Apache のキャッシュ管理機能は、エンティティタグ(ETag)のヘッダを利用しており、デフォルトでは、HTTPヘッダにETagが含まれる。 で、これが脆弱性になるようだ。
# うーん、デフォルトでOFFにしておいてくれよ。
Etagの対処方法
ということで、対処を実施。
httpd.confに以下を追加。
FileETag None
確認は、Chromeのchrome://net-internalsなどにより、HTTPヘッダに ETag が含まれないことを確認。
# Apacheのセキュリティ対策ってメンドイ。
Secure by Defaultの考え方でApacheを提供してくれないのかなぁ。 > RedHat
FileETag None
確認は、Chromeのchrome://net-internalsなどにより、HTTPヘッダに ETag が含まれないことを確認。
# Apacheのセキュリティ対策ってメンドイ。
Secure by Defaultの考え方でApacheを提供してくれないのかなぁ。 > RedHat
