どさにっき
2006年3月1日(水) ■ qmail のセキュリティ _ しつこく。 _ このまえパッチをあてた qmail がセキュアかどうかわからん、と書いたが、実はわしはパッチのあててない素の qmail もセキュアではないと考えている。 _ djb の考える安全というのは、たとえばバッファオーバーフローとかで外部からコードを注入されない、万が一そういう穴があっても被害を最小限に抑えるためによけいな権限を持たない、というプログラマ的な観点に立ったものである。 _ でも、セキュリティってのはそんな狭いものじゃない。何をしたのか、という記録を残して、後から調査・追跡が可能なようにしておくこともセキュリティの重要な要素なのだが、qmail はそれをしない。 _ qmail-send はログを吐くが、qmail-send というのはメッセージがキューに入った後を受け持つプログラムであり、キューに入るまで
RTFM
ドキュメントを読まない輩 結論: ぐぐるな。ドキュメントに書いてあるとわかっているのになぜ google に頼る? 巷間でよく見られる、しかし Apache の配布アーカイブ一式に含まれているドキュメントをちゃんと読んでいれば起きないはずの設定ミスや、ミスではないがふしぎな設定について。 <Limit>: セキュリティ上のリスクがあるのですみやかに確認・修正されたし AddDefaultCharset: 穴ではないが修正が必要 LanguagePriority: ほとんどのサイトでは無意味 ScriptAlias: 管理者でなくエンドユーザがハマるのはしかたないけれど SetEnvIf: どこも間違ってはいないのだが… Apache のドキュメントは日本語未訳なところが一部残っているけれど、全体として非常によくまとまった情報源である。少なくとも、「このディレクティブをどう設定するとどう動く
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
