ここの情報は古いです。ご理解頂いた上でお取り扱いください。

Opened 11 years ago

Closed 11 years ago

Last modified 11 years ago

#3500 closed defect (fixed)

Shindigの設定でSecurity TokenがINSECUREになっている

Reported by: ShogoKawahara Owned by: ShogoKawahara
Priority: critical Milestone:
Component: plugins Version: 3.0.x
Keywords: opOpenSocialPlugin Cc:

Description

Security TokenがINSECUREとなっており、情報の漏えいの危険性がある。

Change History (5)

comment:1 Changed 11 years ago by ShogoKawahara

でtoken_keyの初期値設定およびbackendでのキー設定ができるようにしました。

comment:2 Changed 11 years ago by ShogoKawahara

にて、平文でのトークンのやりとり、anonymousでのAPI通信をデフォルトで無効にしました。

そのため現在、phpのmcryptモジュールが有効になっていないとき、Fatalエラーが生じてしまいます。モジュールが有効になっていないときは、別の手段でトークンの暗号化をするようにします。

また、現在RESTful APIは実装していないため(CoreのOAuth対応後のサポート予定)ひとまずは、(デフォルトでの)情報漏えいの危険性を取り除けたかと思います。

comment:3 Changed 11 years ago by ShogoKawahara

Status: newassigned

comment:4 Changed 11 years ago by ShogoKawahara

Resolution: fixed
Status: assignedclosed
Type: enhancementdefect

で、phpのmcryptがない場合でも、トークンが暗号化されるように変更しました。

comment:5 Changed 11 years ago by ebihara

Milestone: OpenPNE3.0.1
Note: See TracTickets for help on using tickets.