>MTSYSの中の人さん
なるほど了解です。>被害の可能性
ご指摘ありがとうございました。
この場合中田様にご連絡して該当レスを削除していただくほうがいいようですね。
「一般パスで実行」は現在はずしてあるのですが
サイト全体をチェックして検討してみます。
ありがとうございました。
>ちりりん♪さん 藤原さん
状況を再現できました。この状態であれば酷く単純なことでしたorz
初期設定である「拡張子".pl,.cgi"の"一般パスでも実行する"のチェック」が外れていませんか?
>ちりりん♪さん
こちらでは再現できていないのですが、そういった現象が起きるのであれば、
書き込むことで公開した手法によって、ここを見ていない誰かが被害を被る可能性があるということです。あくまで可能性ですが、個人情報を取り扱う商業システムのcgiがAnHTTPd上で稼動している例もあるそうですよ。
ひとつ忘れてました(^_^;
確認してブラウザのバージョンはFirefox1.5.0.4とIE6の最新です。
>MTSYSの中の人さん
確認したanhttpdのバージョンは1.42n/1.42pです。
OSはWin2Kサーバ/SP4。
軽率というのはこれがセキュリティに関する問題だからという事でしょうか。
それとも何か他の理由でしょうか。
正直なところよくわかっていないのです。申し訳ありません。
今後の反省材料にしたいと考えますので理由をご教示いただけるとありがたいです。
よろしくお願い致します。
藤原さんの書き込みがなければ気づかないところでしたので
私としては感謝しているのですが。
>藤原さん ちりりん♪さん
現象を確認できません。
よもやとは思いますがAnHTTPDのバージョンはいくつでしょうか?
ついでにオープンな場でそういうことを書き込むのは軽率だとは考えませんか?
// でダウンロードになる件、
cgibin ディレクトリを大々的に引っ越しして実験してみたところ、ダウンロードに
ならないことを確認しました。
解決したようですので、これで行きます。
ありがとうございました。
ありゃ推敲してる間に藤原さんがいらっしゃったようで(^_^;
>実行パスを下に置くのではなく独立させた方がいいんでしょうかね。
ですね。とりあえず私はそうしてみました。
実行ファイルをダウンロードされると何か危険な気がしまして(^_^;
度々申し訳ありません。
http://(host)//cgi-bin/xxx.cgi?yyyyyでxxx.cgiがダウンロードされる件。
ドキュメントルート
X:\www
実行パス
X:\anhttp\cgi-bin
の場合で、
ドキュメントルートの下にフォルダを作成して下記のようにします。
X:\www\cgi-bin\xxx.cgi
/cgi-bin/xxx.cgi?〜では
実行パスのxxx.cgiの返す結果を表示します。
//cgi-bin/xxx.cgi?〜では
X:\www\cgi-binのxxx.cgiを参照します。
//cgi-binは実行パスでないのでダウンロード(または開く)になるようです。
#通常のテキストファイルをxxx.cgiとしてX:\www\cgi-bin\に置いて確認。
これって他のWebサーバでも同様なのでしょうか。
googleで調べようと思ったのですが"//"という記号を含むせいか
関連する事項をうまく探し出せないのです(^_^;
>※ふと思ったのですが。
> 藤原さんの場合はひょっとしてこんな感じですか?
>ドキュメントルート
>d:\httproot
>実行パス
>d:\httproot\cgibin
その通りです。
実行パスを下に置くのではなく独立させた方がいいんでしょうかね。
http://(host)//cgi-bin/xxx.cgi?yyyyyでxxx.cgiがダウンロードされる件。
発生するのは下記のパターンのようですね。
#firefoxだけでなくieでも確認できました。
ドキュメントルート
X:\anhttp
実行パス
X:\anhttp\cgi-bin
下記の場合は404になります。
ドキュメントルート
X:\www
実行パス
X:\anhttp\cgi-bin
どういう原理というか規則によるものかわかってません(^_^;
一応動作の確認の取れた事項のみ。
※ふと思ったのですが。
藤原さんの場合はひょっとしてこんな感じですか?
ドキュメントルート
d:\httproot
実行パス
d:\httproot\cgibin
ちょっと動揺しておりますが(^_^;) //cgi-bin/〜.exeがダウンロードされる件。
現在私は自宅でバーチャルドメインを使用して2つのサイトを公開しております。
その2つについて各々確認したところ、片方は404、片方はダウンロードになりました。
#exeファイルの拡張子をcgiにリネームしたもので確認しました。
ですのでこれは設定ですよねおそらく。
今会社なので帰宅してから確認しようと思います。
藤原さんの下記のご指摘について他の方にも伺いたいのですが。
>ここで、http://(home)//cgi-bin/manazu.exe?query=%83I (スラッシュが2つ)
>をアクセスすると、namazu.exe のダウンロードになってしまいます。 ブラウザは
>Firefox です。
これってWebサーバの動作として普通なんでしょうか?(^_^;
私自身exeタイプのcgi作って使用してたりするんですが
これってcgi(=exe)自身がダウンロードされてしまうという事ですよね。
私の勉強不足なんだろうとは思うんですが
全く想定していなかったのでちょっとびっくりしてます。
これを回避する方法があるのであれば私も知りたいです。
どなたかご教示下さいませm(_'_)m
ANHTTPD を便利に使わせて頂いています。
1つ質問です。
エイリアスで /cgi-bin を d:\httproot\cgibin として実行パスに登録しています。
クライエントから http://(home)/cgi-bin/manazu.exe?query=%83I をアクセスすると、
正しくnamazuを実行できます。
ここで、http://(home)//cgi-bin/manazu.exe?query=%83I (スラッシュが2つ)
をアクセスすると、namazu.exe のダウンロードになってしまいます。 ブラウザは
Firefox です。
どのように設定すればこれを阻止できるでしょうか?