Apache HTTPD: mod_allowfileowner - ダメ出し Blogmod_allowfileowner って何? Apache HTTPD 用のフィルターモジュールです。 静的コンテンツファイルの所有者をチェックして、 指定のユーザーが所有していればアクセスを許可し、 そうでなければ拒否します。 静的コンテンツファイルをオープンした後、それを指すファイル記述子に対して fstat(2) を行ないファイル所有者をチェックする実装になっているため、 TOCTOU (Time Of Check to Time Of Use) 問題はありません。 何が嬉しいの? 共有 Web サーバーサービスにおいて、一部のシンボリックリンク攻撃を防ぐことができます。 この攻撃は Options -FollowSymLinks や Options SymLinksIfOwnerMatch 設定では完全には防ぐことはできません。 参考: Apache HTTPD: Options
