Bug(バグ) #2225
完了
SSL 通信時の携帯電話個体識別番号の取得が明確に禁止されていない
Kousuke Ebihara さんが13年以上前に追加.
約9年前に更新.
説明
Overview (概要)¶
SSL 通信時の携帯電話個体識別番号の取得が明確に禁止されていない。
SSL 通信で得られた携帯電話個体識別番号のなかには、信頼できない値になりうるものがある。 OpenPNE では SSL 通信時に すべての種類の 携帯電話個体識別番号の取得を禁止する方向で統一して実装する。
OpenPNE 3.6 では部分 SSL 機能を正式に提供するようになるので、この修正は OpenPNE 3.6 のリリース前におこなう必要がある。
Way to fix (修正内容)¶
- SSL 通信では OpenPNE は携帯電話個体識別番号を得られなかったものとして認識するようにした
- あくまで携帯電話個体識別番号を取得しないようにするだけで、 Cookie 内に格納された ID は通常通り利用できる(=かんたんログインができなくなるわけではない)
- 部分 SSL 機能を利用している際に、携帯電話個体識別番号を用いるアクションを実行した際、その通信が HTTPS でおこなわれている場合は、 HTTP へリダイレクトさせるようにした
- 対象となるアクションは 'member/register', 'member/registerInput', 'member/registerEnd', 'member/configUID' である
関連するチケット
1 (0件未完了 — 1件完了)
- ステータス を Accepted(着手) から Pending Review(レビュー待ち) に変更
- 進捗率 を 0 から 50 に変更
- ステータス を Pending Review(レビュー待ち) から Rejected(差し戻し) に変更
retrieve を retrive と typo しています。
- ステータス を Rejected(差し戻し) から Pending Review(レビュー待ち) に変更
- ステータス を Pending Review(レビュー待ち) から Pending Testing(テスト待ち) に変更
- 進捗率 を 50 から 70 に変更
- ステータス を Pending Testing(テスト待ち) から Rejected(差し戻し) に変更
- 進捗率 を 70 から 50 に変更
一旦テスト待ちにしましたが見直したところ、 test/unit/filter/opExecutionFilterTest.php に3箇所 "retrive" が残っていましたので差し戻します。
test/unit/filter/opExecutionFilterTest.php
24: public function callNeedToRetrieveMobileUID($module, $action, $retriveUIDMode = 1, $parameters = array())
26: opConfig::set('retrive_uid', $retriveUIDMode);
- ステータス を Rejected(差し戻し) から Pending Review(レビュー待ち) に変更
- ステータス を Pending Review(レビュー待ち) から Pending Testing(テスト待ち) に変更
- 進捗率 を 50 から 70 に変更
修正内容として示していた以下の記述は事実と反していたため削除しました(本機能は ssl_required_applications よりも優先されることはなく、その場合、 ssl_selectable_actions から指定を外した場合は、従来通り、 HTTP 通信が強制されることになるため)。
** これらのアクションへのアクセスであっても、 OpenPNE.yml の ssl_selectable_actions で指定されていない場合は、リダイレクトはおこなわれない
- ステータス を Pending Testing(テスト待ち) から Fixed(完了) に変更
- 進捗率 を 70 から 100 に変更
- 3.6 で発生するか を Yes から Unknown (未調査) に変更
- 3.4 で発生するか を Unknown (未調査) にセット
- 3.8 で発生するか を Unknown (未調査) にセット
他の形式にエクスポート: Atom
PDF
