プロジェクト

全般

プロフィール

操作
リンクをコピー

Bug(バグ) #290

完了

MessagePlugin でCSRF対策がされていない

Shinichi Urabe さんがほぼ15年前に追加. 13年以上前に更新.

ステータス:
Fixed(完了)
優先度:
Normal(通常)
担当者:
-
対象バージョン:
0.9.0.1
開始日:
2009-11-29
期日:
進捗率:

100%

予定工数:
3.6 で発生するか:
[QA]バグ通知済:
いいえ
3.8 で発生するか:

説明

対策がされていない箇所

メッセージの削除
message/deleteReceiveMessage/:id

メッセージの復元
message/reply/id/:id

メッセージの返信
message/reply/id/:id

操作
リンクをコピー
 #1

Shinichi Urabe さんがほぼ15年前に更新

  • 進捗率0 から 90 に変更

http://trac.openpne.jp/changeset/13173
削除、復元のメッセージの状態が変化する動作の場合のみにCSRFをチェックする対応を行いました。

メッセージの返信の場合にトークンを必須にすると不便になりそうなので、対応していません。

操作
リンクをコピー
 #2

Kousuke Ebihara さんがほぼ15年前に更新

  • 進捗率90 から 0 に変更

僕が受け持ちます。

メッセージの返信の場合にトークンを必須にすると不便になりそうなので、対応していません。

何を言っているのか意味が分からないのですが(トークンを必須にすると不便?/不便になりそうなので対応しない?)、返信機能については確認したところ、 CSRF に脆弱とは言えない(攻撃が成立しない)ので、今回は重要度が低いと見なし対策をおこないません。報告は誤りとし、対応後修正します。

操作
リンクをコピー
 #3

pnetan   さんが14年以上前に更新

  • プロジェクトOpenPNE3 Plugins から opMessagePlugin に変更
操作
リンクをコピー
 #4

Shinichi Urabe さんが14年以上前に更新

  • ステータスNew(新規) から Fixed(完了) に変更
  • 進捗率0 から 100 に変更
操作
リンクをコピー
 #5

Maki Takahashi さんが13年以上前に更新

  • 対象バージョン0.9.0.1 にセット
  • [QA]バグ通知済いいえ にセット
操作
リンクをコピー

他の形式にエクスポート: Atom PDF