[FDclone-users:00922] Re: URLDRIVE で HTTP を HTTPS にリダイレクトされると変に

[Takashi SHIRAI <shirai@unixusers.net>]

　しらいです。

In Message-Id <20100908212050.e1b0f079.riki1017kazu@gmail.com>
        Rikito INAKAZU <riki1017kazu@gmail.com>さんwrites:
> 稲員です。

> > 　host や port が変更されたらエラーで弾くようなコードが実装
> > されているようです。でも、考えてみたらそれでいいのかという気
> > がしてきたので、この件もちょっと検討してみます。
> 
> セキュリティ的には出来なくてもいいのかなという気がしますが、
> default で無効でさえあれば機能としては対応出来るようになっていた
> 方が潰しは利きますね。

　私が懸念してるのは、セキュリティ上の都合にしろプログラム上
の都合にしろ、ユーザにそれと伝わらなければ「原因不明の切断」
にしか見えないという点です。
　一般的に、入力した URL が別サーバに redirect されていたと
して、いちいち気にする人っていませんよね。だから phishing 詐
欺が流行ってる訳で。
　もしセキュリティを理由にしてアクセスを遮断するんだったら、
それと判るメッセージなり挙動なりが必要になって来ますよね。

　で、遮断を知らされたら知らされたで、今度は phishing 等の悪
意ないケースで「余計なことするな」と思うユーザの方が多いので
はないでしょうか。
　メッセージを用意するなら「redirect して宜しいですか？」と
確認た上で、遮断しないという選択肢を用意しておかないと、不必
要に神経を逆撫でするだけになってしまいます。

　そういう配慮はそれはそれでややこしい話なんで、取り敢えず無
条件で通す実装にしておいて、それで phishing 的な悪意が問題に
なるようなら再考するという方針の方がいいんじゃないでしょうか。
　実際、phishing を仕掛けようとするようなサイトは殆どが GUI
で構成されていて directory browsing 出来るようにはなっていな
いんじゃないでしょうかね。
　FDclone の HTTP browsing で想定してるのは Ring Server のよ
うな複雑な階層構造を持つサイトなんで、セキュリティ面を重視し
ても余り意味がないように思えます。
　それよりは、redirect を挟むことで無条件に遮断されてしまう
現状の方が問題が大きいのではないでしょうか。


> シンプルなのはやっつけで setup した apache なんで mod_autoindex
> module が default 動作のままなっている為でした。
> "IndexOptions FancyIndexing HTMLTable" のように設定されていれば、
> しらいさんのおっしゃる通りテーブルで返してくれます。

　私の場合は、むしろ検証用環境をやっつけで設定したからこそ、
package 既定の設定になって table 化されたんだと思います。一
から compile してまで用意する気力が無かったもので。
　取り敢えず VM で HTTP server 立上げようと思った時に、一番
楽そうだったんで apt-get ですぐに用意出来そうな Linux を選択
してしまいました。


> > 　この patch を試してみて下さい。
> 
> 正しく展開されるようになりました。

　但し、ステータス情報が一切含まれていないので、日付もサイズ
も画面表示されないと思います。これは一般の browser から見て
も見づらいので、公開サイトでこの設定は普通しなさそうですね。


> なるほど。確かに統一感が有りますね。ただ、説明の必要性という点に
> 関しては、むしろ「URL 形式にも wildcard を使用出来る」ことの方が
> 私的には意外でした。それで A かなと思っていたんですが、よくよく
> 考えてみれば、それは私が URLDRIVE=0 で使うのに慣れているからで、
> URLDRIVE=1 で使っている方にしてみれば出来る方が自然なんだろうな
> という気もします。

　B. 方式で実装出来る目処がついたので、週末にでも頑張って実
装してみようと思います。redirect の件ともども、今月中には解
決したものを release 出来ればと考えています。

                                               しらい たかし