ふぇみにん日記 - 建築家の自邸 , mod_limitipconn , hiki(farm) の cvs 対応にセキュリティホール

2003-07-30 [長年日記]

_1 [Book] 建築家の自邸

あえて詳しくは書きませんが紹介しておきます。:)

_2 [Net] mod_limitipconn

ついに見つけました。apache-2 で同一 IP からの複数接続を制限するモジュールです (apache-1 用もあります)。

さっそく第二に適用しました。

RewriteRule ^[^.]+\.tdiary\.net/?$              %{HTTP_HOST}/index.rb
RewriteRule ^[^.]+\.tdiary\.net/([0-9]+)\.html$ %{HTTP_HOST}/index.rb?date=$1
RewriteRule ^([^.]+)\.tdiary\.net(.*)           /home/tdiary/users/$1$2
(中略)
<Files *.rb>
    MaxConnPerIP 2
</Files>

前半の mod_rewrite で日記系の全てのアクセスは必ず *.rb というファイル名がつくので、後半のように簡単に指定できます。

「たった 2 アクセスで制限？」と思われるかもしれませんが、これはあくまで「同時接続の数」ですので、通常の日記ブラウズには十分だと思います。

_3 [Wiki][Security] hiki(farm) の cvs 対応にセキュリティホール

私の中途半端なコードのために、hiki(farm) にセキュリティホールを作ってしまったことが判明しました。報告とパッチをいただいたので、修正してコミットし、わかる範囲で hikifarm の設置されているサイトのバージョンを確認してまわって、脆弱性のあるサイトの管理者の方に報告しました。

発見して修正パッチを送ってくださった西山さん、どうもありがとうございました。そして hiki 作者のたけうちさん、ご迷惑をおかけしてごめんなさい。

うーん、かなりへこんでいます。

本日のツッコミ(全5件) [ツッコミを入れる]

_ ただただし (2003-07-30 23:32)

2じゃぁ、タブブラウザで一気に開くときに困るよん。はてなだってそんなに厳しくないだろう

_ Nyan2 (2003-07-31 00:09)

うーん、あくまで同時接続数ですから、特に問題はないかと思います。
タブブラウザで開く場合でも、開ききってしまったページはカウントされないでしょうから、1タブずつ時間差で開いていくだけじゃないですか?
今、手元で自分の日記をじゃかじゃか開いてみましたが、特に問題は感じませんでしたが…。
もしかして、もっと大きなものが潜んでます?(^^;
なに

_ かずひこ (2003-07-31 00:18)

「一気に開く」ときに困るのは確かにそうなのですが、一気に開かれると他の人が困る (可能性がある) のも事実なんですよね。でも 2 から 3 に増やしました (弱っ。

_ たけうち (2003-07-31 04:39)

とんでもないです。迅速な対応ありがとうございます。私もありえない時間…（以下省略）

_ ただただし (2003-07-31 13:52)

問題になるのは、長時間にわたって多数のアクセスをするボットであって、短時間に複数のページを開こうとする個人じゃないから、この対策はどれほど有効かよくわからないな。

[]