アカウント名:
パスワード:
今回はたまたま Apache 系列で発見されたけど、IIS で発見されたときはどうするの?IIS ならば即座にパッチが提供されるという保証はどこにも無いよ。そのときには Apache に乗り換えるのを薦めるんだろうか。
実運用を考えるならば、Web サーバのみならず WAF(Web Application Firewall) で対応することも考えられるね。構成の一部分(例えばWebサーバだけ)を見て判断するのは早計でしょ。
自分ですべて開発しているか,特別な保守契約を結んでいるのでない限り,どんなソフトウェアで問題が出た時にも修正版が即座に提供される保証なんてありません.
高トラフィックの環境ではおそらくリバースプロキシやロードバランサーを導入しているでしょうから,おっしゃる通りウェブサーバの前段で対処することもできるでしょうね.
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
TimeOut ディレクティブ (スコア:1, すばらしい洞察)
教えてエライ人!
とりあえず泥縄で (スコア:-1, 荒らし)
いちおう対処しておきたいのなら、広範に影響が出る恐れのあるタイムアウトの変更よりも、当該の攻撃への対処コードをヤッツケで書いて入れましょう。
オープンソースなんだし、unix使いなら、自分で対処コードを書けるでしょう。
書けないのなら、オープンソースなんか使うのやめてWindowsでIISでも使うべきです。
誰もがコードを読み書きできることで、脆弱性が発見されやすく、それに対処しやすいのがポイントです。
自分で対処できないのであれば、脆弱性が発見されやすいだけで、いいことがありませんよ。
Re: (スコア:0)
今回はたまたま Apache 系列で発見されたけど、IIS で発見されたときはどうするの?
IIS ならば即座にパッチが提供されるという保証はどこにも無いよ。そのときには Apache に乗り換えるのを薦めるんだろうか。
実運用を考えるならば、Web サーバのみならず WAF(Web Application Firewall) で対応することも考えられるね。構成の一部分(例えばWebサーバだけ)を見て判断するのは早計でしょ。
Apacheなら即座にパッチが提供される保証があるのか? (スコア:1)
自分ですべて開発しているか,特別な保守契約を結んでいるのでない限り,
どんなソフトウェアで問題が出た時にも修正版が即座に提供される保証なんてありません.
高トラフィックの環境ではおそらくリバースプロキシやロードバランサーを
導入しているでしょうから,おっしゃる通りウェブサーバの前段で対処
することもできるでしょうね.
屍体メモ [windy.cx]