ドーモ、OpenPNE 開発チームのナカジマです。

2013/05/19(日)、 OpenPNE3系向けのプラグイン、
opHardeningPlugin 1.0.1がリリースされました。

opHardeningPluginは、開発チームのヤバイ級ハッカーである海老原＝サンにより作成された、
現行の OpenPNE 3 に不足している各種セキュリティ対策をカバーするためのプラグインです。
JSONハイジャックやIEにおけるXSSへの対応が主となっています。
このプラグインを導入することにより、あなたの運用するSNSはセキュリティ強度はポイント倍点です。

プラグイン概要

　このプラグインでは、以下のセキュリティ対策を提供します。これらの項目は設定ファイルにて有効／無効の選択ができます。

　・Android 標準ブラウザにおける JSON ハイジャック攻撃への対策
　・Internet Explorer 8 以前における JSON ハイジャック攻撃への対策
　・Internet Explorer 8 以前における JSON コンテンツを悪用した XSS 攻撃への対策
　・クリックジャッキング攻撃への対策
　・Internet Explorer における XSS 攻撃を誘発しかねない仕様を、 Internet Explorer 8 以降にて無効化する対策
　・Internet Explorer や Google Chrome、 Safari にて備わっている XSS フィルタのブロックモードを有効にすることによる、 XSS フィルタの悪用による XSS 攻撃への対策
　・UTF-8 の範囲外の文字列を悪用することによる、主に入力値検証回避を目的とした各種脆弱性への対策
　・セッションクッキーに HttpOnly 属性を付加し、 XSS 脆弱性があった場合の影響を軽減する対策
　・パスワード文字種および文字列長の不適切な制限の撤廃

詳細につきましては、海老原＝サンのブログ記事「OpenPNE 3 プラグイン opHardeningPlugin 1.0.0 をリリースした 」を御覧ください。

1.0.0からの変更点

　・Fix: Android 標準ブラウザ向け JSON ハイジャック対策が適用されていない (Safeguard of JSON Hijacking attack for Android default browser is not applied)
　・Add: IE 9 および IE 10 向けに VB スクリプトを利用して JSON の内容を外部から読み取ることができる問題への対策の追加 (Added safeguard of JSON Array Information Disclosure Vulnerability in IE 9 and IE 10)

1.0.0からの変更点につきましては、こちらも海老原＝サンのブログ記事「OpenPNE 3 プラグイン opHardeningPlugin 1.0.1 をリリースした 」を御覧ください。

インストール方法

　./symfony opPlugin:install opHardeningPlugin -r 1.0.1
　./symfony openpne:migrate –target=opHardeningPlugin

いじょうです。