htaccessの制限を回避しますか？

Question

これはApacheアクセスログで見つかりました

access.log:555.555.555.555 - - [05/May/2011:12:12:21 -0400] "GET /somedir/ HTTP/1.1" 403 291 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:5.0) Gecko/20100101 Firefox/5.0" access.log:555.555.555.555 - - [05/May/2011:12:12:29 -0400] "GET /somedir/ HTTP/1.1" 200 7629 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:5.0) Gecko/20100101 Firefox/5.0"

したがって、/ somedir /には次のような.htaccessファイルがあります

Order Deny,Allow Deny from all Allow from 333.333.333.333 Allow from 444.444.444.444

htaccessは時間枠内に変更されませんでした（12:12:21と12:12:29の間の8秒

これが403Forbiddenに到達し、8秒後に200OKに到達する可能性があるというアイデア。困惑している

eject · Answer

<ol> <li>トップレベルの設定で.htaccessを使用できますか？ AllowOverride <a href="http://httpd.Apache.org/docs/1.3/mod/core.html#allowoverride">http://httpd.Apache.org/docs/1.3/mod/core.html#allowoverride</a> ディレクティブを確認してくださいAllまたはLimitに設定する必要があります</li> <li>構成に認証制限がないかどうかを確認してください。</li> </ol>

Soren · Answer

.htaccessはtcpセッションの開始時にのみチェックされ、パケットレベルでの巧妙な操作により、セッションのセットアップ中にのみ最初のフレームが偽のIPを持つように、フレームを操作できる可能性があります。次に、セッションには、ブロックしようとしていた実際のIPがあります。

これが、ステートフルファイアウォールがある理由です。htaccessはファイアウォールの代わりにはなりません。

それか、htaccessがまったくチェックされていません-動作することをテストしましたか？ :-)