Project

General

Profile

Backport(バックポート) #2269

SSL 通信時の携帯電話個体識別番号の取得が明確に禁止されていない

Added by Shingo Yamada over 11 years ago. Updated over 11 years ago.

Status:
Fixed(完了)
Priority:
High(高め)
Target version:
Start date:
2011-07-14
Due date:
% Done:

100%


Description

Overview (概要)

SSL 通信時の携帯電話個体識別番号の取得が明確に禁止されていない。

SSL 通信で得られた携帯電話個体識別番号のなかには、信頼できない値になりうるものがある。 OpenPNE では SSL 通信時に すべての種類の 携帯電話個体識別番号の取得を禁止する方向で統一して実装する。

OpenPNE 3.6 では部分 SSL 機能を正式に提供するようになるので、この修正は OpenPNE 3.6 のリリース前におこなう必要がある。

Way to fix (修正内容)

  • SSL 通信では OpenPNE は携帯電話個体識別番号を得られなかったものとして認識するようにした
    • あくまで携帯電話個体識別番号を取得しないようにするだけで、 Cookie 内に格納された ID は通常通り利用できる(=かんたんログインができなくなるわけではない)
  • 部分 SSL 機能を利用している際に、携帯電話個体識別番号を用いるアクションを実行した際、その通信が HTTPS でおこなわれている場合は、 HTTP へリダイレクトさせるようにした
    • 対象となるアクションは 'member/register', 'member/registerInput', 'member/registerEnd', 'member/configUID' である

Related issues

Related to OpenPNE 3 - Bug(バグ) #2225: SSL 通信時の携帯電話個体識別番号の取得が明確に禁止されていない Fixed(完了) 2011-06-16

Associated revisions

Revision 864967de (diff)
Added by Kousuke Ebihara over 11 years ago

opWebRequest::getMobileUID() now doesn't return uid when the current connection is SSL -- for a security reason (refs #2269, BP from #2225)

Revision 03de6d89 (diff)
Added by Kousuke Ebihara over 11 years ago

added support to force redirect to HTTP if the action uses mobileUID and that is in the ssl_selectable_actions list (refs #2269, BP from #2225)

Revision b55d59ee (diff)
Added by Kousuke Ebihara over 11 years ago

added test for the opWebRequest::getMobileUID() in SSL connection (refs #2269, BP from #2225)

Revision 51bdbb28 (diff)
Added by Kousuke Ebihara over 11 years ago

added test for opExecutionFilter::needToRetriveMobileUID() and opExecutionFilter::handleSsl() (fixes #2269, BP from #2225)

Revision 6408ad26 (diff)
Added by Kousuke Ebihara over 11 years ago

s/retrive/retrieve/ig to changes in this ticket (refs #2269, BP from #2225)

Revision 2c1f31f7 (diff)
Added by Kousuke Ebihara over 11 years ago

additional s/retrive/retrieve/ig to opExecutionFilterTest because there are oversights in my 6408ad26 commit (refs #2269, BP from #2225)

Revision 666eae0f (diff)
Added by Kousuke Ebihara over 11 years ago

added "member/registerMobileToRegisterEnd" to list of retriving-mobile-uid-actions (fixes #2269, BP from #2225)

History

#1 Updated by Kousuke Ebihara over 11 years ago

  • Status changed from New(新規) to Accepted(着手)

#2 Updated by Kousuke Ebihara over 11 years ago

  • Status changed from Accepted(着手) to Pending Review(レビュー待ち)
  • % Done changed from 0 to 50

更新履歴 51bdbb2838b4f59cc9b7aa5642c88d8c4e6e40a4 で適用されました。

#3 Updated by Rimpei Ogawa over 11 years ago

  • Status changed from Pending Review(レビュー待ち) to Rejected(差し戻し)

親チケットを差し戻したためこちらのチケットもステータスを変更します。
http://redmine.openpne.jp/issues/2225#note-3

#4 Updated by Kousuke Ebihara over 11 years ago

  • Status changed from Rejected(差し戻し) to Pending Review(レビュー待ち)

6408ad26ed9fd01b07a646e1c97327f6e18ce2d4 で親チケットの指摘事項に対応しました。

#5 Updated by Rimpei Ogawa over 11 years ago

  • Status changed from Pending Review(レビュー待ち) to Rejected(差し戻し)

#6 Updated by Kousuke Ebihara over 11 years ago

  • Status changed from Rejected(差し戻し) to Pending Review(レビュー待ち)

更新履歴 666eae0fde5ec0ec71e0fef6e0648de6d09360f5 で適用されました。

#7 Updated by Maki Takahashi over 11 years ago

release-3.6beta13ブランチに取り込み済みです

#8 Updated by Shingo Yamada over 11 years ago

  • Status changed from Pending Review(レビュー待ち) to Pending Testing(テスト待ち)
  • % Done changed from 50 to 70

下記の差分が一致していることを確認しました。

master stable-3.6.x
57ec41bd6e71fdb6ba563567ce082c311314a8c0 666eae0fde5ec0ec71e0fef6e0648de6d09360f5
ba357d13a964b00c38c406b987719f1ba6e0a51f 2c1f31f7776dd4ef9b71b370d719aaf8b776fd3a
05098b98b1e0e810e9407bc0c535691fed683d8f 6408ad26ed9fd01b07a646e1c97327f6e18ce2d4
764706b3648024c8e5d8cb71ee9e2559745acd9e 51bdbb2838b4f59cc9b7aa5642c88d8c4e6e40a4
dbe81886a1d3d310043a0639300b8649a8553b1f b55d59ee0b5809514584d08d6155273f23d3c7fb
370717bddf0432d152288cdf7e30d6892184b524 03de6d89daf56b8029b9362aecc57059631b32ca
a818aa1d7343137c44863237eefb287a031e91c7 864967dea288fcb53deee043a28c5631724009fd

#9 Updated by Kousuke Ebihara over 11 years ago

  • Description updated (diff)

修正内容として示していた以下の記述は事実と反していたため削除しました(本機能は ssl_required_applications よりも優先されることはなく、その場合、 ssl_selectable_actions から指定を外した場合は、従来通り、 HTTP 通信が強制されることになるため)。

** これらのアクションへのアクセスであっても、 OpenPNE.yml の ssl_selectable_actions で指定されていない場合は、リダイレクトはおこなわれない

#10 Updated by Mutsumi Imamura over 11 years ago

  • Status changed from Pending Testing(テスト待ち) to Fixed(完了)
  • % Done changed from 70 to 100

LiveHttpHeadersを使用し動作を確認しました。
問題ありません。

Also available in: Atom PDF