Opened 12 years ago
Last modified 12 years ago
#1568 new enhancement
/?m=setupにアクセスしてSNSの初期化を行う時、/にアクセスした場合/?m=setupと同じ内容が表示れないようにしたい
| Reported by: | kiwa | Owned by: | nobody |
|---|---|---|---|
| Priority: | minor | Milestone: | |
| Component: | その他 | Version: | |
| Keywords: | 2.11要望 | Cc: |
Description
http://sns.openpne.jp/?m=pc&a=page_fh_diary&target_c_diary_id=14282 より転記
ぴーねのアップロードなどのセットアップが完了した後、 ブラウザから、/?m=setupにアクセスしてSNSの初期化を行いますが。 このときに/にアクセスしても/?m=setupと同じ内容が表示されてる。 これって、俺が設置したとして、SNS初期化するかーって思ってる間に、 見ず知らずの人に初期化されちゃう可能性がありますよね しかもそのとき制限かかってるわけではないので、不正アクセスでもなく、合法だし。 configでの設定で回避できるんだっけ? /?m=setupの意味がない気がするです 普通に仕様バグまたは脆弱性なんじゃ?
Change History (3)
comment:1 Changed 12 years ago by
comment:2 Changed 12 years ago by
| Priority: | minor → trivial |
|---|
comment:3 Changed 12 years ago by
| Keywords: | 2.11要望 added; 再現待ち removed |
|---|---|
| Priority: | trivial → minor |
| Summary: | /?m=setupにアクセスしてSNSの初期化を行う時、/にアクセスしても/?m=setupと同じ内容が表示されてる → /?m=setupにアクセスしてSNSの初期化を行う時、/にアクセスした場合/?m=setupと同じ内容が表示れないようにしたい |
| Type: | defect → enhancement |
| Version: | 2.8.x & 2.10.x & 2.11.x |
enhancementに変更します
Note: See
TracTickets for help on using
tickets.
/?m=setup に認証がかかっていない以上は、/からのリダイレクトを削除してもセキュリティ対策という意味では効果はほとんどないです。
パフォーマンスの観点からはリダイレクト判定をしないという変更はありえると思います。