ApacheのAddHandlerはセキュリティ上の懸念から使用すべきではない - このブログはURLが変更になりました
元ネタはこちら。 Apache AddHandler madness all over the place Gentoo Bug 538822 どういうことか 次のような指定は危険である。 AddHandler php5-script .php この時に指定される.phpはファイル名の末尾である必要はない。例えば、 aaa.php.html bbb.php.pngなどもphp5-scriptとして解釈されてしまうのだ。これは.XXX.YYYと複数の拡張子が書かれた場合、.XXXと.YYYもAddHandlerの対象となることが原因。 ちなみに次のような場合にはphp5-scriptとして解釈されない。 ccc.php_foo (.php_fooとして解釈されるため) ddd.php_bar.html (.php_barと.htmlとして解釈されるため)実はこのことはApacheのドキュメン
メンテナンス中画面を出す正しい作法と.htaccessの書き方 | Web担当者Forum
今回は、Webサイトやサービスをメンテナンス中にする場合に、どのURLにアクセスしても「メインテナンス中です」の画面を出す正しいやり方を、人間にも検索エンジンにも適切にする作法を主眼に解説します。 この週末の土曜深夜~日曜早朝にかけて、データセンターの設備メインテナンスのため、Web担を含むインプレスグループのほとんどのWebサイトが、どのURLにアクセスしても「メンテ中です」という表示になっていました。 なのですが、その実装がちょっと気になったので、「正しいメンテナンス画面の出し方」を説明してみます。 ※2010-01-16 Retry-Afterを指定するHeaderの指定を修正しました(コメント参照) ※2009-06-17 RewriteCondから [NC] 条件を削除しました(コメント参照) ※2009-06-16 Retry-Afterの記述をGMTに変更しました(コメント参
ウノウラボ Unoh Labs: Apache MPM の基礎をしっかりと理解しよう!
naoya です。最近、とうとう花粉症の季節に入ったので、生まれて初めて空気清浄機を購入しました。 さて、今日は Apache HTTP サーバの MPM (Multi Processing Module) について解説したいと思います。普段、ウェブサーバを構築するとき、Apache HTTP サーバを使うことが多いと思いますが、Apache HTTP サーバを使う上で MPM について理解しておくことは大事です。 この MPM ですが、Apache HTTP サーバではリクエストを処理する部分のことをさします。MPM は、Apache HTTP サーバ 2.0 系から採用されています。Apache HTTP サーバの MPM には、次の種類があります。 prefork worker perchild winnt それぞれの MPM について解説します。まずは、一番代表的な prefork
Apache HTTP Serverの脆弱性を突く「Apache Killer」――パッチは48時間以内にリリース予定 | OSDN Magazine
Apache HTTP Serverの開発チームは8月24日、同Webサーバーの脆弱性を突くDDoS攻撃ツール「Apache Killer」が出回っていると警告した。該当するApacheは1.3系および2系の全バージョン。パッチ発行までユーザーはおのおので対応を講じるよう呼びかけている。 Apache KillerはFull-disclosureというメーリングリストで先週公開された。問題となっているのは「Range header DoS」と呼ばれる脆弱性。リモートから多数のRange指定を含むリクエストを送ることで、ターゲットシステムのメモリとCPUを消費させるというもの。バージョン1.3系および2系のすべてがこの脆弱性を持つという。デフォルト設定ではこの攻撃に対し脆弱で、現在この脆弱性を修正するパッチやリリースはない。Apache Killerではこの脆弱性が悪用され、多数のリクエスト
Passenger (mod_rails for apache)での色んな設定値について調べてみた
DoRuby! (ドルビー!) はKBMJで働くエンジニアによる、主にRubyに関する様々な実践ノウハウを集めたブログ集です。 こんにちは。 KBMJでRuby on Rails を使ったweb開発に携わっているyoppiといいます。 ついに、Passenger (mod_rails for apache)がリリースされましたね。 導入や設定については、他で詳しく書いてくれているページがありますので、それでもうまく動かない場合の設定とその他細かい設定値について説明しようかなと思います。 まず、Passenger (mod_rails for apache)の導入や設定については以下を御覧下さい。 べあの散策路: 街に待った。。 Passenger ( Mod_rails For Apache ) !! 導入は上記サイトと同じなので省略します。 今回は設定に色々と余分なものを書いてみま
