トップページ > 記事閲覧
【雑談】エックスサーバーでWAF提供開始
投稿日 | : 2018/07/18(Wed) 17:02 |
投稿者 | : うみほし |
参照先 | : https://umihoshi.com |
エックスサーバーからのお知らせで,今日からWAF機能の提供開始がありました。
WAFといえばロリポップでのトラブルの元になっていた機能です。
それを見てきて,HAIKとWAFは相性が悪いものと考えてきました。
エックスサーバーユーザーの皆さんはどうしますか。
マニュアルを読むと機能別にON・OFFができるようなので,HAIKに影響のない設定があれば使っても良いかもしれません。
各設定項目
・XSS (クロスサイトスクリプティング)
・SQL (SQLインジェクション)
・ファイル (ファイル不正アクセス)
・メール (メールの不正送信)
・コマンド (コマンドアクセス/実行)
・PHP (PHP関数の脆弱性)
どの機能をONにしてもHAIKに影響がないかは研究の必要がありそうです。
Re: 【雑談】エックスサーバーでWAF提供開始
投稿日 | : 2018/07/31(Tue) 21:13 |
投稿者 | : Yujiro |
参照先 | : |
WAFの運用の仕方、使っているソフトはサーバー会社で様々ですね。
Xserverではログが取れない代わりにそこそこ細かいセッティングあり。
さくらサーバーではログが取れる代わりにロリポップ式にWAF一律でON/OFF
(ログが取れるといってもそこそこ大雑把)
Re: 【雑談】エックスサーバーでWAF提供開始
投稿日 | : 2018/07/31(Tue) 18:20 |
投稿者 | : うみほし |
参照先 | : https://umihoshi.com |
私もエックスサーバーのサポートにWAFのエラーログの件を質問しました。
回答では
「WAFのエラーログにつきましては、お客様よりの貴重なご意見といたしまして、担当部署へ申し伝え、改善を検討してまいります。」
ということです。「他社ではできるのになぜエックスサーバーではできないのか」と質問した返事です。
Re: 【雑談】エックスサーバーでWAF提供開始
投稿日 | : 2018/07/29(Sun) 18:56 |
投稿者 | : うみほし |
参照先 | : https://umihoshi.com |
今回WAFの403エラー回避の記事をいろいろ見ていて,「HAIKではWAFはOFF」という,現在の一律の対策でいいんだろうか?と考え直しました。
エックスサーバーでは残念ながらWAFのエラーログが無いですが,他のサーバーではありますよね。この情報を使えばhtaccessで回避する方法がいくつか紹介されています。
WAFは積極的に使った方が安全ですから,エラーを回避しつつ使いたいですね。
さて,私の場合,エラーが出るのは特定ページの特定の操作だけなので,WAFはそのまま使用した方がメリットが大きいと考えています。
該当ページの更新時だけOFFにして対処することにします。
特定ページだけの現象ということから推測すると,
「入力内容に特定のHTMLタグコードが含まれると「確認画面へ」ボタンを押した時に403(Forbidden)のエラーが出る」
という事例に該当するのかもしれません。どの文字列が問題かは,エラー情報が無いのでわかりませんが。
Re: 【雑談】エックスサーバーでWAF提供開始
投稿日 | : 2018/07/29(Sun) 17:18 |
投稿者 | : Yujiro |
参照先 | : |
Xserver において WAFがなんらかの不正アクセスを検知したとき、エラーログの有無に
ついて問い合わせた結果。以下の通り。以下添付=======
お問い合わせの件につきましては、不正アクセスが検出された場合には
アクセスが拒否され、エラーページが表示されます。
しかし、エラーログには記載されません。
以上添付====
予想通りとはいえ、解決への手がかりがひとつ消えました。
Re: 【雑談】エックスサーバーでWAF提供開始
投稿日 | : 2018/07/29(Sun) 15:36 |
投稿者 | : Yujiro |
参照先 | : |
うみほしさん
WAFは後から導入されたため、一般的なエラーログには出力されない可能性ありで、
そこを確認したくXserverに質問をしておきました。
なお、さくらサーバーではWAFが処理をするとエラーログ取れるんですよ。
Re: 【雑談】エックスサーバーでWAF提供開始
投稿日 | : 2018/07/29(Sun) 14:21 |
投稿者 | : うみほし |
参照先 | : https://umihoshi.com |
エックスサーバーのエラーログをダウンロードしても,中身は何も書かれていないテキストファイルでした。
これはエラーが無いのか,記録されないのか,ダウンロードがうまくいかないのか?解釈に悩みます。
サポートに質問するしかなさそうです。
Re: 【雑談】エックスサーバーでWAF提供開始
投稿日 | : 2018/07/29(Sun) 12:52 |
投稿者 | : Yujiro |
参照先 | : |
XserverにWAFエラーログ(というか処理記録?)の「取れる/取れない」をメールで質問しておきました。
回答があったら掲載します。
Re: 【雑談】エックスサーバーでWAF提供開始
投稿日 | : 2018/07/29(Sun) 04:38 |
投稿者 | : うみほし |
参照先 | : https://umihoshi.com |
さきほどエックスサーバーのエラーログを見たのですが,残念ながら何も記録されていませんでした。
WAFのエラーは対象外なのかな?
