Backport(バックポート) #2269
Kousuke Ebihara が12年以上前に更新
h3. Overview (概要)
SSL 通信時の携帯電話個体識別番号の取得が明確に禁止されていない。
SSL 通信で得られた携帯電話個体識別番号のなかには、信頼できない値になりうるものがある。 OpenPNE では SSL 通信時に すべての種類の 携帯電話個体識別番号の取得を禁止する方向で統一して実装する。
OpenPNE 3.6 では部分 SSL 機能を正式に提供するようになるので、この修正は OpenPNE 3.6 のリリース前におこなう必要がある。
h3. Way to fix (修正内容)
* SSL 通信では OpenPNE は携帯電話個体識別番号を得られなかったものとして認識するようにした
** あくまで携帯電話個体識別番号を取得しないようにするだけで、 Cookie 内に格納された ID は通常通り利用できる(=かんたんログインができなくなるわけではない)
* 部分 SSL 機能を利用している際に、携帯電話個体識別番号を用いるアクションを実行した際、その通信が HTTPS でおこなわれている場合は、 HTTP へリダイレクトさせるようにした
** 対象となるアクションは 'member/register', 'member/registerInput', 'member/registerEnd', 'member/configUID' である
** これらのアクションへのアクセスであっても、 OpenPNE.yml の ssl_selectable_actions で指定されていない場合は、リダイレクトはおこなわれない
SSL 通信時の携帯電話個体識別番号の取得が明確に禁止されていない。
SSL 通信で得られた携帯電話個体識別番号のなかには、信頼できない値になりうるものがある。 OpenPNE では SSL 通信時に すべての種類の 携帯電話個体識別番号の取得を禁止する方向で統一して実装する。
OpenPNE 3.6 では部分 SSL 機能を正式に提供するようになるので、この修正は OpenPNE 3.6 のリリース前におこなう必要がある。
h3. Way to fix (修正内容)
* SSL 通信では OpenPNE は携帯電話個体識別番号を得られなかったものとして認識するようにした
** あくまで携帯電話個体識別番号を取得しないようにするだけで、 Cookie 内に格納された ID は通常通り利用できる(=かんたんログインができなくなるわけではない)
* 部分 SSL 機能を利用している際に、携帯電話個体識別番号を用いるアクションを実行した際、その通信が HTTPS でおこなわれている場合は、 HTTP へリダイレクトさせるようにした
** 対象となるアクションは 'member/register', 'member/registerInput', 'member/registerEnd', 'member/configUID' である
** これらのアクションへのアクセスであっても、 OpenPNE.yml の ssl_selectable_actions で指定されていない場合は、リダイレクトはおこなわれない