Eveさん、
AN HTTPD の場合はそれで正常です。
ユーザ認証の 前に そんなおかしなパスは存在しない として404エラーにしてしまうからです。
セキュリティ上の問題はありません。
と言っても、/ にユーザ認証をかけている場合、401エラー(認証画面が出る)になる方が違和感はないでしょうから、近いうちに直しておきます。
これって正常なの??
始めましてEveと言います。
今回は気になる事がありましたので書き込みました。
環境は、WindowsXP Pro+1.41gです。
自分の場合、ルートにパスワードをかけています。
認証設定で、パスに「/」にしている。
なので http://ホスト名/ 以下では認証画面が出てくるのですが、
気になる事がありました。
ログを見ると皆さんも来ていると思いますが、Nimdaのログなのですが、
/scripts/..%255c../winnt/system32/cmd.exe HTTP/1.0" 404 353
これなのですが、ルートで認証に設定しているのにエラーは404なんです・・・。
どうも、ホスト以下に、..*.(.が二つ+適当な文字+.)でNot Foundになります。
例:http://ホスト名/..a..
Apacheの場合は認証画面が出てきました。
一応気になりましたので書き込みました。
セキュリティとかわかりませんが、悪用される心配はないのでしょうか?