ううむ。落とし穴だった。ていうか安直に考え過ぎていた。apacheで複数のサイトを立ち上げて各々SSLをどうする、というところで吐血喀血。

もっともお手軽な、ひとつのIPに名前ベースのヴァーチャルホストではSSLはひとつしか使えないのだ。びっくり。IPエイリアスして複数のIPをひとつのNICに割り当ててIPベースのヴァーチャルホストなら複数のSSLが使える。けど、IPをそのためだけに取るという選択肢はどうなんだろう。いんちきなportを開けてportベースでのヴァーチャルホストでいくことになるにしても情報が少ないから面倒だなあ。

ひとつのサーバーで複数のサイト、複数のSSLというお安い作りがいけないということか。

サイトを構築する時にSSL認証ページをひとつにまとめておけば良かったかもなあ。びんぼ臭いけど。

でも、なんかおもしろいんで、金さえあれば、ポンコツ自宅サーバーにSSLをインストールしてもいいかもしれんな。

と、サーバーのセッティングをやってたら、データベースがおかしいんじゃないかと指摘される。向こうのプログラマ設計運用なので、連絡。しばらくたってSQL文がエラーになっている、どこかこちらでいじったんではないかという電話。該当ASPのタイムスタンプも見ずになにをいってんだか。おかしいのはこの週末、該当ページのタイムスタンプは先月。なにごとも自分が正しいと信じて行動するナイスなヤツだ。しばらくして電話があって、どうやら入力されているデータがひとつ壊れているのが原因だった、と。

サニタイズしてる？不正な入力弾いてるよね？と聞いたら、MSACCESSで弾いてるはずだと。えーっと、SQL文をナマで渡すガッツに沈黙。Postgresになったらこんなことは起こりにくいはず、と追い打ちされてみる。マイクロソフトの製品を擁護するつもりはないけど、この言われ方はかわいそう。製品の問題じゃないぞ。

とまあいろいろ起こるので、昼間だけでおなかいっぱいになってしまい、夜うちで自宅サーバーをいじる気力・精神的体力がありません。とほほ。

『体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践』

徳丸 浩