いつきコンテンツ

ヘルプ

カウンター


2008-06-22 寝てた……

と言いたい所だが、結構起きてた気がする。

[日記][Apache] AllowEncodedSlashes ディレクティブにはまる。

原因はこれ→\(●)/とは (るるーしゅとは) - ニコニコ大百科

某所でリダイレクトできなくて(?_?)と悩んでいたのだが、どうやらAllowEncodedSlashesはデフォルトではOffらしい。この時、%2fがURLに入っていると、Apache(とりあえず、ウチのバージョンは。他は未検証)では、問答無用で404になる。例えばこんな感じに。%2fってディレクトリを作っても駄目でした。

で。

Onにすると、%2fも/として解析してくれる。*1

これを有効にした時に、何が問題って、../相当のことが出来ることなんだよね。あと、PATH_INFOが/で渡されたか、%2fで渡されたか判断がつかなくなる。まぁ、PATH_INFOは変な値を持ってることが多いので(つか、勝手に正規化されていたりする)使わないようにしているので、問題なし(ぉぃ

……当然ながら%2fを/として解析しちゃうので、こんな妙なURLでもアクセスできてしまう。

これも何だかなぁーと思うが、まぁ、セキュリティ上の問題として、自分所のドメイン以外には飛べないっぽい*2ので、まぁよしとした。逆に言うと、同じドメインで違うユーザが使ってる場合はOnにすると危険かもしれない。

今度余裕のある時にソースコードと追いかけっこしてみよう。

……ちなみに、ChangeLogには、「Default condition is off (the historical behaviour).」という面白い言葉が(笑)

参考にした所:PATH_INFOに「%2F」が含まれていると404エラーになる(AllowEncodedSlashesで解決) mod_rewriteでの%2F問題

自分のサーバでは全公開が前提なので問題になることは少ないかも知れないけど、これをonにすると、「内部専用URL」に..%2fを使ったディレクトリトラバーサルチックな何かでアクセスできてしまう可能性があるなぁ。あと、FWとかでアクセスできる範囲をサーバじゃなくてディレクトリで決めている場合も同じような問題が発生しそうだ。

他に問題が発生することはないか考えながら巡回をすることにしよう。

とりあえず、%252Fというのも怪しい挙動をしそうだ、と言うことが分かった(笑)

余談:dic.nicovideo.jpのサーバ、Server: Apache Baseball Armyって返してくるんですが(笑)

追記:AllowEncodedSlashes Onにして、%2fでアクセスした時の問題点

ブラウザと、(おそらく多くのproxyと)のURLアクセス先の解釈と、サーバ側のアクセス先の解釈が異なってしまう。これにより、ブラウザ上で直感的に見えるURLと違う所をアクセスしている危険がある。

なんかこの辺に、セキュリティホールのネタがありそうな気がする。

ところで、RFCとか規則上って、「/」をURL encodeして「%2F」にしても良いのか? それともしてはいけないのか。これがよく分からん。

例えば、/home/ituki/public_html/%2F/index.htmlにアクセスする場合、http://(略)/~ituki/%2F/index.html と書くのか? しかし、/をURL encodeしていいなら、~ituki///index.htmlと~ituki/%2F/index.htmlの違いがわからん。もしかしてこの場合、%を%25にエンコードしなくてはならなくて、~ituki/%252F/index.htmlという結構訳の分からんアクセスの仕方をしなければならんのか?

さて、答えはどっちだろう。どっちにしろ、この辺の実装、セキュリティ的にヤバゲなソフトが多そうだ。

*1 余談だが、某所における最善の方法はPATH_INFO相当を使わずに?パラメータでURLを渡してやることだと思っている……が、めんどくさいのでこれはまた今度。

*2 mod_proxy入ってる時の挙動が怖いなぁ……(^^;

[情報] XPへのダウングレードはしないでください、Vista普及でマイクロソフトが新手の戦略

XPが駄目ならLinux+Wineを入れればいいのよ!(ぉぃ

冗談はさておき。ワシ的にはVistaに魅力を感じないんですよね。

まぁ……この間VMwareにWindows98入れてみたんだけど、「これでイイジャン」と思ったからなぁ(苦笑

[ネタ] 「Leaf」「Key」「TYPE-MOON」でコミケに参加するサークル数の盛衰

コミケ63(2002/12/30)が頂点

ヘー ヘー ヘー( ・∀・)つ〃∩

[ネタ][メモ] YouTube - visualarts さんのチャンネルができました

おお。

とりあえず、RSSが取れたのでググるリーダに放り込んでおいた。

[日記] ここ数日引きこもってたら

声が出ない(汗

声帯がふるえなくて(?)音にならん!(笑)

[ネタ][情報] TVA「とらドラ!」今秋放送開始予定でTVアニメ化進行中!

「とらドラ!」も原作レイプ常習犯のJ.C.STAFFか。しかも、作品抱えすぎだし。

原作とは別物になるのが安易に想像できるような…。

_| ̄|○

面白ければもうけもの、位の気持ちで待っていよう。

[ネタ][メモ] 「先輩アンソロジー」 誰もいない美術室で乳もみ

実は買い物リストに入っている……ので来週末には入手している予定……売り切れてなければ(笑)

「先輩」「黒髪」「長髪」

ワシの反応キーワードです。

[情報][メモ] PCによるWebアクセスは、あと何年で消えるのだろう-携帯がPCを駆逐する日

うーん、情報を発信している人がいる限りは残りそうだなぁ。

絶対数は減ると思うけどね。

Last Update: 2008-06-23 01:23:56
本日のツッコミ(全2件) [ツッコミを入れる]
はち (2008-06-23 00:48)

ニコニコニュース‐【復旧】一部動画でメッセージサーバーにつながらない事象について <br>原因:メッセージサーバーの不具合 <br>類件:死因:心不全(心臓が止まったから、みたいな) <br>要するに説明する気が無いってことね、発表は直ってからだし。

はち (2008-06-23 01:23)

自己レスです。 <br>すみません悪気は無いんです、ツンデレなんです。 <br>ニコニコがんばれ、運営しっかり、という意味です、念のため。


カレンダー

2003|04|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|04|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|04|05|06|07|08|09|10|11|12|
2012|01|02|03|04|05|07|08|11|
2013|03|05|08|
2014|01|
2015|04|05|06|07|09|10|12|
2016|01|03|05|06|10|11|
2017|06|
2018|05|08|09|10|11|
Generated by tDiary version 4.1.2 + amazon(DB Patch 0.2.1) + counter(DB Patch 0.2) + IKPatch version beta 4.0.1.
Powered by Ruby version 2.1.5-p273 with ruby-fcgi