No.4590, No.4589, No.4588, No.4587, No.4586, No.4585, No.4584[7件]
by tomoyo. ⌚2024年7月20日(土) 17:34:47〔313日前〕 <97文字> 編集
とり🐓
by admin. ⌚2024年7月20日(土) 09:57:00〔314日前〕 <3文字> 編集
うま🐎
by misaki. ⌚2024年7月19日(金) 23:39:51〔314日前〕 <3文字> 編集
うし🐄
by admin. ⌚2024年7月19日(金) 20:54:14〔314日前〕 <3文字> 編集
>>4585
4584です。
fumycts.plについて詳しく教えてくださりありがとうございます。外部からの攻撃を防ぐための機能なんですね。安易にいじらずお尋ねしてよかったです。
他のXREAユーザーも共有SSLを使っていれば同じss1.xrea.comからのリクエストを送れてしまうので、これを例外許可するとまずいということですよね…
https://ss1〜〜〜tegalog.cgi
のQUICKPOSTからでも同じエラーが出てしまうので、
自分だけhttpを使う方向で考えてみようかと思います。
ありがとうございます!🍹
#感謝
4584です。
fumycts.plについて詳しく教えてくださりありがとうございます。外部からの攻撃を防ぐための機能なんですね。安易にいじらずお尋ねしてよかったです。
他のXREAユーザーも共有SSLを使っていれば同じss1.xrea.comからのリクエストを送れてしまうので、これを例外許可するとまずいということですよね…
https://ss1〜〜〜tegalog.cgi
のQUICKPOSTからでも同じエラーが出てしまうので、
自分だけhttpを使う方向で考えてみようかと思います。
ありがとうございます!🍹
#感謝
by admin. ⌚2024年7月19日(金) 13:36:30〔315日前〕 <270文字> 編集
たこ焼きを食べました。6個。
🥞Re:4584◆ss1.xrea.com ドメインを使った、お使いのてがろぐのURL(例えば、https://ss1.xrea.com/ ID.SERVER.xrea.com /tegalog/tegalog.cgi 等)にアクセスした状態で、そこに見えているQUICKPOSTから投稿しても、同様のエラーが出ますか?
もしそうなら、お使いの環境では「閲覧者に向けてはhttpsの方を公開しておいて、自分だけはhttpの方を使う」という方法しかなさそうに思います。
---
> FAQの「fumycts.plを書き換える」で解決できるケースでしょうか?
> おすすめではないと書かれている点について、よければ詳しく教えていただけませんか?
お使いの状況では、fumycts.plを書き換える方法で解決してはいけません。(書き換えると、エラーは出なくなりますが。)
これは、フィッシング攻撃や、CSRF(クロスサイト・リクエスト・フォージェリ)攻撃を防ぐ機能の1つだからです。他所のWebサイトに攻撃用のページを作成しておいて、そこに何らかの方法であなた(=てがろぐにログインする権利を持った人物)を誘導した上で、その攻撃用ページから何らかの情報(ログイン情報なり投稿データなり設定変更情報なり)をてがろぐに向けて送信することで、パスワードを盗んだり変更したり、意図しない投稿をさせたり、意図しない設定変更をさせたりする……、というのを防ぐ機能です。
そのために、「そのてがろぐが稼働しているドメイン」ではないドメインから送られてきたリクエストは拒否する仕様になっています。
この機能を無効にしてしまうと、フィッシング攻撃やCSRF攻撃を防げなくなってしまいます。なので、一般のWeb上に公開されているてがろぐでは無効にしてはいけません。無効にする方法を用意しているのは、あくまでも「ローカルで稼働させている」とか「何らかの別のセキュリティで守られた空間で稼働させている」とか、第三者がアクセスすることはないと断言できる場所で稼働させている場合のためです。
なお、「例外のドメインを1つ設定できたら良いのでは?」と思われるかもしれませんが、今回の場合、もし ss1.xrea.com ドメインを例外として許容してしまうと、同じドメインの使用権を持つ他者からの攻撃が防げなくなる問題がありますので、そうはできないのです。
(根本的に解決するには、「自分だけが使えるサブドメイン」でhttpsを使わせてくれるサーバを使う、という手しかないと思います。)
🥞Re:4584◆ss1.xrea.com ドメインを使った、お使いのてがろぐのURL(例えば、https://ss1.xrea.com/ ID.SERVER.xrea.com /tegalog/tegalog.cgi 等)にアクセスした状態で、そこに見えているQUICKPOSTから投稿しても、同様のエラーが出ますか?
もしそうなら、お使いの環境では「閲覧者に向けてはhttpsの方を公開しておいて、自分だけはhttpの方を使う」という方法しかなさそうに思います。
---
> FAQの「fumycts.plを書き換える」で解決できるケースでしょうか?
> おすすめではないと書かれている点について、よければ詳しく教えていただけませんか?
