高木浩光@自宅の日記 - 共用SSLサーバの危険性が理解されていない
■ 共用SSLサーバの危険性が理解されていない さくらインターネットの公式FAQに次の記述があるのに気づいた。 [000735]共有SSLの利用を考えていますが、注意すべき事項はありますか?, さくらインターネット よくある質問(FAQ), 2010年2月10日更新(初出日不明) Cookieは、パスなどを指定することができるため、初期ドメイン以外では共有SSLを利用している場合にCookieのパスを正しく指定しないと、同じサーバの他ユーザに盗まれる可能性があります。 (略) 上記については、「同サーバを利用しているユーザだけがCookieをのぞき見ることができる」というごく限定的な影響を示していています。また、Cookieの取扱いについて、問い合わせフォームやショッピングカート等、ビジネス向けのウェブコンテンツを設置されていなければ特に大きな問題とはなりませんが、個人情報を取り扱われる管
phpMyAdmin の Apache 公開ポリシーについて
phpMyAdmin に限らず、サーバ管理ツールやグループウェアなどの Web アプリケーションを利用する場合は、ツール側のセキュリティ対策は勿論ですが、Web サーバ側でも適切にセキュリティ対策(アクセス制限と監視) を行う必要があります。 phpMyAdmin の設置とは切り分けて考える必要があるため、ここでは例をあげて Apache Web サーバ側で適用するセキュリティ ポリシーについて考えます。 phpMyAdmin 設置ポリシー例 phpMyAdmin の設定は、config.inc.php を編集して行います。サーバ管理者が利用する phpMyAdmin と ローカルユーザに提供する phpMyAdmin それぞれに異なるセキュリティポリシーを適用したい場合は、異なるディレクトリで phpMyAdmin を設置します。 例えば、ドキュメントルート外にそれぞれの phpMyAd
ある技術者の備忘録 » .htaccessだけでSSL対応するには
SSLを考えずに作られているページを、.htaccessだけの変更でSSL対応する方法をご紹介します。 もちろん、サーバがSSLに対応している必要はありますが…。 さらに.htaccessとmod_rewriteが入っている必要もあります。 SSLページにしたいHTMLファイル(PHP等でも可)のあるディレクトリに.htaccessファイルを作成し、下の文を追加します。 RewriteEngine on RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R,L] ファイルを個別に指定したい場合はちょっと面倒ですが下記のようにします。 ここでは例としてfoo.htmlとbar.htmlをSSLページとし、それ以外はSSLでないページとします。 RewriteEngine on Rew
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