こうなると原因特定は難しいです。
これ以上は分からないので,会員サイトから不具合報告をしておきました。
Re: 【雑談】エックスサーバーでWAF提供開始
投稿日 | : 2018/07/28(Sat) 20:07 |
投稿者 | : うみほし |
参照先 | : https://umihoshi.com |
>件の403エラー表示は編集のセーブとプレビュー時だけなんですよね。
そうです。編集の書き込みはできますが,プレビューと更新で403になります。
ページが膨大なので,全部はチェックしきれませんが,閲覧でエラーが出たページは今のところ発見できません。
ネット検索でも,書き込み時にエラーが出る事例ばかりですね。
特にHAIKだからそうなるということも無さそうで,WordPressユーザーでも見られます。というか世の中のユーザーは圧倒的にWordPressですから,エラー報告も多いわけですけど。
Re: 【雑談】エックスサーバーでWAF提供開始
投稿日 | : 2018/07/28(Sat) 15:43 |
投稿者 | : Yujiro |
参照先 | : |
うみほしさん
件の403エラー表示は編集のセーブとプレビュー時だけなんですよね。
一般閲覧は問題なしと。私がアクセスする限りにおいてはエラーは出ないですもんね。
Re: 【雑談】エックスサーバーでWAF提供開始
投稿日 | : 2018/07/28(Sat) 15:07 |
投稿者 | : うみほし |
参照先 | : https://umihoshi.com |
今のところエラーはこの1ページしか発生していないので,WAFはONのまま運用しています。
コメントの記入やブログの更新は問題ないです。
これでセキュリティを下げるのももったいない気がします。
エラーが出たのはそんなに更新しないページなので,どうしても必要な場合だけVAFを切ることにします。
Re: 【雑談】エックスサーバーでWAF提供開始
投稿日 | : 2018/07/28(Sat) 15:02 |
投稿者 | : うみほし |
参照先 | : https://umihoshi.com |
Yujiroさん
エックスサーバーのエラーログは3時にリセットされた後の結果しか見られないので,さっき見たら空白でした。今日の分はあす3時以降に見れるのではと期待しています。
エラーログからWAFの403エラーをhtaccessで回避する方法もネットで見つけましたが,とりあえずこれを試してみるしかないかな。
https://10prs.com/view/2
です。シグナチャがまだ分からないので,試しに私の自宅のIPアドレスの回避を書いてみましたが,効果無しでした。エックスサーバーではこの記述は無効なのかもしれません。
Re: 【雑談】エックスサーバーでWAF提供開始
投稿日 | : 2018/07/28(Sat) 13:39 |
投稿者 | : Yujiro |
参照先 | : |
うみほしさん
とりあえずXサーバーからエラーログが取れると思うのですがどうでしょう。
まあ、PHP (PHP関数の脆弱性) あたりの記述があるだけで参考にならないかもしれませんが。
しかしこの状況では商用サイトならテストもできないですね。
Re: 【雑談】エックスサーバーでWAF提供開始
投稿日 | : 2018/07/28(Sat) 12:33 |
投稿者 | : うみほし |
参照先 | : https://umihoshi.com |
WAFをONにして以来,初めてエラーに遭遇しました。
私のサイトのある1ページ(「カンガルーの研究」の表紙)だけでエラーが出て,編集結果のプレビューと更新ができません。
エラー内容は,
「403
Forbidden
アクセスしようとしたページは表示できませんでした。
このエラーは、表示するページへのアクセス許可がなかったことを意味します。」
このページ以外は,今までの編集ではエラーは出ていません。
なぜこのページだけ変更がブロックされるのかは,全く分かりません。
