Hardening Your Web Server’s SSL Ciphers
There are many wordy articles on configuring your web server’s TLS ciphers. This is not one of them. Instead, I will share a configuration that scores a straight “A” on Qualys’s SSL Server Test in 2023. Disclaimer: I’m updating this post continually to represent what I consider the best practice at the moment – there are way too many dangerously outdated articles about TLS-deployment out there alr
開発メモ#3 : レガシーなCGIアプリケーションのリファクタリング - naoyaのはてなダイアリー
開発メモその3です。今回は Perl のおはなし。 何年も前に作ったウェブアプリケーションのコードを開いてみたら黒歴史なコードが出てきて憂鬱な気分になる、そんな経験ありませんか。私はあります。ずっとそんな現実から目を背けて生きてきました。 さて、先日 Perl + CGI で書いて Apache::Registry で高速化している、実行環境が Apache に癒着した CGIアプリケーションを発見しました。おえ〜っ。一から作り直したい気持ちをぐっと堪えて、これを Plack 化したりとリフォームしていくとしましょう。その過程を以下記します。劇的ビフォア・アフター! ・・・とかは期待せず、地道な変更を積み重ねていくのがコツです。 方針 いきなりコードをがりがり書き換えていくというよりは、試行錯誤のしやすい環境に移行させていきながらリフォームを進めます。遠回りですが、結果的にその後の運用が楽
【apache】SNI(Server Name Indication)でSSLをVirtual Hostsでも at softelメモ
SNI(Server Name Indication RFC 4366)を使えば、一つのIPアドレスで複数のサイトのSSLを実現することが可能になる。名前ベースのバーチャルホストでSSLを使えるようにする技術。 SNIが使える条件 まず、Apacheが2.2.12以降であること。SSLStrictSNIVHostCheck ディレクティブは2.2.12以降で使える。 他こまかいところ。 OpenSSL 0.9.8f以降。 OpenSSLがTLS拡張オプションありでビルドされていること(enable-tlsext)。OpenSSL 0.9.8k以降はデフォルトで有効。 ApacheがOpenSSL付きでビルドしてあること(./configure –with-ssl=/path/to/your/openssl)。これでmod_sslはSNI対応に。 ApacheがOpenSSLライブラリを利用
ビューワーを使わずにSubvesionリポジトリをグラフィカルにする·Repos Style MOONGIFT
Repos StyleはSubversionのHTTP表示画面をXSLTを使ってグラフィカルにする。 Repos StyleはCSS/XSLTのオープンソース・ソフトウェア。Subversionは通常、独自のプロトコルを使って動作する。通常の運用であればそれでも良いが、インターネット上に配置したり利便性を高める上でHTTPで公開したいと思うはずだ。それを可能にするのがApacheのSubversionモジュールだ。 リスト これを使えばHTTPでもSubversionリポジトリにアクセスできる。クライアントアプリケーションからでは十分だが、Webブラウザからアクセスした時の表示は決して奇麗ではない。Directory Index並みだ。そこで使ってみたいのがRepos Styleだ。 Repos StyleはXSLTで作られたソフトウェアだ。そしてApacheの設定で、Subversion
mod_pagespeed Overview
Learn more Overview Page Speed extension mod_pagespeed for Apache 2 Get Started Page Speed extension mod_pagespeed for Apache 2 Security Considerations Documentation Performance Best Practices Optimize caching Minimize round trip times Minimize request overhead Minimize payload size Optimize browser rendering Page Speed rules (alphabetical) Avoid bad requests Avoid CSS expressions Combine external
VirtualHostの設定をMySQLで管理する·mod-myvhost MOONGIFT
mod-myvhostはApacheモジュールのオープンソース・ソフトウェア。Apacheの設定はhttpd.confで行う。テキストファイルベースなので分かりやすいが、ASPなどでサービスを提供しようと思った時に、設定がシステムから柔軟に変更できればと思うことがある。 設定はこんな感じ 例えばユーザごとにVirtualHostを分ける場合だ。サブディレクトリで命名規則を設けて行う方法もあるが、ユーザ数が増えればそれも苦しい管理になる。そこで使ってみたいのがmod-myvhostだ。 mod-myvhostはVirtualHostの設定をMySQL上で管理できるようにするApacheモジュールだ。専用のデータベースとユーザを作成して、SQLを実行してパスを動的に変更できる。ルートディレクトリを動的に指定したり、有効/無効の切り替えもテーブルのメンテナンスだけでできるようになる。 うまく切り
CACert.orgで無料のSSLサーバを動かすメモ [FreeBSD](fkimura.com)
ホームページのアドレスには「http://」というアドレスから始まるものを良く目にすると思います。 このプロトコルは、インターネット上を流れるパケットを眺めることができるソフトを使うと、すべて見えてしまいます。 個人情報を入力したウェブフォームやアンケート等の情報は、盗み見をしようとすれば見れてしまう可能性が大きいわけです。 そこで、ホームページの内容を暗号化した通信を実現するのが、SSL通信の登場ということになります。 暗号化されたページを、ユーザに送信しても意味がわからない文字化けしたものが送られるだけですが、SSLには認証局が存在し、そこから公開キーの配布を受けることで、複合された状態でブラウザでは表示をすることができるという仕組みです。 Apacheなどのウェブサーバでは「自己認証局」という形で、認証局動作をさせて利用することもできます。 認証局は第3者的な位置で認証してくれるとい
