SSIは危険?
[上に]
[前に]
[次に]
まいむ
[E-Mail]
2000/01/18(火) 20:47:55
素人の質問ですがSSIを使うのはセキュリティー上の危険とかあるものでしょうか。
seea
2000/01/19(水) 06:55:45
SSI の仕組みをよく理解しないまま使うと、危険な SSI になることがあります。
これは CGI についてもそうです。
何がセキュリティー上の危険なのか、回避するには何をすればいいのか
それらをネット(または書籍)などで、自分で検索して調べられるくらいの
技量と心掛けがあれば、ほぼ安全です。
適当に使っても安全なこともありますが、よく理解していないうちは、
使わないということにしたほうが無難です。(あくまで私の推奨です)
まいむ
[E-Mail]
2000/01/19(水) 07:50:48
実のところ使用したいのはインクルードのみで、ヘッダー、フッター表示の目的だけなのですが、どんなものでしょうか。あるいは、SSI以外の方法で複数ページにヘッダー・フッターを表示できる方法があったら教えていただけないでしょうか。
なむら
2000/01/20(木) 00:49:47
FrontPageの共有枠は?
徒歩
[E-Mail]
[HomePage]
2000/01/20(木) 04:11:18
SSIをちょっとした短い文等に使うのでしたら、お勧めできませんよ。
サーバーの処理関係で、1.5〜2秒表示速度が遅くなります。
ではー
B-Cus
2000/01/20(木) 07:53:23
> サーバーの処理関係で、1.5〜2秒表示速度が遅くなります。
そうですか? よほど重いサーバでない限り問題ないと思います。
なお、SSI で気をつけなければいけないのは、例えば
http://www.so-net.ne.jp/ClubHouse/room/pc_scramble_win/pc_scramble_win.html
のように、HTML を生成する BBS の場合、もし SSI を有効に
していて、さらに悪意のある投稿者が
<!--#exec cmd="/bin/rm -rf /"-->
などというメッセージを書き込むと、そのページを閲覧するたびに
/bin/rm -rf /
が実行されてしまうわけです。
それをさせないための対策は、
- < > を < > に置換する
- Options -Includes で SSI を無効にする (apache の場合)
- Options +IncludesNoExec で SSI include だけを有効にする (apache の場合)
といったものがあります。
その点さえ ちゃんとしておけば、SSI 自体は安全な仕組みです。
まいむ
2000/01/21(金) 04:02:16
[[解決]]
皆様いろいろありがとうございました。とりあえず、
- Options +IncludesNoExec
で対応したいと思います。
[上に]
[前に]
[次に]