水無月ばけらのえび日記

> 個人制作のフリーのCGIプログラムのようなものだと、エラー時でも200で応答したりすることがあり

個人制作でなく、商用も含めてひろく使われているものでも、200で応答してサーチエンジンの

クロウラに拾われまくって見苦しいと感じたことがあります

何で駄目なのか言ってもらわないと参考にならない気がするのですが別途定めるセキュリティ上の理由で公開できなかったりするのでしょうか。

ハンドリングした上で500エラーを出しているのか、単純に落ちているだけなのかがリモートからは確認できないので、“念のため報告しておきますから意図した動作なのか確認してくださいね～”的な内容だったのではありませんか？(^-^)

>ハンドリングした上で500エラーを出しているのか、単純に落ちているだけなのかがリモートからは確認できない

セキュリティはまるでシロートですが、推測するに、

結果として攻撃する側から見れば穴があるかもしれないという判断をされかねないからではないですか？

500がもどる=不正処理しているのかもしれない。という考え。

クラック目的でインジェクション仕込んでくるような人ですから、疑ったら色々試してきそうな予感もします。

サーバのバージョン番号は隠しましょうということですね。わかります【棒】。

>セキュリティはまるでシロートですが、推測するに、

>結果として攻撃する側から見れば穴があるかもしれないという判断をされかねないからではないですか？

>500がもどる=不正処理しているのかもしれない。という考え。

>クラック目的でインジェクション仕込んでくるような人ですから、疑ったら色々試してきそうな予感もします。

　そういうことのようです。

　最初は「攻撃者に情報を与える」と言われて「スタックトレースも出してないのに何言ってるんだ?」と思ったのですが、確認してみると「500自体が情報になるので駄目」ということだそうで……。

指摘してきたセキュリティ屋さんに、どのステータスコードで返せばよいですか？

と質問してみるのもありかと思います。

クライアントからの作為的な不正データへの応答なら402でどうでしょう？

情報が欲しいorサーバリソースを使いたいなら金払えと・・・(^^;

307でLocationにhttp://www.cyberpolice.go.jp/というのも捨てがたいモノがありますが・・・

私はよく 403, 404 などを返しています。

500 はまず返しません。理由は既に出ていますね。

不正なデータを投げてくるクライアントにはこの程度の応答で十分でしょう。

単純に、400 「Bad Request」 ではいけませんか？

>単純に、400 「Bad Request」 ではいけませんか？

400系のステータスはクライアントが原因のエラーを示すステータスですが、たとえばサーバ内部で使用していているデータファイルの内容がアレだったとか、データベースから取得したデータがアレだったという場合はクライアントが原因とは言えないので400系はふさわしくないと思います。

ちなみに 400 Bad Request はリクエストのシンタックスが不正なことを示すステータスなので、内容が不正という場合には使えないはずです。