Website Google Code Search

Google code search bestaat niet meer, maar dat betekent niet dat er geen andere zoekmachines zijn die vergelijkbaar zijn. http://www.koders.com/ is er zo eentje. De onderstaande content is dus ook van toepassing op deze zoekmachine.

Google heeft enige tijd geleden een nieuwe dienst in het leven geroepen: Google Code Search. Hiermee kan eenvoudig op broncode voor computerprogramma's gezocht worden. Deze zoekmachine voedt zichzelf door het internet af te speuren op zoek naar broncode, en zal hierbij ook de broncode van slecht beveiligde websites indexeren. Onder andere database-wachtwoorden worden hierbij opgeslagen.

Wanneer loopt u gevaar?

De zoekmachine van Google gedraagt zich als een gewone webbrowser: wat de bezoekers van uw website kunnen kan Google ook, en niks meer. Normaal gesproken zullen uw bezoekers dus niet in staat zijn om de broncode van uw webapplicatie te bekijken. Echter, sommige mensen maken backups van hun site, door de bestanden in te pakken en deze in een subdirectory van hun website te laten staan. Deze bestanden kunnen dus ook door uw bezoekers gedownload worden, en dus ook door Google. Omdat deze bestanden ingepakt zijn (.zip, .tar, .tar.gz, .tar.bzip2, ...), worden de PHP-bestanden niet door de webserver geparsed, en is de broncode dus vrijelijk te lezen. Google kan deze archieven openen, en indexeert vervolgens de broncode, inclusief eventuele gevoelige informatie.

Wat moet u doen?

Maak backups niet in de document root van uw website, maar een directory hoger in uw home-directory. Uw home-directory bij Byte lijkt op '/home/users/shortftp', de document root van uw website is de directory '/home/users/shortftp/shortdomein.nl'. De webserver (en dus uw bezoekers) kunnen nooit in uw home-directory komen, dus data die daarin staat is veilig.

• Verwijder componenten en onderdelen van uw site die u niet gebruikt. U loopt het gevaar om deze te vergeten, waardoor er verouderde software op uw site draait waardoor uw gemakkelijk gehacked wordt.

* U kunt Google (en andere zoekmachines verbieden om bepaalde delen van uw site te indexeren. Indien u toch besluit dat de backups beschikbaar moeten blijven onder uw website, zorg er dan in elk geval voor dat ze niet geindexeerd kunnen worden. Dit kunt u doen door in de betreffende directory een bestandje te zetten, dat u robots.txt noemt. In dit bestand zet u onderstaande regels 

User-agent: *
Disallow: /backup/

In dit voorbeeld is backup het pad naar de directory waarin u de backups bewaard. Via internet zou u deze directory dus benaderen met www.uwdomein.nl/backup/.

Dit principe kunt u natuurlijk toepassen in elke directory die u wilt beschermen.

• U kunt bezoekers (en dus ook zoekmachines) ook beletten om bepaalde directories te bezoeken, door deze met een wachtwoord te beschermen. Bij Byte kunt u dit eenvoudig via het Service Panel instellen. Meer informatie staat in onze Kennisbank op Website Beveiligen.