以前の名前:
動作条件:
デフォルト値: host_verify_strict off
提案された設定:
このオプションをセットすると、インターセプトしたトラフィックに関係なく、Squidは常にホストヘッダーのドメイン名またはIPアドレス('authority
form URL'と呼ばれる)と宛先IPアドレス(destination IP address)を比較します。
この強制はRFC2616のセクション14.23におけるセキュリティに求められるもので、"Hostフィールドの値は、元のURLで与えられるオリジンサーバまたはゲートウェイの名前の出典を表現しなければなりません"によるものです。
- 設定を ON:
- 一致がない場合に、Squidは常に HTTP409(競合)エラーページとセキュリティ警告をログに記録します。
Squidは、宛先IPアドレスがフォワードプロキシとリバースプロキシのトラフィックのホストヘッダーによるものと一致することを確認します。
*ホスト名(ドメインまたはIP)は同一である必要がありますが、価値のない、または不足しているホストヘッダーがすべてのチェックが無効になります。
2つのホスト名が一致するには、両方がIPまたはFQDNのどちらかでなければなりません。
*ポート番号は同じでなければなりませんが、ポートがない場合のデフォルトポートが仮定されます。
- 設定を OFF:
- Squidは不審な要求が継続することができますが、セキュリティ上の警告およびブロックした応答キャッシュをログに記録します。
*フォワードプロキシのトラフィックはまったくチェックされません。
*リバースプロキシのトラフィックはまったくチェックされません。
*インターセプトでのリクエストでは、検査が不正でもクライアントからの送信をオリジナルの宛先にダイレクト(DIRECT)に送信します。
これは'client_dst_passthru off'で上書きします。
今のところ不審なインターセプトされたCONNECT要求は常に、HTTP409(Conflict)エラーページで応答しています。
セキュリティへの注意:
CVE-2009-0801に述べられているように、HOST: ヘッダーだけがリクエストの目的地を決定するために使用される時、遠隔のウェブサイト上の悪意のあるスクリプトによるブラウザのsandboxingする保護とセキュリティ・ポリシーの回避することは重要でなくなります。
この理由は、ブラウザのサンドボックスの同一の生成元ポリシーでは、それがIPレベルでロードされた場所から同じIP接続を試みていることを確認し、その場合にこのようなアプレットは、独自のHTTPスタックを実行するために許可されていることである。
不正な場合には、ホスト:ヘッダーには接続されたIPおよび承認した起源とは異なる場合があります。