HTTPにおけるTRACEメソッドの無効化について記載していきます。
TRACEメソッドとは
よく、XST関連で話題にあがりますが、ApacheでTRACEメソッドが有効になっている場合に
HTTPヘッダに含まれている情報も盗まれてログイン情報などが奪われてしまうといった形です。こちらが本当に危険なのかはいろいろな議論ありますが、無効化していて困ることもそこまでないのでメモがてら無効化について記載していきます。
cf: TRACEメソッドって怖いんです
cf: 実はそんなに怖くないTRACEメソッド
無効化手順について
手順といっても簡単で2つだけです。
ステップ1
$ vi /etc/httpd/conf/httpd.conf
/etc/httpd/conf/httpd.conf
#追記
TraceEnable off
ステップ2
$ service httpd restart
以上です