Ticket #3500 (closed defect: fixed)

Opened 2 years ago

Last modified 1 year ago

Shindigの設定でSecurity TokenがINSECUREになっている

Reported by: kawahara Assigned to: kawahara
Priority: critical Milestone:
Component: plugins Version: 3.0.x
Keywords: opOpenSocialPlugin Cc:

Description

Security TokenがINSECUREとなっており、情報の漏えいの危険性がある。

Change History

01/27/09 23:04:34 changed by kawahara

でtoken_keyの初期値設定およびbackendでのキー設定ができるようにしました。

01/28/09 16:26:47 changed by kawahara

にて、平文でのトークンのやりとり、anonymousでのAPI通信をデフォルトで無効にしました。

そのため現在、phpのmcryptモジュールが有効になっていないとき、Fatalエラーが生じてしまいます。モジュールが有効になっていないときは、別の手段でトークンの暗号化をするようにします。

また、現在RESTful APIは実装していないため(CoreのOAuth対応後のサポート予定)ひとまずは、(デフォルトでの)情報漏えいの危険性を取り除けたかと思います。

01/28/09 16:26:52 changed by kawahara

  • status changed from new to assigned.

01/29/09 11:40:31 changed by kawahara

  • status changed from assigned to closed.
  • type changed from enhancement to defect.
  • resolution set to fixed.

で、phpのmcryptがない場合でも、トークンが暗号化されるように変更しました。

02/08/09 18:51:43 changed by ebihara

  • milestone deleted.