nginx+uwsgiで80番ポートのあるアクセスにpythonスクリプトの出力を流すようにしていたのだが,443ポートでのアクセスは想定していなかったので,特に何も設定していなかった.
そうしたら,httpsでアクセスすると表示されないはずのindex.htmが表示されることに気付いた.
さらに,pythonスクリプトファイル名をダイレクトに指定すると,pythonスクリプトがダウンロードできることも判明した.
そのファイルにこそ,パスワードの類は入れていないものの,インポートしているファイルの一覧が見えてしまうし,これはかなり危険だ.
で,443ポートのserverディレクティブに80番と同じ設定をコピペしたが,動かない…
firefoxやchromeでアクセスしていたため,443ポートとは別に443 spdyが有効になっていたのだ!
二段の罠だった.