Apache 2.0-HTTPTRACEおよびTRACKメソッドを無効にする

ケースA：TRACEディレクティブ

Httpd.confファイルで「traceEnableon」コマンドを使用し、次のcurlコマンドを実行します。

SITE = http://www.server.my; curl $ SITE -X[〜＃〜] trace [〜＃〜]

応答は次のとおりです。

TRACE / HTTP/1.1 User-Agent: curl/7.29.0 Host: http://www.server.my Accept: */*

一方、「traceEnable off」の場合、前のcurlコマンドは次を返します。

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /
on this server.</p>
<hr>
<address>Apache/2.0.63 (Unix) mod_ssl/2.0.63 OpenSSL/0.9.7d DAV/2 Server at http://www.server.my Port 80</address>
</body></html>

これは、TRACEenableディレクティブが無効になっていることを意味します。したがって、「traceEnableoff」コマンドは正しく機能していると思います。

ケースB：TRACKディレクティブ

Httpd.confファイルで「traceEnableon」コマンドを使用し、次のcurlコマンドを実行します。

SITE = http://www.server.my; curl $ SITE -X[〜＃〜] track [〜＃〜]

応答は次のとおりです。

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>501 Method Not Implemented</title>
</head><body>
<h1>Method Not Implemented</h1>
<p>TRACK to / not supported.<br />
</p>
<hr>
<address>Apache/2.0.63 (Unix) mod_ssl/2.0.63 OpenSSL/0.9.7d DAV/2 Server at http://www.server.my Port 80</address>
</body></html>

前のテストケースの結論は次のとおりです：501メソッドが実装されていません。 TRACEリクエストをApacheに送信すると、このメソッドが実装されていないことが返されます。だから、心配する必要はないと思います...これは次のテストケースで確認されます。

「traceEnableoff」の場合、前のTRACK要求は同じ「実装されていません」メッセージを返します。

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>501 Method Not Implemented</title>
</head><body>
<h1>Method Not Implemented</h1>
<p>TRACK to / not supported.<br />
</p>
<hr>
<address>Apache/2.0.63 (Unix) mod_ssl/2.0.63 OpenSSL/0.9.7d DAV/2 Server at http://www.server.my Port 80</address>
</body></html>

http://publib.boulder.ibm.com/httpserv/ihsdiag/http_trace.html によると、ApacheサーバーはTRACKメソッドをネイティブにサポートしていませんが、プラグインモジュールは次のことを行うことができます。それをサポートします。プラグインモジュールでこの機能を無効にするには、TRACEメソッドを無効にすることに加えて、Rewriteモジュールを使用してTRACKメソッドを無効にする必要がある場合があります。

ただし、TRACKプラグインをApacheにインストールしない場合、セキュリティの問題はありません。この仮定は有効ですか？