アカウント名:
パスワード:
今回はたまたま Apache 系列で発見されたけど、IIS で発見されたときはどうするの?IIS ならば即座にパッチが提供されるという保証はどこにも無いよ。そのときには Apache に乗り換えるのを薦めるんだろうか。
実運用を考えるならば、Web サーバのみならず WAF(Web Application Firewall) で対応することも考えられるね。構成の一部分(例えばWebサーバだけ)を見て判断するのは早計でしょ。
> なお今のIISは、使い方さえ間違わなければ、Apacheよりも問題は少ないと思う。
先刻も0dayの攻撃があったばかりだと思いますが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
TimeOut ディレクティブ (スコア:1, すばらしい洞察)
教えてエライ人!
とりあえず泥縄で (スコア:-1, 荒らし)
いちおう対処しておきたいのなら、広範に影響が出る恐れのあるタイムアウトの変更よりも、当該の攻撃への対処コードをヤッツケで書いて入れましょう。
オープンソースなんだし、unix使いなら、自分で対処コードを書けるでしょう。
書けないのなら、オープンソースなんか使うのやめてWindowsでIISでも使うべきです。
誰もがコードを読み書きできることで、脆弱性が発見されやすく、それに対処しやすいのがポイントです。
自分で対処できないのであれば、脆弱性が発見されやすいだけで、いいことがありませんよ。
Re: (スコア:0)
今回はたまたま Apache 系列で発見されたけど、IIS で発見されたときはどうするの?
IIS ならば即座にパッチが提供されるという保証はどこにも無いよ。そのときには Apache に乗り換えるのを薦めるんだろうか。
実運用を考えるならば、Web サーバのみならず WAF(Web Application Firewall) で対応することも考えられるね。構成の一部分(例えばWebサーバだけ)を見て判断するのは早計でしょ。
Re:とりあえず泥縄で (スコア:1, 興味深い)
IISなら、IISを選んだことを批判されることはあっても、
自分でソースを読んでパッチを当てられないことを批判されることはない。
なお今のIISは、使い方さえ間違わなければ、Apacheよりも問題は少ないと思う。
Re: (スコア:0)
> なお今のIISは、使い方さえ間違わなければ、Apacheよりも問題は少ないと思う。
先刻も0dayの攻撃があったばかりだと思いますが。