スラッシュの有無だけでセキュリティにとんでもない大穴が空いてしまうNginxのありがちな設定ミスについて実例を踏まえて専門家が解説
多機能なウェブサーバーとして2004年に登場したNginxは、2023年6月時点では業界トップシェアとなるほど人気を集めるサーバーです。そんなNginxの設定において、スラッシュを一つ付けるか付けないかの差で大きなセキュリティホールができてしまう問題について、大手パスワードマネージャーやGoogle製のツールの例をとりあげてセキュリティアナリストのダニエル・マツモトさんがブログで解説しています。 Hunting for Nginx Alias Traversals in the wild https://labs.hakaioffsec.com/nginx-alias-traversal/ Nginxの設定には、特定のURLへのアクセスをどう処理するべきかを記述できる「location」というディレクティブが存在しており、URLをサーバー内のファイルに対応させるのによく利用されています。例
令和にふりかえる C10K 問題
C10K 問題 (the C10K problem) は1999年に Dan Kegel が発表した文章、ならびにそこで提示された「問題」です。文章はその後も2000年代前半に何度か更新されているのですが、さすがに令和に読み返すと、当初の問題意識がわかりにくいところがあります。 2000年からの10年は、 ソフトウェア面では、select(2), poll(2) にかわる新しいシステムコールの実装と、それを使ったアプリケーションの普及 ハードウェア面では、x86 アーキテクチャの64ビット移行、仮想化命令の追加と、マルチコア化 さらにそこにクラウドも登場する、面白い時代でした。ここでは、それらの出来事を中心に、さらに、当時の雰囲気をつたえるような日本国内のブログやインタビュー記事をまとめることで、C10K 問題が、さまざまな側面から解決されていく流れを説明したいと思います。 書き足したいと
【入門】nginx とは?設定方法を紹介
プロキシ・リバースプロキシとはプロキシサーバーとは、クライアントの代わりに外部のサーバーにアクセスするサーバーです。 リバースプロキシサーバーとは、クライアントからのアクセスをサーバーに転送するサーバーです。 リバースプロキシサーバーをバックエンドサーバーの前段に置く理由は、以下の5つです。 キャッシュサーバーとして利用 (レスポンスの高速化とバックエンドサーバーの負荷を軽減)レスポンスを圧縮 (レスポンスの転送を高速化)SSL ターミネーション (暗号化や復号化の処理をリバースプロキシにオフロード)セキュリティの向上 (リバースプロキシでフィルタリング、バックエンドサーバーを隠蔽)拡張性 (クライアントはリバースプロキシと通信するので、バックエンドサーバーを変更可能)なお、nginx はリバースプロキシに対応しています。 nginx [engine x] is an HTTP and r
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ディレクティブのアルファベットの索引 日本語訳