[js]Ajax.Requestと405 Method Not Allowed
405エラーは主に、POSTメソッドの使用が許されていない場所で、POSTメソッドを使用した場合に返される。 さくらインターネット等、CGIやSSI等のダイナミックコンテンツにしかPOSTメソッドが容認されていない場合に、 AjaxでXMLHttpRequestメソッド使った時にタイプがPOSTだと405 Method Not Allowedになる。 CGIでも.htaccessにAddHandler cgi-script .cgi などが記述されておらず、 CGIとして設定されていない状態でPOSTで送ると同じエラーになる。 Apache1.3系は静的ファイルにPOSTが使えない。 Apache2系はPOSTもGETも同じ挙動。 解決策 XMLHttpRequestメソッドのタイプをPOSTからGETに変更 ※.htaccessでAddHandler server-parsed .htm
![[js]Ajax.Requestと405 Method Not Allowed](https://cdn-ak-scissors.b.st-hatena.com/image/square/8d71ff5111e05619a10d29bb40d7aebaa75c8fbc/height=288;version=1;width=512/https%3A%2F%2Fs0.wp.com%2Fi%2Fblank.jpg)
Passenger (mod_rails for Apache) を使ってRedmineを動かしてみたよ! - 元RX-7乗りの適当な日々
d:id:rx7:20080327:p1 で紹介したRuby on Rails用のApacheモジュール「Passenger (mod_rails for Apache)」が、とうとうベールを脱いだ模様。 先日、mod_railsを使うと何が嬉しいのよ、って聞かれたんですが、やはりApacheを通してRailsアプリケーションが動くことでしょう。 というのは、運用しているサーバなどでApacheが動いていたりすると、今更MongrelやLighttpdで新規に動かすより、既存のApacheを生かして動かしたいというニーズがある場合もあるかと思います。 しかし、Apache + FastCGIを使った運用は、やや敷居が高いイメージがあったりするため、この手軽に導入できてかつ運用しやすい(かもしれない)可能性があるmod_railsに期待を抱くわけです。 つーわけで、物は試しってことで、Rai
crimsonimpact - 特定のファイル・ディレクトリに来たアクセスをhttps・httpでアクセスするようにする。-特定のファイル・ディレクトリに来たアクセスをhttpsにする-linux_centos_tips
特定のファイル・ディレクトリに来たアクセスをhttps・httpでアクセスするようにする。 タイトル通りです。 https>httpにする場合 例 RewriteEngine on RewriteCond %{SERVER_PORT} ^443$ RewriteCond %{REQUEST_URI} !^/test/ RewriteRule (.*)?$ http://%{HTTP_HOST}%{REQUEST_URI} [L,R] 上記の設定をした場合の動きとしては RewriteCond に設定した条件と一致した場合 RewriteRule を適用します。 httpsでのアクセスであり、且つ/test以下へのアクセスの場合httpによりアクセスが行われるという設定です。 http>httpsにする場合 例 RewriteEngine on RewriteCond %{SERVER
IISのシェア拡大が加速、首位Apacheとの差は10% - Webサーバ活動状況 | エンタープライズ | マイコミジャーナル
Netcraftは11日(米国時間)、Webサーバの活動状況をまとめた報告書「October 2007 Web Server Survey」を公開した。2007年10月現在、同社は1億4,280万を越えるサイトからレスポンスを得ており、この数字は先月よりも760万ほど伸びた。先月の報告では、720万ほど伸びて「これほど高い伸びは調査を開始してからはじめてだ」とされていたが、今回はそれを上回る増加になったことになる。ただし、伸び率は5%ほどであり、先月の5.5%には劣る。サイト数で見た場合のインターネットは依然として急成長を続けている。 アクティブサイトで見た場合、Apacheは100万サイト以上の増加、Microsoft IISは300万近いサイトの増加になっている。また、Googleも90万ほど増加させており、Apacheの増加数に近い数字を残している。ただし、市場シェアでみた場合、Ap
