SSIは危険?

[上に] [前に] [次に]
まいむ [E-Mail] 2000/01/18(火) 20:47:55
素人の質問ですがSSIを使うのはセキュリティー上の危険とかあるものでしょうか。

seea 2000/01/19(水) 06:55:45
SSI の仕組みをよく理解しないまま使うと、危険な SSI になることがあります。
これは CGI についてもそうです。

何がセキュリティー上の危険なのか、回避するには何をすればいいのか
それらをネット(または書籍)などで、自分で検索して調べられるくらいの
技量と心掛けがあれば、ほぼ安全です。

適当に使っても安全なこともありますが、よく理解していないうちは、
使わないということにしたほうが無難です。(あくまで私の推奨です)

まいむ [E-Mail] 2000/01/19(水) 07:50:48
実のところ使用したいのはインクルードのみで、ヘッダー、フッター表示の目的だけなのですが、どんなものでしょうか。あるいは、SSI以外の方法で複数ページにヘッダー・フッターを表示できる方法があったら教えていただけないでしょうか。

なむら 2000/01/20(木) 00:49:47
FrontPageの共有枠は?

徒歩 [E-Mail] [HomePage] 2000/01/20(木) 04:11:18
SSIをちょっとした短い文等に使うのでしたら、お勧めできませんよ。
サーバーの処理関係で、1.5〜2秒表示速度が遅くなります。

ではー

B-Cus 2000/01/20(木) 07:53:23
> サーバーの処理関係で、1.5〜2秒表示速度が遅くなります。
そうですか? よほど重いサーバでない限り問題ないと思います。

なお、SSI で気をつけなければいけないのは、例えば
 http://www.so-net.ne.jp/ClubHouse/room/pc_scramble_win/pc_scramble_win.html
のように、HTML を生成する BBS の場合、もし SSI を有効に
していて、さらに悪意のある投稿者が
 <!--#exec cmd="/bin/rm -rf /"-->
などというメッセージを書き込むと、そのページを閲覧するたびに
 /bin/rm -rf /
が実行されてしまうわけです。

それをさせないための対策は、
 - < > を &lt; &gt; に置換する
 - Options -Includes で SSI を無効にする (apache の場合)
 - Options +IncludesNoExec で SSI include だけを有効にする (apache の場合)
といったものがあります。

その点さえ ちゃんとしておけば、SSI 自体は安全な仕組みです。

まいむ 2000/01/21(金) 04:02:16
[[解決]]
皆様いろいろありがとうございました。とりあえず、
 - Options +IncludesNoExec
で対応したいと思います。

[上に] [前に] [次に]