On 18 July 2016, a vulnerability named ‘HTTPoxy’ was announced, affecting some server‑side web applications that run in CGI or CGI‑like environments, such as some FastCGI configurations. Languages known to be affected so far include PHP, Python, and Go. A number of CVEs have been assigned, covering specific languages and CGI implementations: Apache HTTP Server (CVE-2016-5387)Apache Tomcat (CVE-201
ApacheやNginxとopensslのバージョンを指定するとおすすめの暗号スイートなど、SSL設定ファイルを表示してくれるMozillaのサイトがあります。 https://mozilla.github.io/server-side-tls/ssl-config-generator/ これを使えば安全な暗号スイートのみを使ってる設定などが簡単に生成されますので、この通りに指定すれば良いです。 Apacheの場合はデフォルトでは暗号スイート設定の記述はなかったと思いますが、下記の3つは表示通りに指定しておくのが良いかと思います。 SSLProtocol SSLCipherSuite SSLHonorCipherOrder Oldを選択すると、古いブラウザにも対応してる暗号スイートを含めます。ただ暗号強度が弱いものが含まれるためサイトのアクセス傾向をみて古いブラウザのアクセスが無いのであれ
Nginxの1.3.9から1.4.0のバージョンにバッファオーバーフローの脆弱性があることが明らかになった。これを受けてNginxの開発チームは問題を修正したNginx 1.4.1安定版およびNginx 1.5.0開発版を公開した。特定の細工されたリクエストを送信されると、パーサにおける不正チェックをくぐり抜けてスタックがバッファオーバーフローを起こすという脆弱性で、この脆弱性を利用されると任意のコードが実行される危険性がある。 Nginx 1.4.0はまだリリースされてからさほど時間がたっておらず、採用しているサーバの割合はかなり少ないものと想定される。多くの場合、ひとつ前の安定版である1.2系を採用している。1.2系はこの問題を持っていないため、そのまま運用することが可能。現在の1.2系最新版は1.2.8。 ただし、今後1.2系はレガシーなブランチとなり、安定版は1.4系となる。現在1
HTTPガイドHTTP の概要典型的な HTTP セッションHTTP メッセージMIME タイプ(IANA メディア種別)HTTP の圧縮HTTP キャッシュHTTP 認証HTTP Cookie の使用HTTP のリダイレクトHTTP 条件付きリクエストHTTP 範囲リクエストコンテンツネゴシエーションHTTP/1.x のコネクション管理HTTP の進化プロトコルのアップグレードの仕組みプロキシサーバーとトンネリングHTTP クライアントヒントHTTP セキュリティサイトの安全化HTTP ObservatoryPermissions Policy Experimental コンテンツセキュリティポリシー (CSP)オリジン間リソース共有 (CORS)Cross-Origin Resource Policy (CORP)ヘッダーリファレンスHTTP ヘッダーAcceptAccept-CHAc
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く