PHPセキュリティネタ

Apacheに対するサービス拒否攻撃を回避する方法

例えば,1つのIPアドレスが自分のサイト全体から指定した時間内(設定項目は「DOSPageInterval」)にリクエストできるページ数の上限(設定項目は「DOSSiteCount」)や,1つのIPアドレスが指定した時間内(前述の「DOSPageInterval」)リクエストできるページリロード回数の上限(設定項目は「DOSPageCount」),リクエストを出しているIPアドレスが上限を超えたときに,それをブロックする時間(設定項目は「DOSBlockingPeriod」)−−−などを設定できる。

中略

だが設定を慎重に行わないと,Webページの先読み込みをどんどん行うブラウザやプロキシ・サーバーを使うような,比較的悪意のないユーザーまでブロックしてしまう可能性がある

フィルタリングツールというか、IDSののりで設定をチューニングする必要があるということでしょうか。
だとすると、このチューニングがなかなか大変そうだし、トラブルの際の切り分けも難しそうですね。mod_evasiveの存在に気が付かないと何時までたっても「なぞの挙動」に悩まされることに。。

PHPの「守護神」Suhosin

 Esser氏は自身のブログで,「(辞任した理由は)いくつかあるが,最も決定的だったのは,PHPそのもののセキュリティを高めようといくら頑張っても無駄な努力だと悟ったことだ」と説明した。さらに「PHP開発陣はPHPのセキュリティ問題の責任をユーザーに転嫁することには熱心だが,誰かがPHPそのもののセキュリティを批判しようとすると,たちまち好ましからざる人物として目の敵にする。私がPHPのセキュリティ・ホールを公表したり,Suhosinの開発を進めたことで,何度彼らから不忠の裏切り者呼ばわりされたことか」とPHP開発陣を批判した。

やっぱ時代はRoRなのでしょうかねぇ
subsonはPHPウォッチの特集がわかり易いですね。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です