そのApacheのモジュールは本物ですか? 2010年10月19日12:00 ツイート hiroki_iwai オフィシャルコメント by:岩井 博樹 隣部屋に隔離中のSEKI隊員曰く、 Apacheのモジュールが改ざんされたウェブサイトが確認され、結構厄介とのこと。 最近のウェブサイトの改ざんといえば、iframeやJavaScriptの挿入が主流です。これらは、目視でも確認することが可能です。そのため、grepコマンドを使った簡易チェックを実施した方も多いのではないでしょうか。また、挿入の対象ファイルは、多くの場合はコンテンツフォルダ内なので、セキュリティツールなどが改ざんを検知してくれるケースもあったかと思います。 しかし、改ざん対象がApacheのモジュールとなると、話が違います。さすがに、サーバアプリケーションのモジュールまでチェックしているウェブ管理者は少ないのではないでしょ
ストーリー by hylom 2009年06月23日 15時12分 Slowlorisはワシントン条約で保護されている小型のサルだそうで 部門より Apacheに、DoS攻撃に繋がる脆弱性が新たに見つかったそうだ(本家/.記事より) この脆弱性は、これを利用したHTTP DoSツール「Slowloris」がリリースされたことから明らかになったとのこと。この攻撃ツールはApacheに不完全なリクエストヘッダーを送り続けるもので、Apacheが最後のヘッダが送られてくるのを待つ間、偽のヘッダを送ることで接続をオープンにし続け、Apacheのプロセスを一杯にさせるものだという。 脆弱性はApache 1.x、 2.x、 dhttpd、 GoAhead WebServer、そしてSquidにて確認されているが、IIS6.0、 IIS7.0、およびlighttpdでは確認されていないとのこと。 SA
Apacheのユーザー認証には、「Basic認証」と「Digest認証」がある。Basic認証は一般的に行われている方法だが、パスワードが暗号化されないため、機密性の高いデータへの認証には適していない。Digest認証はパスワードが暗号化されるが、これに対応しているのは比較的最近のWebブラウザに限られる。 ここではDigest認証を利用して、特定ディレクトリのWebページを開く際に「secret」というユーザー名でアクセスできるようにする(編注)。Basic認証を使う方法については、Apacheでユーザー認証を行うには(Basic認証編)を参照。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く