Bug(バグ) #2225
完了SSL 通信時の携帯電話個体識別番号の取得が明確に禁止されていない
100%
説明
Overview (概要)¶
SSL 通信時の携帯電話個体識別番号の取得が明確に禁止されていない。
SSL 通信で得られた携帯電話個体識別番号のなかには、信頼できない値になりうるものがある。 OpenPNE では SSL 通信時に すべての種類の 携帯電話個体識別番号の取得を禁止する方向で統一して実装する。
OpenPNE 3.6 では部分 SSL 機能を正式に提供するようになるので、この修正は OpenPNE 3.6 のリリース前におこなう必要がある。
Way to fix (修正内容)¶
- SSL 通信では OpenPNE は携帯電話個体識別番号を得られなかったものとして認識するようにした
- あくまで携帯電話個体識別番号を取得しないようにするだけで、 Cookie 内に格納された ID は通常通り利用できる(=かんたんログインができなくなるわけではない)
- 部分 SSL 機能を利用している際に、携帯電話個体識別番号を用いるアクションを実行した際、その通信が HTTPS でおこなわれている場合は、 HTTP へリダイレクトさせるようにした
- 対象となるアクションは 'member/register', 'member/registerInput', 'member/registerEnd', 'member/configUID' である
Kousuke Ebihara さんが13年以上前に更新
- ステータス を Accepted(着手) から Pending Review(レビュー待ち) に変更
- 進捗率 を 0 から 50 に変更
更新履歴 764706b3648024c8e5d8cb71ee9e2559745acd9e で適用されました。
Rimpei Ogawa さんが13年以上前に更新
- ステータス を Pending Review(レビュー待ち) から Rejected(差し戻し) に変更
retrieve を retrive と typo しています。
Kousuke Ebihara さんが13年以上前に更新
- ステータス を Rejected(差し戻し) から Pending Review(レビュー待ち) に変更
05098b98b1e0e810e9407bc0c535691fed683d8f で http://redmine.openpne.jp/issues/2225#note-3 の指摘事項に対応しました。ただし、このチケットによる変更箇所以外の typo (サードパーティ製ライブラリも含む)については修正をおこなっていません。
Rimpei Ogawa さんが13年以上前に更新
- ステータス を Pending Review(レビュー待ち) から Pending Testing(テスト待ち) に変更
- 進捗率 を 50 から 70 に変更
修正確認しました。
Rimpei Ogawa さんが13年以上前に更新
- ステータス を Pending Testing(テスト待ち) から Rejected(差し戻し) に変更
- 進捗率 を 70 から 50 に変更
一旦テスト待ちにしましたが見直したところ、 test/unit/filter/opExecutionFilterTest.php に3箇所 "retrive" が残っていましたので差し戻します。
test/unit/filter/opExecutionFilterTest.php 24: public function callNeedToRetrieveMobileUID($module, $action, $retriveUIDMode = 1, $parameters = array()) 26: opConfig::set('retrive_uid', $retriveUIDMode);
Rimpei Ogawa さんが13年以上前に更新
http://redmine.openpne.jp/issues/2087#note-13 に関連して追加の指摘事項です。
member/registerMobileToRegisterEnd アクション内にも mobile_uid を取得する処理があるため、このアクションも「携帯電話個体識別番号を扱うアクション」のリストに追加する必要があります。
Kousuke Ebihara さんが13年以上前に更新
- ステータス を Rejected(差し戻し) から Pending Review(レビュー待ち) に変更
更新履歴 57ec41bd6e71fdb6ba563567ce082c311314a8c0 で適用されました。
Kousuke Ebihara さんが13年以上前に更新
- 説明 を更新 (差分)
修正内容として示していた以下の記述は事実と反していたため削除しました(本機能は ssl_required_applications よりも優先されることはなく、その場合、 ssl_selectable_actions から指定を外した場合は、従来通り、 HTTP 通信が強制されることになるため)。
** これらのアクションへのアクセスであっても、 OpenPNE.yml の ssl_selectable_actions で指定されていない場合は、リダイレクトはおこなわれない
Shouta Kashiwagi さんがほぼ13年前に更新
- ステータス を Pending Testing(テスト待ち) から Fixed(完了) に変更
- 進捗率 を 70 から 100 に変更
- 3.6 で発生するか を Yes から Unknown (未調査) に変更
- 3.4 で発生するか を Unknown (未調査) にセット
テストOKです。