Apacheのアクセスログをsyslog経由で出力するためのモジュールを作りました : DSAS開発者の部屋
皆さんは、負荷分散環境でのApacheのアクセスログをどのように取り扱ってますか? 通常、Apacheのログは動作サーバ上のローカルファイルとして出力されるので、 Webサーバを同時に何台も稼働させて負荷分散を行うような環境では、それらすべ てのWebサーバのログファイルを集めなければなりません。ローカルファイルとし て出力されるということは、Webサーバの台数分だけログファイルがばらけること を意味します。考えるだけでめんどくさいですね。 KLabでは、このApacheログを2パターンを使い分けて集めています。ひとつは syslogによるリモート出力を使い、全Webサーバからのログ出力を一か所に集中さ せる方法です。これは、CustomLogディレクティブにloggerコマンドを使用するこ とで可能です。 CustomLog "|/usr/bin/logger -p local6.inf
mod_ktai/YUMEMI Labs [ゆめみラボ]
mod_ktai (もっど・けーたい) 「mod_ktai」は、弊社が開発したApacheモジュールです。 Apache上で動くアプリケーションに対して、開発言語を問わず携帯サイト作成のための様々な機能を提供することができます。 最新情報 2008/12/26 mod_ktai_emojiマニュアルに追記 & 「よくある質問について」ページを新規追加 2008/10/29 mod_ktai第二弾公開(mod_ktai_image) & バージョンアップ & 対応OS、配布パッケージ追加 2008/07/16 mod_ktai第一弾公開(mod_ktai_info、mod_ktai_emoji) 動作環境 mod_ktaiは現在以下の環境で動作します。 OS:CentOS 5、RedHat Enterprise 5 ミドルウェア:Apache 2.2以上、Boost 1.3
mod_gzip で Vary: * を send すると IE で SSL の挙動が変になる
まず結論から。タイトル通り mod_gzip で Vary: * が http-header として送信されると SSL 通信中の場合に限って IE(Internet Explorer) は Cache-Control とかの内容に関わらずコンテンツをキャッシュしないようです(※特に IE7 全般と IE6 特定の version が変)。本来 Vary ヘッダは proxy の挙動を決定するためのヘッダのはずなのに IE(Internet Explorer) は Vary ヘッダの内容によって挙動が変わってしまうようです。 別の言い方をすると、SSL なページでブラウザの戻るボタン押したときに「ページを表示できません」(※ie6)とか「Webページの有効期限が切れています」(※ie7)とか表示されてしまう場合は proxy を使っていて Vary: * が send されているのが原因と
mod_rewrite で RBL を使ったアクセス制御を行う - y-kawazの日記
RBLを使ったアクセス制限をしたかったんだが、apache標準ではそういうモジュールは存在しない。第3者によるモジュールの実装やパッチ*1は存在するがapacheのバージョンによって使えるモジュールやパッチがまちまちだし実装によって設定方法も違うのでイマイチだった。何とかバージョン共通でコピペで使える方法が無いか考とえたアイデアの一つが以下に示す mod_rewrite を使ったやり方です。 その方法とは外部プログラムを使って RewriteMap を定義して、それに REMOTE_ADDR を渡してアクセス元が SPAM か HAM かチェックするというものです。 RewriteMap用プログラム 以下のような仕様のプログラムを、ここでは /etc/httpd/conf/bin/rbl_map.pl というファイル名で作成します。 標準入力がcloseされるまでループし続ける常駐プログラ
なぜ apache module を更新すると Segmentation fault するのか : DSAS開発者の部屋
今回は、apache module について気になることがあったので紹介します。 先日 バージョンアップするために apache module を更新した直後 apache が Segmentation fault してしまうという問題に気が付きました。 Segmentation fault した後に apache を再起動すれば、新しいモジュールが反映されて正常に動作するものの何故この様なことが起こるのか不思議に思い原因を調査してみました。 % curl http://localhost/ curl: (52) Empty reply from server レスポンスが空です。apache のログには [Thr Mar 29 17:52:01 2007] [notice] child pid 20001 exit signal Segmentation fault (11) この様なエ
Apache の Accept mutex - naoyaのはてなダイアリー
[Sat Mar 17 10:52:36 2007] [notice] Apache configured -- resuming normal operations [Sat Mar 17 10:52:36 2007] [notice] Accept mutex: sysvsem (Default: sysvsem)一つ前の http://d.hatena.ne.jp/naoya/20070311/1173629378 で触れた Apache の accept(2) の順列化の件ですが、そういえば Apache 1.3 だとデフォルトの設定で、Apache 起動時に "Accept mutex" というのが出るんだったと今になって気づきました。これが Apache 1.3 が accept(2) の順列化に複数あるうちどの実装を使ってるかを示すログなんですね。上記だと sysvsem だ
.htaccess ファイルを簡単作成「.htaccess Editor」
リダイレクト Fromにサイトパスを入力、ToにURLを入力 301 Moved Permanently 恒久的に移動 From: To: From: To: From: To: 302 Moved Temporarily 一時的に移動 From: To: From: To: From: To:
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PHP4とPHP5の共存 - よくきたWiki