HTTP TRACEメソッドについて

不要な HTTP TRACEメソッドを遮断する為
httpd.confに以下を追加しました。

# TRACE deny

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]

実際に機能をクリアしているか・・・
評価方法に困っております。
アドバイス及び参考になるサイトなどありましたら
ご返答頂ければと思います。

Apache 2.0.55 を使用しております。

No.1 ベストアンサー 回答者： entree 回答日時： 2005/10/21 10:47

httpd-2.0.55 の場合、TRACE 昨日は

mod_rewrite を使わなくても、httpd.conf ファイルに

TraceEnable off

と記述するだけで止められますよ。

詳細についてはソースツリーのトップディレクトリにある CHANGES ファイルを見てください。デフォルトでは ON だそうなので、明示的に設定してあげる必要があるようです。

検証については telnet を使えばできますが、HTTP_TRACE についてあまり知らないので他の方に譲ります。

ただ、有効になっているかどうかについては以下の方法で確認できます。

$ telnet 192.168.89.66 80
Trying 192.168.89.66...
Connected to 192.168.89.66.
Escape character is '^]'.
OPTIONS / HTTP/1.0 <<== 入力して改行２つ

HTTP/1.1 200 OK
Date: Fri, 21 Oct 2005 01:41:23 GMT
Server: Apache/2.0.55 (Unix)
Vary: accept-language,accept-charset
Allow: GET,HEAD,POST,OPTIONS,TRACE <<== 結果
Content-Length: 0
Connection: close
Content-Type: text/html
Content-Language: en
Expires: Fri, 21 Oct 2005 01:41:23 GMT

この環境では TRACE は有効になっているようですね。