไม่ให้ robot ของ Search Engine ต่างๆ เข้ามาเก็บข้อมูลในไดเรกทอรี่ data ซึ่งเป็นไดเรกทอรี่ที่เก็บข้อมูลดังกล่าว

และได้ทำการเขียนไดเรกทอรี่ที่ไม่ต้องการเปิดเผยข้อมูลอีกหนึ่งที่ คือ ไดเรกทอรี่ old-data ซึ่งเป็นไดเรกทอรี่ที่เก็บรวบรวมเอกสาร PDF ทั้งหมดที่เป็นข้อมูลเก่าของบริษัท

ฉะนั้นผู้พัฒนาเว็บไซต์จึงเขียนคำสั่งดังต่อไปนี้ลงไปยังไฟล์ robots.txt

# sell-server.co.th robots.txt

User-agent: *
Disallow: /data
Disallow: /old-data
Disallow: /admin

หลังจากที่ผู้พัฒนาเว็บไซต์ได้อัพโหลดไฟล์ขึ้นไปแล้ว โดย URL คือ www.sell-server.co.th/robots.txt

ในระหว่างนั้นก็ได้มี แฮกเกอร์คนหนึ่ง มาเจอ URL ดังกล่าวพอดี

แฮกเกอร์คนนั้นก็สามารถคาดเดาได้ว่าไดเรกทอรี่ใดบ้างที่น่าจะเก็บข้อมูลสำคัญๆของบริษัทนี้

แฮกเกอร์คนนั้นก็เลยตั้งเป้าหมายที่จะพยายามหาวิธีเข้าถึงไดเรกทอรี่ data และ old-data ให้ได้

—————————————–

เอาล่ะ ผมขอสรุปเลยแล้วกัน ถึงแม้ว่าไฟล์ robots.txt

สามารถกั้นไม่ให้ google และ Search Engine มาเก็บข้อมูลบางอย่างได้

แต่ก็ใช่ว่าจะสามารถกั้นผู้ไม่หวังดีได้ ดังนั้น robots.txt ก็เหมือนดาบสองคมแหละครับ ที่มีทั้งดีและไม่ดีในตัว

แต่ทั้งนี้ทั้งนั้น ผมก็หวังว่า ผู้พัฒนาเว็บไซต์ทุกคน ควรจัดการข้อมูลให้ดี ข้อมูลไหนที่เก่าๆ

หรือเป็นข้อมูลที่ไม่ต้องการเปิดเผยให้บุคคลทั่วไปเปิดดู ก็ไม่ต้องอัพโหลดขึ้นไปยังเว็บเซิร์ฟเวอร์หรอกครับ มันเสี่ยงเปล่าๆ ถ้าจะแลกกับความสะดวก

อีกอย่างการตั้งค่าคอนฟิกให้กับเว็บเซิร์ฟเวอร์ก็ช่วยได้นะครับ โดยเฉพาะการยอมให้บุคคลทั่วไปเข้าถึงไฟล์ที่จำเป็นสำหรับใช้งานเท่านั้น

และหมั่นอัพเดท patch ต่างๆให้กับเซิฟเวอร์ด้วยนะครับ จบข่าว

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.