Ticket #3060 (closed enhancement: fixed)

Opened 9 years ago

Last modified 8 years ago

認証処理時に携帯版のセッションに含めたUserAgentをチェックするようにする

Reported by: ebihara Assigned to: shingo
Priority: major Milestone: OpenPNE2.13.4
Component: 指定しない Version: 2.10.x & 2.12.x & 2.14.x
Keywords: Cc:

Description (Last modified by kudo)

■概要

携帯版の認証機能におけるセキュリティ強化の為、ログイン時のUSER_AGENTとアクセス時のUSER_AGENTの一致を確認する機能を追加

■仕様

携帯版は sessid というパラメータでセッションIDを引き回すことでログイン状態を維持している。しかしこの方法では sessid 付きのURLがなんらかの要因により外部に漏れた場合に問題となる。

携帯版のセッションに USER_AGENT に関する情報を含め、認証時にセッション内の USER_AGENT と、クライアントの USER_AGENT の値を比較し、一致する場合のみ認証成功とみなすようにすることで、意図せずに sessid 付きのURLが漏洩した場合のリスクを軽減する。

  • config.phpで機能の使用を選択できる
  • PC版・携帯版を個別に設定できる

■関連情報

#3154:携帯:Docomoキャリアで簡単ログインした時、ページを遷移したタイミングでログアウトしてしまう

Change History

10/14/08 20:44:25 changed by shingo

  • owner changed from nobody to shingo.
  • status changed from new to assigned.

作業します。

10/14/08 21:53:02 changed by shingo

  • keywords set to 確認中.
  • description changed.

以下のリビジョンで修正しました。 ご確認ください。

10/20/08 14:50:51 changed by ebihara

  • keywords changed from 確認中 to 差し戻し.
  • webapp/lib/OpenPNE/Auth.php 138行目: カンマの直後に半角スペースがありません
  • webapp/lib/OpenPNE/Config.php 205行目: 定数名が間違っています
  • PC版でこの項目が有効になっているとやや不便ですので、PC・携帯個別に設定できるようになるといいと思います(その際、携帯版はデフォルトで true にしてください)
  • OpenPNE_Auth::checkAuth() の Docblock 形式コメントの long description 部分の記述が古いです

10/21/08 11:16:38 changed by shingo

  • keywords changed from 差し戻し to 確認中.
  • description changed.

以下のリビジョンで comment:3 にあげられた事項について修正しました。 ご確認ください。

10/21/08 14:03:26 changed by ebihara

  • keywords changed from 確認中 to 差し戻し.
  • OPENPNE_SESSION_CHECK_PC_USER_AGENT の設定値が admin モジュールを利用している場合にも反映されてしまいますが、これは意図した挙動でしょうか?
  • 個人的には、 get_auth_config() 内で設定値に応じてオプションを作成するのがスマートかなと感じますがどうでしょうか。

10/22/08 12:05:45 changed by shingo

  • keywords changed from 差し戻し to 確認中.

以下のリビジョンで comment:5 にあげられた事項について修正しました。 ご確認ください。

10/22/08 13:08:26 changed by ebihara

  • keywords changed from 確認中 to 差し戻し.

get_auth_config() でおこなっている $configis_check_user_agent? への代入ですが、利用する定数をそのまま代入してしまえばよいのではないでしょうか。

10/23/08 10:08:49 changed by shingo

  • keywords changed from 差し戻し to 確認中.

以下のリビジョンで comment:7 にあげられた事項について修正しました。 ご確認ください。

10/23/08 19:13:01 changed by ebihara

  • keywords changed from 確認中 to テスト待ち.

10/27/08 15:21:07 changed by shingo

以下のリビジョンで追加修正しました。 ご確認ください。

10/27/08 15:37:10 changed by shingo

  • keywords changed from テスト待ち to 確認中.

10/28/08 11:06:47 changed by ebihara

  • keywords changed from 確認中 to テスト待ち.

11/05/08 16:38:11 changed by shingo

  • keywords deleted.

docomoの「かんたんログイン」時に不具合があったので修正します。

11/05/08 19:21:35 changed by shingo

  • keywords set to 確認中.

以下のリビジョンで、DoCoMo?端末のかんたんログイン時に対応するように修正しました。 ご確認ください。

11/05/08 21:48:18 changed by shingo

以下のリビジョンで追加修正しました。 ご確認ください。

11/06/08 18:17:14 changed by ebihara

  • keywords changed from 確認中 to 差し戻し.

DoCoMoのかんたんログイン対応ですが、 FOMA 端末用の対応だけで、 mova 端末用の対応がされていないように見えます。

11/06/08 21:02:21 changed by shingo

  • keywords changed from 差し戻し to 確認中.

以下のリビジョンで修正しました。 ご確認ください。

11/11/08 19:30:00 changed by ebihara

  • keywords changed from 確認中 to テスト待ち.

11/11/08 20:26:26 changed by kiwa

  • keywords deleted.
  • status changed from assigned to closed.
  • resolution set to fixed.

確認しました。

11/14/08 15:18:44 changed by shingo

  • description changed.

以下のチケットでの追加修正されました

  • 関連チケット #3154

05/25/09 14:01:55 changed by kudo

  • description changed.