ここの情報は古いです。ご理解頂いた上でお取り扱いください。

Opened 11 years ago

Closed 10 years ago

Last modified 10 years ago

#3060 closed enhancement (fixed)

認証処理時に携帯版のセッションに含めたUserAgentをチェックするようにする

Reported by: ebihara Owned by: shingo
Priority: major Milestone: OpenPNE2.13.4
Component: 指定しない Version: 2.10.x & 2.12.x & 2.14.x
Keywords: Cc:

Description (last modified by kudo)

■概要

携帯版の認証機能におけるセキュリティ強化の為、ログイン時のUSER_AGENTとアクセス時のUSER_AGENTの一致を確認する機能を追加

■仕様

携帯版は sessid というパラメータでセッションIDを引き回すことでログイン状態を維持している。しかしこの方法では sessid 付きのURLがなんらかの要因により外部に漏れた場合に問題となる。

携帯版のセッションに USER_AGENT に関する情報を含め、認証時にセッション内の USER_AGENT と、クライアントの USER_AGENT の値を比較し、一致する場合のみ認証成功とみなすようにすることで、意図せずに sessid 付きのURLが漏洩した場合のリスクを軽減する。

  • config.phpで機能の使用を選択できる
  • PC版・携帯版を個別に設定できる

■関連情報

#3154:携帯:Docomoキャリアで簡単ログインした時、ページを遷移したタイミングでログアウトしてしまう

Change History (21)

comment:1 Changed 11 years ago by shingo

Owner: changed from nobody to shingo
Status: newassigned

作業します。

comment:2 Changed 11 years ago by shingo

Description: modified (diff)
Keywords: 確認中 added

以下のリビジョンで修正しました。 ご確認ください。

comment:3 Changed 11 years ago by ebihara

Keywords: 差し戻し added; 確認中 removed
  • webapp/lib/OpenPNE/Auth.php 138行目: カンマの直後に半角スペースがありません
  • webapp/lib/OpenPNE/Config.php 205行目: 定数名が間違っています
  • PC版でこの項目が有効になっているとやや不便ですので、PC・携帯個別に設定できるようになるといいと思います(その際、携帯版はデフォルトで true にしてください)
  • OpenPNE_Auth::checkAuth() の Docblock 形式コメントの long description 部分の記述が古いです

comment:4 Changed 11 years ago by shingo

Description: modified (diff)
Keywords: 確認中 added; 差し戻し removed

以下のリビジョンで comment:3 にあげられた事項について修正しました。 ご確認ください。

comment:5 Changed 11 years ago by ebihara

Keywords: 差し戻し added; 確認中 removed
  • OPENPNE_SESSION_CHECK_PC_USER_AGENT の設定値が admin モジュールを利用している場合にも反映されてしまいますが、これは意図した挙動でしょうか?
  • 個人的には、 get_auth_config() 内で設定値に応じてオプションを作成するのがスマートかなと感じますがどうでしょうか。

comment:6 Changed 11 years ago by shingo

Keywords: 確認中 added; 差し戻し removed

以下のリビジョンで comment:5 にあげられた事項について修正しました。 ご確認ください。

comment:7 Changed 11 years ago by ebihara

Keywords: 差し戻し added; 確認中 removed

get_auth_config() でおこなっている $configis_check_user_agent? への代入ですが、利用する定数をそのまま代入してしまえばよいのではないでしょうか。

comment:8 Changed 11 years ago by shingo

Keywords: 確認中 added; 差し戻し removed

以下のリビジョンで comment:7 にあげられた事項について修正しました。 ご確認ください。

comment:9 Changed 11 years ago by ebihara

Keywords: テスト待ち added; 確認中 removed

comment:10 Changed 10 years ago by shingo

以下のリビジョンで追加修正しました。 ご確認ください。

comment:11 Changed 10 years ago by shingo

Keywords: 確認中 added; テスト待ち removed

comment:12 Changed 10 years ago by ebihara

Keywords: テスト待ち added; 確認中 removed

comment:13 Changed 10 years ago by shingo

Keywords: テスト待ち removed

docomoの「かんたんログイン」時に不具合があったので修正します。

comment:14 Changed 10 years ago by shingo

Keywords: 確認中 added

以下のリビジョンで、DoCoMo端末のかんたんログイン時に対応するように修正しました。 ご確認ください。

comment:15 Changed 10 years ago by shingo

以下のリビジョンで追加修正しました。 ご確認ください。

comment:16 Changed 10 years ago by ebihara

Keywords: 差し戻し added; 確認中 removed

!DoCoMoのかんたんログイン対応ですが、 FOMA 端末用の対応だけで、 mova 端末用の対応がされていないように見えます。

comment:17 Changed 10 years ago by shingo

Keywords: 確認中 added; 差し戻し removed

以下のリビジョンで修正しました。 ご確認ください。

comment:18 Changed 10 years ago by ebihara

Keywords: テスト待ち added; 確認中 removed

comment:19 Changed 10 years ago by kiwa

Keywords: テスト待ち removed
Resolution: fixed
Status: assignedclosed

確認しました。

comment:20 Changed 10 years ago by shingo

Description: modified (diff)

以下のチケットでの追加修正されました

  • 関連チケット #3154

comment:21 Changed 10 years ago by kudo

Description: modified (diff)
Note: See TracTickets for help on using tickets.