プロジェクト

全般

プロフィール

Bug(バグ) #2225

SSL 通信時の携帯電話個体識別番号の取得が明確に禁止されていない

Kousuke Ebiharaほぼ13年前に追加. 8年以上前に更新.

ステータス:
Fixed(完了)
優先度:
High(高め)
担当者:
対象バージョン:
開始日:
2011-06-16
期日:
進捗率:

100%

3.6 で発生するか:
Unknown (未調査)
3.8 で発生するか:
Unknown (未調査)

説明

Overview (概要)

SSL 通信時の携帯電話個体識別番号の取得が明確に禁止されていない。

SSL 通信で得られた携帯電話個体識別番号のなかには、信頼できない値になりうるものがある。 OpenPNE では SSL 通信時に すべての種類の 携帯電話個体識別番号の取得を禁止する方向で統一して実装する。

OpenPNE 3.6 では部分 SSL 機能を正式に提供するようになるので、この修正は OpenPNE 3.6 のリリース前におこなう必要がある。

Way to fix (修正内容)

  • SSL 通信では OpenPNE は携帯電話個体識別番号を得られなかったものとして認識するようにした
    • あくまで携帯電話個体識別番号を取得しないようにするだけで、 Cookie 内に格納された ID は通常通り利用できる(=かんたんログインができなくなるわけではない)
  • 部分 SSL 機能を利用している際に、携帯電話個体識別番号を用いるアクションを実行した際、その通信が HTTPS でおこなわれている場合は、 HTTP へリダイレクトさせるようにした
    • 対象となるアクションは 'member/register', 'member/registerInput', 'member/registerEnd', 'member/configUID' である

関連するチケット

関連している OpenPNE 3 - Backport(バックポート) #2269: SSL 通信時の携帯電話個体識別番号の取得が明確に禁止されていない Fixed(完了) 2011-07-14

関係しているリビジョン

リビジョン 370717bd (差分)
Kousuke Ebihara12年以上前に追加

added support to force redirect to HTTP if the action uses mobileUID and that is in the ssl_selectable_actions list (refs #2225)

リビジョン a818aa1d (差分)
Kousuke Ebihara12年以上前に追加

opWebRequest::getMobileUID() now doesn't return uid when the current connection is SSL -- for a security reason (refs #2225)

リビジョン dbe81886 (差分)
Kousuke Ebihara12年以上前に追加

added test for the opWebRequest::getMobileUID() in SSL connection (fixes #2225)

リビジョン 764706b3 (差分)
Kousuke Ebihara12年以上前に追加

added test for opExecutionFilter::needToRetriveMobileUID() and opExecutionFilter::handleSsl() (fixes #2225)

リビジョン 05098b98 (差分)
Kousuke Ebihara12年以上前に追加

s/retrive/retrieve/ig to changes in this ticket (refs #2225)

リビジョン ba357d13 (差分)
Kousuke Ebihara12年以上前に追加

additional s/retrive/retrieve/ig to opExecutionFilterTest because there are oversights in my 05098b98 commit (refs #2225)

リビジョン 57ec41bd (差分)
Kousuke Ebihara12年以上前に追加

added "member/registerMobileToRegisterEnd" to list of retriving-mobile-uid-actions (fixes #2225)

履歴

#1 Kousuke Ebihara12年以上前に更新

  • ステータスAccepted(着手) から Pending Review(レビュー待ち) に変更
  • 進捗率0 から 50 に変更

更新履歴 764706b3648024c8e5d8cb71ee9e2559745acd9e で適用されました。

#2 Kousuke Ebihara12年以上前に更新

更新履歴 dbe81886a1d3d310043a0639300b8649a8553b1f で適用されました。

#3 Rimpei Ogawa12年以上前に更新

  • ステータスPending Review(レビュー待ち) から Rejected(差し戻し) に変更

retrieve を retrive と typo しています。

#4 Shingo Yamada12年以上前に更新

  • 360対象beta13 にセット

#5 Kousuke Ebihara12年以上前に更新

  • ステータスRejected(差し戻し) から Pending Review(レビュー待ち) に変更

05098b98b1e0e810e9407bc0c535691fed683d8fhttp://redmine.openpne.jp/issues/2225#note-3 の指摘事項に対応しました。ただし、このチケットによる変更箇所以外の typo (サードパーティ製ライブラリも含む)については修正をおこなっていません。

#6 Rimpei Ogawa12年以上前に更新

  • ステータスPending Review(レビュー待ち) から Pending Testing(テスト待ち) に変更
  • 進捗率50 から 70 に変更

修正確認しました。

#7 Rimpei Ogawa12年以上前に更新

  • ステータスPending Testing(テスト待ち) から Rejected(差し戻し) に変更
  • 進捗率70 から 50 に変更

一旦テスト待ちにしましたが見直したところ、 test/unit/filter/opExecutionFilterTest.php に3箇所 "retrive" が残っていましたので差し戻します。

test/unit/filter/opExecutionFilterTest.php
24:  public function callNeedToRetrieveMobileUID($module, $action, $retriveUIDMode = 1, $parameters = array())
26:    opConfig::set('retrive_uid', $retriveUIDMode);

#8 Rimpei Ogawa12年以上前に更新

http://redmine.openpne.jp/issues/2087#note-13 に関連して追加の指摘事項です。

member/registerMobileToRegisterEnd アクション内にも mobile_uid を取得する処理があるため、このアクションも「携帯電話個体識別番号を扱うアクション」のリストに追加する必要があります。

#9 Kousuke Ebihara12年以上前に更新

  • ステータスRejected(差し戻し) から Pending Review(レビュー待ち) に変更

更新履歴 57ec41bd6e71fdb6ba563567ce082c311314a8c0 で適用されました。

#10 Maki Takahashi12年以上前に更新

  • ステータスPending Review(レビュー待ち) から Pending Testing(テスト待ち) に変更
  • 進捗率50 から 70 に変更

note-7 および note-8 で指摘されている内容が
修正されていることを確認いたしました。

#11 Kousuke Ebihara12年以上前に更新

  • 説明 を更新 (diff)

修正内容として示していた以下の記述は事実と反していたため削除しました(本機能は ssl_required_applications よりも優先されることはなく、その場合、 ssl_selectable_actions から指定を外した場合は、従来通り、 HTTP 通信が強制されることになるため)。

** これらのアクションへのアクセスであっても、 OpenPNE.yml の ssl_selectable_actions で指定されていない場合は、リダイレクトはおこなわれない

#12 Shouta Kashiwagi約12年前に更新

  • ステータスPending Testing(テスト待ち) から Fixed(完了) に変更
  • 進捗率70 から 100 に変更
  • 3.6 で発生するかYes から Unknown (未調査) に変更
  • 3.4 で発生するかUnknown (未調査) にセット

テストOKです。

#13 kaoru n8年以上前に更新

  • 3.8 で発生するかUnknown (未調査) にセット

他の形式にエクスポート: Atom PDF