セキュリティ考察~apacheの罠②~


今回はTraceメソッドについて。

Traceメソッドとは、主にデバッグの目的で使用されるHTTPメソッドです。

apacheでは、このメソッドがデフォルトで「使用可能」になっております。

この機能を用いて、BASIC認証の認証情報等、重要な情報が取得されてしまう恐れがあります。

そのため、デバッグで使用する場合を除いては、この機能をオフにしましょう。

httpd-2.0.55移行の場合、

httpd.confに

TraceEnable Off

と記載すれば、Traceメソッドは無効になりますが、

httpd-2.0.55の場合はちょっとややこしいです。

まず、apacheにmod_rewriteが導入されていることを確認し、

httpd.confに

<IfModule mod_rewrite.c>

RewriteEngine on

RewriteCond %{REQUEST_METHOD} ^TRACE

RewriteRule .* – [F]

</IfModule>

と記載します。

この設定も、忘れがちな設定ですね。

罠です。お気を付けください。

The following two tabs change content below.

ロゴスウェア

ロゴスウェア株式会社は、インターネットや情報技術を使って学習に革新的進化をもたらす製品を開発することを目標に、2001年7月に設立されたテクノロジー系ベンチャー企業です。

最新記事 by ロゴスウェア (全て見る)

Comments are closed.