Curlのソースコードに対するセキュリティ関連の質問

◆ご質問◆

【質問1】
 ・ダウンロードされたCurl APはキャッシュにおかれるが、他から
  見られてしまうようなことはないか等、セキュリティについて
  教えて下さい。(フォルダの場所、PC上では暗号化されている 等)

【質問2】
 1)とかぶるところもありますが、
 ・Webサーバ上におかれているCurl APを他から参照、ダウンロード
  されてしまうことはないですか?
  具体的には以下です。
  【質問2-1】
  -start.curl はソースそのもののため、場所さえわかれば、ダウンロード
   できてしまうことはないか? 例えば、ドメインの直下にstart.curlを
   おいてしまうと、あてずっぽでもわかってしまうのではないか?
   start.curlがみれてしまうと、インポートしているpcurlの名称まで
   わかると思われます。
  【質問2-2】
  -pcurl自体は、圧縮されバイナリになっていますが、zipやlzhなどの一般
   的な圧縮方式ですか? 一般的な圧縮方式であれば、解凍できてしまうのでは
   ないかという懸念があります。

【質問3】
 ・Curl AP をダウンロード中は、httpsを使用していれば、暗号化されているという
  ことで、たとえ盗聴されても、内容まで解析される危険性は基本的にはないと
  考えてよろしいですか?

 

 

◆回答◆

【質問2】について
Webサーバ上に配置したCurl AP を構成するファイル、.curl、.scurl、
.pcurlファイルなどや画像ファイルは、インターネット上に公開されている
Webサーバであれば不特定多数から取得されることはあります。
ただ、これはCurlだから取得されてしまうのではなく、Webの仕組みとして取得できるようになっています。
(取得できないとWebのシステムが成り立ちません。)

【質問2-2】について
おっしゃるとおり、pcurlは圧縮されバイナリになっております。
ただ、圧縮のアルゴリズムは公開されておらず、単純にzipやlzh等の
ツールを使用して解凍して中身(圧縮前のソースコード)を見ることは
できないようになっております。

【質問2-1】について
Webの仕組み上、配置されているファイルのパスさえ分かってしまえば取得できるようになっています。
特に、manifestファイルには通常、パッケージ名とそのロケーションが
記述されていることがあるのでそれを見てしまえば、パッケージ名や
pcurlの名称は分かってしまいます。
ただ、ソースコートがpcurlになっている場合は、上記【質問2-2】での
回答でも書きましたが、中身は見えないようになっています。

【質問1】について
ここで言うキャッシュとは2つのものがあります。
ブラウザ等で使用されるキャッシュ、Curl RTEが言うキャッシュ。
まずは、ブラウザのキャッシュですが、これは単純にWebサーバから取得したファイル
(.curl、.scurl、.pcurlファイルなど)をローカルにコピーしているだけですので、
そのPCを利用している正規のユーザであれば見ることはできます。
ただ、pcurlファイルはバイナリであるので人が見ても判別することはできません。
次にCurl RTEが言うキャッシュですが、これは一度Curl RTEがコンパイルしたものを
保存しています。人が中身を見てソースコードを判別できるような状態で保存していません。

【質問3】について
SSL通信(https:での通信)はCurl APのダウンロードだけでなく
全ての通信を暗号化しているので基本的に通信の内容が分かることはありません。