同じ構造の他のページ(「PENTAX」のページ)は何ともないのに。
全く謎です。
Re: 【雑談】エックスサーバーでWAF提供開始
投稿日 | : 2018/07/20(Fri) 20:37 |
投稿者 | : うみほし |
参照先 | : https://umihoshi.com |
WAF設定(すべてON)から1日以上過ぎたので,機能テストです。
・閲覧は問題なし。
ブログの更新,問い合わフォーム とも正常動作でした。
・その後,画像の更新,7.3.0へのアップデート,ブログコメントの書き込みも正常でした。
エックスサーバーでのWAF運用はこのまま継続で良さそうです。
Re: 【雑談】エックスサーバーでWAF提供開始
投稿日 | : 2018/07/19(Thu) 21:02 |
投稿者 | : Yujiro |
参照先 | : |
私が使っているXserver、さくらでは今のところトラブルはありませんが、
何がどう引っかかってくるか不明なところもあり、そこそこの時間を使って
検証する必要ありげです。
(追記:さくらサーバーでトラブル出ます。別スレッドで報告)
実は、ロリプップのお試しユーザーをしてみたこともあるのですが、
そのとき特にWAFで異常が出たこともなし。
しかし現実に多数の報告もありでQHM時代には当然のようにWAFをオフで対処とあるのも事実。
ちなみに、ロリポップはサーバー上の設定変更など実質的に反映するのに時間がか
かることがあり、検証しにくいところあり。
とりあえず、WAFに絡んだトラブルはここで逐一報告させていただきます。
Re: 【雑談】エックスサーバーでWAF提供開始
投稿日 | : 2018/07/19(Thu) 20:41 |
投稿者 | : うみほし |
参照先 | : https://umihoshi.com |
そうするとロリポップのWAFが特殊なのでしょうか?
Re: 【雑談】エックスサーバーでWAF提供開始
投稿日 | : 2018/07/19(Thu) 20:10 |
投稿者 | : Yujiro |
参照先 | : |
そういえばさくらサーバーでもWAF使えますが、こちらのトラブルは聞いたことがないですね。
Re: 【雑談】エックスサーバーでWAF提供開始
投稿日 | : 2018/07/19(Thu) 19:13 |
投稿者 | : うみほし |
参照先 | : https://umihoshi.com |
中でこの話をしたら会員の方が試してくれて,すべてONにして1日待ち,
更新や,メールフォーム送信など通常の操作は問題なかったということなので,
私もすべてONにしてテストしています。
ロリポップのようなエラーは出ていない模様。
Re: 【雑談】エックスサーバーでWAF提供開始
投稿日 | : 2018/07/19(Thu) 19:05 |
投稿者 | : Yujiro |
参照先 | : |
ロリポップでWAFがオンでエラーが出た場合、ログに残っているはずですよね。
このログがあれば解明が進むと思うのですが。
Re: 【雑談】エックスサーバーでWAF提供開始
投稿日 | : 2018/07/19(Thu) 07:43 |
投稿者 | : うみほし |
参照先 | : |
使ったほうが良いのはわかりますが、そもそもロリポップのときは、WAFのどの機能がHAIKにエラーを起こしてしたのでしょうか?
Re: 【雑談】エックスサーバーでWAF提供開始
投稿日 | : 2018/07/18(Wed) 17:29 |
投稿者 | : Yujiro |
参照先 | : |
確かにロリポップのWAFと相性が悪いというか、使用にコツがありますね。
がしかし、そもそもがHAIKだけにWAFが必須かも。
ちょっと前にQHM系の大量サイト改ざんが起こりましたが、あれにならないためにも。
(収入直結のビジネス系の人は否応無しに使うべしと)
それから、人によってはサーバーで使っているWEBアプリがHAIKだけとは限らずで。