-オープンソースのSNSエンジン OpenPNEプロジェクト-

opHardeningPlugin 1.0.1リリースのお知らせ

05 / 22 水曜日 2013

ドーモ、OpenPNE 開発チームのナカジマです。

2013/05/19(日)、 OpenPNE3系向けのプラグイン、
opHardeningPlugin 1.0.1がリリースされました。

opHardeningPluginは、開発チームのヤバイ級ハッカーである海老原=サンにより作成された、
現行の OpenPNE 3 に不足している各種セキュリティ対策をカバーするためのプラグインです。
JSONハイジャックやIEにおけるXSSへの対応が主となっています。
このプラグインを導入することにより、あなたの運用するSNSはセキュリティ強度はポイント倍点です。

プラグイン概要

 このプラグインでは、以下のセキュリティ対策を提供します。これらの項目は設定ファイルにて有効/無効の選択ができます。

 ・Android 標準ブラウザにおける JSON ハイジャック攻撃への対策
 ・Internet Explorer 8 以前における JSON ハイジャック攻撃への対策
 ・Internet Explorer 8 以前における JSON コンテンツを悪用した XSS 攻撃への対策
 ・クリックジャッキング攻撃への対策
 ・Internet Explorer における XSS 攻撃を誘発しかねない仕様を、 Internet Explorer 8 以降にて無効化する対策
 ・Internet Explorer や Google Chrome、 Safari にて備わっている XSS フィルタのブロックモードを有効にすることによる、 XSS フィルタの悪用による XSS 攻撃への対策
 ・UTF-8 の範囲外の文字列を悪用することによる、主に入力値検証回避を目的とした各種脆弱性への対策
 ・セッションクッキーに HttpOnly 属性を付加し、 XSS 脆弱性があった場合の影響を軽減する対策
 ・パスワード文字種および文字列長の不適切な制限の撤廃

詳細につきましては、海老原=サンのブログ記事「OpenPNE 3 プラグイン opHardeningPlugin 1.0.0 をリリースした 」を御覧ください。

1.0.0からの変更点

 ・Fix: Android 標準ブラウザ向け JSON ハイジャック対策が適用されていない (Safeguard of JSON Hijacking attack for Android default browser is not applied)
 ・Add: IE 9 および IE 10 向けに VB スクリプトを利用して JSON の内容を外部から読み取ることができる問題への対策の追加 (Added safeguard of JSON Array Information Disclosure Vulnerability in IE 9 and IE 10)

1.0.0からの変更点につきましては、こちらも海老原=サンのブログ記事「OpenPNE 3 プラグイン opHardeningPlugin 1.0.1 をリリースした 」を御覧ください。

インストール方法

 ./symfony opPlugin:install opHardeningPlugin -r 1.0.1
 ./symfony openpne:migrate –target=opHardeningPlugin

いじょうです。

コメント:0

コメントフォーム
お名前やメールアドレスを記録しますか?

トラックバック:0

この記事のトラックバックURL
http://www.openpne.jp/archives/11167/trackback/

ページの先頭に戻る