ここの情報は古いです。ご理解頂いた上でお取り扱いください。

Opened 12 years ago

Last modified 12 years ago

#1568 new enhancement

/?m=setupにアクセスしてSNSの初期化を行う時、/にアクセスした場合/?m=setupと同じ内容が表示れないようにしたい

Reported by: kiwa Owned by: nobody
Priority: minor Milestone:
Component: その他 Version:
Keywords: 2.11要望 Cc:

Description

http://sns.openpne.jp/?m=pc&a=page_fh_diary&target_c_diary_id=14282 より転記

ぴーねのアップロードなどのセットアップが完了した後、
ブラウザから、/?m=setupにアクセスしてSNSの初期化を行いますが。

このときに/にアクセスしても/?m=setupと同じ内容が表示されてる。

これって、俺が設置したとして、SNS初期化するかーって思ってる間に、
見ず知らずの人に初期化されちゃう可能性がありますよね
しかもそのとき制限かかってるわけではないので、不正アクセスでもなく、合法だし。

configでの設定で回避できるんだっけ?

/?m=setupの意味がない気がするです
普通に仕様バグまたは脆弱性なんじゃ?

Change History (3)

comment:1 Changed 12 years ago by ogawa

/?m=setup に認証がかかっていない以上は、/からのリダイレクトを削除してもセキュリティ対策という意味では効果はほとんどないです。

パフォーマンスの観点からはリダイレクト判定をしないという変更はありえると思います。

comment:2 Changed 12 years ago by kiwa

Priority: minortrivial

comment:3 Changed 12 years ago by kiwa

Keywords: 2.11要望 added; 再現待ち removed
Priority: trivialminor
Summary: /?m=setupにアクセスしてSNSの初期化を行う時、/にアクセスしても/?m=setupと同じ内容が表示されてる/?m=setupにアクセスしてSNSの初期化を行う時、/にアクセスした場合/?m=setupと同じ内容が表示れないようにしたい
Type: defectenhancement
Version: 2.8.x & 2.10.x & 2.11.x

enhancementに変更します

Note: See TracTickets for help on using tickets.