2008-06-22 寝てた……
と言いたい所だが、結構起きてた気がする。
◆ [日記][Apache] AllowEncodedSlashes ディレクティブにはまる。
原因はこれ→\(●)/とは (るるーしゅとは) - ニコニコ大百科
某所でリダイレクトできなくて(?_?)と悩んでいたのだが、どうやらAllowEncodedSlashesはデフォルトではOffらしい。この時、%2fがURLに入っていると、Apache(とりあえず、ウチのバージョンは。他は未検証)では、問答無用で404になる。例えばこんな感じに。%2fってディレクトリを作っても駄目でした。
で。
Onにすると、%2fも/として解析してくれる。*1
これを有効にした時に、何が問題って、../相当のことが出来ることなんだよね。あと、PATH_INFOが/で渡されたか、%2fで渡されたか判断がつかなくなる。まぁ、PATH_INFOは変な値を持ってることが多いので(つか、勝手に正規化されていたりする)使わないようにしているので、問題なし(ぉぃ
……当然ながら%2fを/として解析しちゃうので、こんな妙なURLでもアクセスできてしまう。
これも何だかなぁーと思うが、まぁ、セキュリティ上の問題として、自分所のドメイン以外には飛べないっぽい*2ので、まぁよしとした。逆に言うと、同じドメインで違うユーザが使ってる場合はOnにすると危険かもしれない。
今度余裕のある時にソースコードと追いかけっこしてみよう。
……ちなみに、ChangeLogには、「Default condition is off (the historical behaviour).」という面白い言葉が(笑)
参考にした所:PATH_INFOに「%2F」が含まれていると404エラーになる(AllowEncodedSlashesで解決) mod_rewriteでの%2F問題
自分のサーバでは全公開が前提なので問題になることは少ないかも知れないけど、これをonにすると、「内部専用URL」に..%2fを使ったディレクトリトラバーサルチックな何かでアクセスできてしまう可能性があるなぁ。あと、FWとかでアクセスできる範囲をサーバじゃなくてディレクトリで決めている場合も同じような問題が発生しそうだ。
他に問題が発生することはないか考えながら巡回をすることにしよう。
とりあえず、%252Fというのも怪しい挙動をしそうだ、と言うことが分かった(笑)
余談:dic.nicovideo.jpのサーバ、Server: Apache Baseball Armyって返してくるんですが(笑)
追記:AllowEncodedSlashes Onにして、%2fでアクセスした時の問題点
ブラウザと、(おそらく多くのproxyと)のURLアクセス先の解釈と、サーバ側のアクセス先の解釈が異なってしまう。これにより、ブラウザ上で直感的に見えるURLと違う所をアクセスしている危険がある。
なんかこの辺に、セキュリティホールのネタがありそうな気がする。
ところで、RFCとか規則上って、「/」をURL encodeして「%2F」にしても良いのか? それともしてはいけないのか。これがよく分からん。
例えば、/home/ituki/public_html/%2F/index.htmlにアクセスする場合、http://(略)/~ituki/%2F/index.html と書くのか? しかし、/をURL encodeしていいなら、~ituki///index.htmlと~ituki/%2F/index.htmlの違いがわからん。もしかしてこの場合、%を%25にエンコードしなくてはならなくて、~ituki/%252F/index.htmlという結構訳の分からんアクセスの仕方をしなければならんのか?
さて、答えはどっちだろう。どっちにしろ、この辺の実装、セキュリティ的にヤバゲなソフトが多そうだ。
◆ [ネタ] 「釘宮病の薬をください」と伝えるだけでゲームの予約が可能
なんだこれは(笑)
◆ [情報] XPへのダウングレードはしないでください、Vista普及でマイクロソフトが新手の戦略
XPが駄目ならLinux+Wineを入れればいいのよ!(ぉぃ
冗談はさておき。ワシ的にはVistaに魅力を感じないんですよね。
まぁ……この間VMwareにWindows98入れてみたんだけど、「これでイイジャン」と思ったからなぁ(苦笑
◆ [情報][メモ] 派遣労働者の“反乱”が始まった!
メモっとく。
◆ [情報][メモ] 番組のネット転送、著作権侵害せず 東京地裁、TV局の請求棄却
興味深かったので。
◆ [ネタ] 橋下知事「給与の財源がない」 職員側「ふざけるな!」「破綻してないのに路頭に迷わせようとしてる」「国から(財源を)取ってくればよい」
相変わらずやってるみたいです。
関連:大阪府職員の年収
ホントかどうかは謎。
◆ [ネタ] 「無実の人間を逮捕とは驚きだ。即時釈放を」「日本の捕鯨、国際的に批判されてる。逮捕は脅迫だ」…グリーンピースが声明
(;´Д`)<ネタに分類
◆ [ネタ][情報] ぢたま某「kiss×sis」アニメ化プロジェクト始動ッ!!
え、ちょ、マジで?(笑)
◆ [ネタ][情報] TVA「とらドラ!」今秋放送開始予定でTVアニメ化進行中!
「とらドラ!」も原作レイプ常習犯のJ.C.STAFFか。しかも、作品抱えすぎだし。
原作とは別物になるのが安易に想像できるような…。
_| ̄|○
面白ければもうけもの、位の気持ちで待っていよう。
◆ [ネタ][メモ] なぜ vi のカーソル移動は hjkl に割り当てられたか
ヘー ヘー ヘー( ・∀・)つ〃∩
◆ [情報] 肺まで転移したガンが新治療で完治─免疫細胞のクローンを注入
おー。
◆ [ネタ][日記] おとまりHONEY 複数の女の子(15才)と同棲してるラブコメ
結構面白かったです。
◆ [情報] IPトラフィックは2012年まで2年毎にほぼ倍増
プロバイダが死ぬ……
◆ [ネタ] コードギアス反逆のルルーシュ 足元が庶民的なゼロコスプレ
わはははははは(笑)
◆ [ネタ] 【MAD】コードギアス 「スーパーニッポンデラックス!\(●)/」‐ニコニコ動画(SP1)
いや、久々に噴き出したよ(笑)
◆ [ネタ][メモ] 「先輩アンソロジー」 誰もいない美術室で乳もみ
実は買い物リストに入っている……ので来週末には入手している予定……売り切れてなければ(笑)
「先輩」「黒髪」「長髪」
ワシの反応キーワードです。
◆ [情報] ニコニコニュース‐【復旧】一部動画でメッセージサーバーにつながらない事象について
おぉ、治ったのか。
◆ [ネタ] 少年マガジンと初音ミクがコラボした「ミク箱」が出る
(;´Д`)<ナニソレ!
◆ [ネタ] 三浦建太郎がニコ動での呼び出しについてあとがきで触れる
(*゜∀゜)、;',・;、ブハッ
◆ [ネタ] 【手書き】Ievan Pollka【鏡音リン・レン】‐ニコニコ動画(SP1)
ちょwwまwww
ニコニコニュース‐【復旧】一部動画でメッセージサーバーにつながらない事象について <br>原因:メッセージサーバーの不具合 <br>類件:死因:心不全(心臓が止まったから、みたいな) <br>要するに説明する気が無いってことね、発表は直ってからだし。
自己レスです。 <br>すみません悪気は無いんです、ツンデレなんです。 <br>ニコニコがんばれ、運営しっかり、という意味です、念のため。