パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「.svn」「CVS」ディレクトリを狙ってWebサイトの非公開ファイルをゲット 」記事へのコメント

    • CVSの制御ディレクトリは "CVS" で、".cvs" ではありません。
    • 少なくともApacheの「デフォルトの構成 (=Apache配布のtarballやディストロのパッケージ)」では、ドットで始まるファイルやディレクトリを不可視にはしてありません。不可視なのは ".ht" で始まるファイルです。
    • ディレクトリリスティングを返さない設定にしていても防御できません。例えば .svn/entries にはファイルとディレクトリの一覧が書いてあります。
    • すみません。原文には .cvs だの、ドットファイルのアクセス制御だのなんて書いてありませんし、entries とか .svn-base とかきちんと具体的に指摘しています。ここいらは訳者が勝手に付け足した部分ですかね。原文の作者にお詫び申し上げます。
      • by doda (31157) on 2009年09月25日 15時31分 (#1644267) 日記

        少なくともApacheの「デフォルトの構成 (=Apache配布のtarballやディストロのパッケージ)」では、ドットで始まるファイルやディレクトリを不可視にはしてありません。不可視なのは ".ht" で始まるファイルです。

        これは多分 autoindex の設定から勘違いしたんでしょうね。
        IndexIgnoreの設定は標準では .??* *~ *# HEADER* README* RCS CVS *,v *,t となっていますので、autoindexでは表示されません。
        URLで指定すればアクセスできてしまうのはたしかにそうですが。

        親コメント

計算機科学者とは、壊れていないものを修理する人々のことである

処理中...