Bug(バグ) #1861
完了
携帯のプロフィール画像変更画面などの画像の大サイズ表示がアクセスエラーになる
100%
説明
Overview (現象)¶
http://sns.openpne.jp/diary/25849 より転記
2010年12月22日にリリースされた脆弱性対処が原因で携帯ページの画像が表示されません。 該当部分は下記ファイルで指定されている 320x320 サイズの拡大画像です。 member/templates/configImageSuccess.php member/templates/deleteImageSuccess.php friend/templates/showImageSuccess.php community/templates/configImageSuccess.php community/templates/deleteImageSuccess.php プラグイン等はまだ検索していません。
Causes (原因)¶
sfImageHandlerPlugin 側で許可されていない画像サイズを指定していることが原因。
許可されている画像サイズを指定するか、320x320を許可リストに追加する必要があります。
Way to fix (修正内容)¶
sfImageHandlerPlugin の画像許可サイズに 320x320 を追加する修正で対応します。
Minoru Takai さんがほぼ14年前に更新
"ack 320x320" の結果を示しておきます。OpenPNE-3.4.9, OpenPNE-3.6beta6 で調べましたが両方とも全く同じ以下の結果でした。
apps/mobile_frontend/modules/member/templates/deleteImageSuccess.php
6:<?php echo sprintf('[%s]',link_to(__('Expansion'), sf_image_path($image->getFile(), array('size' => '320x320', 'format' => 'jpg')))) ?><br>
apps/mobile_frontend/modules/member/templates/configImageSuccess.php
10:<?php echo sprintf('[%s]',link_to(__('Expansion'), sf_image_path($image->getFile(), array('size' => '320x320', 'format' => 'jpg')))) ?><br>
apps/mobile_frontend/modules/community/templates/deleteImageSuccess.php
6:<?php echo sprintf('[%s]',link_to(__('Expansion'), sf_image_path($community->getImageFileName(), array('size' => '320x320', 'format' => 'jpg')))) ?><br>
apps/mobile_frontend/modules/community/templates/configImageSuccess.php
6: link_to(__('Expansion'), sf_image_path($community->getFile(), array('size' => '320x320', 'format' => 'jpg'))),
apps/mobile_frontend/modules/friend/templates/showImageSuccess.php
7:<?php echo '['.link_to(__('Expansion'), sf_image_path($image->getFile(), array('size' => '320x320', 'format' => 'jpg'))).']' ?><br><br>
実際のHTMLでは次のようなURLが吐き出されています。
http://sns.example.com/cache/img/jpg/w320_h320/m_2_05a09145a45bf8b9d0b706bee131df1ed98f17ce_jpg.jpg
Masato Nagasawa さんが13年以上前に更新
- 対象バージョン を OpenPNE3.6beta11 にセット
sfImageHandlerPlugin 側で許可されていない画像サイズを指定していることが問題です。
許可されている画像サイズを指定するか、320x320を許可リストに追加する必要があります。
ただ、2系では携帯で表示する画像サイズの最大数を設定できるようなっていたので、
これと同等の機能を3系でも実装することがより適切な対応であると思います。
3.7では機能追加として対応し、3.4/3.6では sfImageHandlerPlugin に 320x320 を追加する修正で対応します。
機能追加についてのチケットは #2089 になります。
↑3.7系でも 320x320 を追加します。
Masato Nagasawa さんが13年以上前に更新
- ステータス を New(新規) から Pending Review(レビュー待ち) に変更
- 進捗率 を 0 から 50 に変更
更新履歴 058325d4d7222d168ff9591a88d9140e50d23adb で適用されました。
Naoya Tozuka さんが13年以上前に更新
- ステータス を Pending Review(レビュー待ち) から Pending Testing(テスト待ち) に変更
- 進捗率 を 50 から 70 に変更
変更点確認しました。問題ありません。
Kousuke Ebihara さんが13年以上前に更新
- 対象バージョン を OpenPNE3.6beta11 から OpenPNE3.6beta12 に変更
親チケットが「テスト待ち」「完了」でないものをすべて beta12 以降での対応とします。
Minoru Takai さんが13年以上前に更新
- ステータス を Pending Testing(テスト待ち) から Fixed(完了) に変更
- 進捗率 を 70 から 100 に変更
コードチェック¶
note-7 で master(3.7.0) への修正がOKとなっていますが、このチケットに紐づいているコミット 058325d4d7222d168ff9591a88d9140e50d23adb は stable-3.6.x ブランチに対して行われています。
一方、 3.6.x 向けの BP チケット #2103 に紐づいているコミット 8d70c5b8ff5514a265a0b4698dc2cab0222e809c は master ブランチに対して行われています。
#2103 に紐づいているコミット 8d70c5b8 を以て、このチケットの master 向けの修正はOKとします。
動作テスト¶
この修正前には、携帯版で、プロフィール画像編集ページで「大(320x320)」の画像表示ができませんでしたが、修正後には想定通り表示できるようになっていることを確認できました。修正内容を見る限り他のページも全て問題が解消できていると判断できるので動作テストはOKとします。
完了とします。