アカウント名:
パスワード:
-- cooper
実際にセキュリティホール突いてみたんですか?
debianみたいにバージョン上げずにバックポートしてる場合もあると思うんですが、それって普通にブラウザ等でアクセスする範囲内で判別つきます?。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
mod_alias.c の場合 (スコア:3, 参考になる)
# そのまま引用しようとしたら、投稿フィルタに引
-- cooper
Re:mod_alias.c の場合 (スコア:3, 興味深い)
Revision: 1.17, Tue Jul 8 03:45:28 1997 UTC (6 years, 3 months ago) by akosut
ここで問題のバグが入って6年3ヶ月に渡って気付かれなかった模様。
今現役で動いてるApacheは1.xも2.xも全部影響受ける気がする。
Re:mod_alias.c の場合 (スコア:0)
てか、未だに1.3.27以前を結構見るよ。
もちろんパッチ当てた形跡無し。
#他人様のサーバーにゃ手を出しちゃいけねぇよ。
パッチ当てた形跡無しって (スコア:0)
実際にセキュリティホール突いてみたんですか?
debianみたいにバージョン上げずにバックポートしてる場合もあると思うんですが、それって普通にブラウザ等でアクセスする範囲内で判別つきます?。
Re:パッチ当てた形跡無しって (スコア:0)
w3mのように "v" キー1発でhtmlをplain textとして閲覧できたり、
"=" キー1発でresponce headerや文字コードなどの情報を参照ができたり、
framesetの構造を簡単に把握(?)できるものもあります。
それらが困難なウェブブラウザーもあります。
open sourceのブラウザーを改造してみたり、
自分でブラウザーを新規
Re:パッチ当てた形跡無しって (スコア:0)
だけなのか、バージョン表記はそのままでパッチあててあるのかを
区別できるんですか?
Re:パッチ当てた形跡無しって (スコア:0)
実際のOSのバージョン番号が異なっていることを
パケットヘッダーを観察することによって判断できることと同じです。
httpdがレスポンスヘッダーによって返すバージョン番号と
実際のバージョン番号が違っていることを判断するための観察機能を
持ち合わせるブラウザーを用意してもいいし、
Re:パッチ当てた形跡無しって (スコア:0)
> httpdがレスポンスヘッダーによって返すバージョン番号と
> 実際のバージョン番号が違っていることを判断するための観察機能を
> 持ち合わせるブラウザーを用意してもいいし、
そんなブ
Re:パッチ当てた形跡無しって (スコア:0)
どこかで公開されているexploit sample codeを混ぜれば良いだけでは?
そんなもの誰でも簡単
Re:パッチ当てた形跡無しって (スコア:0)
で、それは「普通にブラウザ等でアクセスする範囲内」であると。
馬鹿だなぁ。
Re:パッチ当てた形跡無しって (スコア:0)
RFC 2616のプロトコルのクライアントとしての役割を果たす
ソフトウェアという意味でよろしいですね。
そのようなソフトウェアを使って
apache httpdが自称するバージョン情報に依存することなく
実際に稼働しているapache httpdのバグの有無を知ることが
可能か不可能かという点において意見が分かれているようですが、
どちらの意見を出している側も
まだ理由を明確にしていないようですので、
まずは両方とも理由を出すべきでしょう。