お使いの状況では、fumycts.plを書き換える方法で解決してはいけません。(書き換えると、エラーは出なくなりますが。)
これは、フィッシング攻撃や、CSRF(クロスサイト・リクエスト・フォージェリ)攻撃を防ぐ機能の1つだからです。他所のWebサイトに攻撃用のページを作成しておいて、そこに何らかの方法であなた(=てがろぐにログインする権利を持った人物)を誘導した上で、その攻撃用ページから何らかの情報(ログイン情報なり投稿データなり設定変更情報なり)をてがろぐに向けて送信することで、パスワードを盗んだり変更したり、意図しない投稿をさせたり、意図しない設定変更をさせたりする……、というのを防ぐ機能です。
そのために、「そのてがろぐが稼働しているドメイン」ではないドメインから送られてきたリクエストは拒否する仕様になっています。
この機能を無効にしてしまうと、フィッシング攻撃やCSRF攻撃を防げなくなってしまいます。なので、一般のWeb上に公開されているてがろぐでは無効にしてはいけません。無効にする方法を用意しているのは、あくまでも「ローカルで稼働させている」とか「何らかの別のセキュリティで守られた空間で稼働させている」とか、第三者がアクセスすることはないと断言できる場所で稼働させている場合のためです。
なお、「例外のドメインを1つ設定できたら良いのでは?」と思われるかもしれませんが、今回の場合、もし ss1.xrea.com ドメインを例外として許容してしまうと、同じドメインの使用権を持つ他者からの攻撃が防げなくなる問題がありますので、そうはできないのです。
(根本的に解決するには、「自分だけが使えるサブドメイン」でhttpsを使わせてくれるサーバを使う、という手しかないと思います。)
by nishishi. ⌚2024年7月19日(金) 12:12:12〔315日前〕 回答/返信 <1183文字> 編集
#質問
XREAにて運用していたてがろぐサイトをSSL化するため作業中なのですが、
共有SSLを使ったhttpsの方から投稿や管理画面で何かすると、以下のエラーメッセージが出るようになりました。(IDとサーバー名は伏せてます)
XREAの共有SSLのURLは
https://ss1.xrea.com/ID.サーバー名.xrea.com/
非SSLの本体部分?は
http://ID.サーバー名.xrea.com/
にあります。
そのためこういうドメイン違いのエラーが出るのかなと思い、httpの方から試すと投稿や設定は問題なく(今まで非SSLで運用していた通りに)できました。
この状況だと、常にhttpの方から投稿や管理作業をするしか選択肢はないですか?
QUICKPOSTを常用していたので、もしhttpsの方からそのままQUICKPOSTで投稿できる方法があったら嬉しいのですが…
(それか、閲覧者に向けてはhttpsの方を公開しておいて、自分は今まで通りhttpの方を使い続けるのが一番丸いですかね?)
FAQの「fumycts.plを書き換える」で解決できるケースでしょうか?
https://www.nishishi.com/cgi/tegalog/faq/#differentpla...
あまりおすすめではないと書かれている点について、よければ詳しく教えていただけませんか?
何か見落としてる設定とかあったらすみませんがご指摘ください。
よろしくお願いします。
XREAにて運用していたてがろぐサイトをSSL化するため作業中なのですが、
共有SSLを使ったhttpsの方から投稿や管理画面で何かすると、以下のエラーメッセージが出るようになりました。(IDとサーバー名は伏せてます)
CGIの設置ドメインとは異なる場所からデータが送信されました。リクエストは受け付けられませんでした。
(データ送信元: //ss1.xrea.com /
実行位置: //ID.サーバー名.xrea.com)
XREAの共有SSLのURLは
https://ss1.xrea.com/ID.サーバー名.xrea.com/
非SSLの本体部分?は
http://ID.サーバー名.xrea.com/
にあります。
そのためこういうドメイン違いのエラーが出るのかなと思い、httpの方から試すと投稿や設定は問題なく(今まで非SSLで運用していた通りに)できました。
この状況だと、常にhttpの方から投稿や管理作業をするしか選択肢はないですか?
QUICKPOSTを常用していたので、もしhttpsの方からそのままQUICKPOSTで投稿できる方法があったら嬉しいのですが…
(それか、閲覧者に向けてはhttpsの方を公開しておいて、自分は今まで通りhttpの方を使い続けるのが一番丸いですかね?)
FAQの「fumycts.plを書き換える」で解決できるケースでしょうか?
https://www.nishishi.com/cgi/tegalog/faq/#differentpla...
あまりおすすめではないと書かれている点について、よければ詳しく教えていただけませんか?
何か見落としてる設定とかあったらすみませんがご指摘ください。
よろしくお願いします。
by admin. ⌚2024年7月19日(金) 08:42:45〔315日前〕 <753文字> 編集
大量のそこそこ長文箇条書きとかも後から読み返すのに読みやすくてとても助かってます。