ヽ( ・∀・)ノくまくまー(2007-06-05)
● 1. 一戸建てタイプ そのアプリ用に専用のマシンを準備できるケース。例えば、アクセス数が少ないβリリース時などは mongrel を直接80ポートで運用することもあるだろう。そして、負荷の増加、またはマルチコアを活かすという次の段階で、cluster 化した mongrel を扱う必要に迫られた場合、このタイプになる。この場合、フロントの仕事はバック(Rails)への割り振りだけだが、そのためにわざわざ Apache2 を持ち出すのは仰々しいと感じるかもしれない。そんな人にお奨めしたいのが Pound サーバだ。いきなり Apache から話が逸れてしまうが、このケースだとリアルでお奨めである。 Pound + mongrel Pound はリバースプロキシ用のWebサーバであり、特化しているだけあって、必要最低限かつ直感的で簡単な設定で済むため、敷居が低いのが魅力だ。それでいて、デジ
YappoLogs: Apache 2.2.0 のロードバランス機能(mod_proxy_balancer)を使いこなす
Apache 2.2.0 のロードバランス機能(mod_proxy_balancer)を使いこなす Apache 2.2がでました。 mod_dbdとか、mod_proxy_balancerとか気になる新機能てんこ盛りです。 ひげぽんさんの所に 誰か入れてみた人いますか? と有ったのでmod_proxy_balancerを試してみました。 超簡単でした mod_proxyとmod_proxy_balancerを参考にしました。 既に日本語ドキュメント完備! 以下から駆け足で、またセキュリティ的によろしくない設定例が多々あります。 とりあえずこんな設定を仕込んでみました ProxyPass /lb balancer://TEST stickysession=sesid <Proxy balancer://TEST> #1 BalancerMember http://i.yappo.jp lo
cyano: mod_proxy_balancerで中〜大規模サーバー運用するときの勘所 - (1) mod_proxy_balancerの設定編
mod_proxy_balancerで中〜大規模サーバー運用するときの勘所 - (1) mod_proxy_balancerの設定編 Apache2.2から、ロードバランシングをしてくれるmod_proxy_balancer というモジュールが標準添付になりました。 このモジュール、その名前の通り、ApacheレベルでHTTPリクエストをバックエンドのサーバーに振り分けることでロードバランシングをしてくれるモジュールです。 Apacheの公式ドキュメントや試しに入れてみた人のBlogなどは散見されますが、実際の現場で運用している事例というのはまだ無いようです。 そこで、実際にピーク時にover 500 request/secでmod_proxy_balancerなサーバーを運用している経験をふまえ、つまずいた点などを公開していきたいと思います。 まず、mod_proxy_balancerの
Apache module mod_rewrite
URL を操作するためのスイス製のアーミーナイフ、mod_rewrite へようこそ! このモジュールは、(正規表現パーサに基づく)ルールベースの 書き換えエンジンを使い、要求された URL を適宜書き換えます。 サポートするルールの数、および各ルールを適用する際のルール条件 の数に制限はなく、本当にフレキシブルでかつパワフルな URL 操作 メカニズムを提供します。この URL 操作に先立ち、次のようにいろいろな 評価を行なうことができます。たとえばサーバ変数、環境変数、HTTP ヘッダ、 タイムスタンプ、さらに外部データベースの検索結果までを評価の対象として、 各種のフォーマットを使った粒度の高い URL マッチングを実現できます。 このモジュールは、サーバ単位のコンテキスト (httpd.conf) およびディレクトリ単位のコンテキスト (.htaccess) において (PATH-
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
pywebsocket - Project Hosting on Google Code
CGI(Perl)の中に記述したSSIは有効にできないのでしょうか?…
[Studying HTTP] HTTP Header Fields
バックナンバー – おくvillage
LiteSpeed | Internet. Accelerated. - LiteSpeed Technologies