OpenPNE 開発チームの海老原です。

緊急リリースなどの開発の都合によりリリースが遅れてしまいましたが、昨日 2009/03/12 (金)、開発版 OpenPNE 3.5.0 をリリースしました。

今回のリリースでは、安定版でおこなわれたバグ修正のほか、待望の自動ログイン機能、プラグインインストール、リリース周りの改善、プロフィールページの外部公開機能などの機能追加、改善がおこなわれています。

いくつかの新機能については、今村さんが OpenPNE 3.5.0 の新機能をわかりやすく紹介しているナイスなエントリ、 「今週のOpenPNE3デモサイト委員会 #17 」 を是非ご覧ください！
（※余談ですが、エントリ中で触れられている「プラグインチャンネルサーバー」について、近日中に嬉しいお知らせができると思うので、こちらも楽しみにしていただければと思います）

次のリリースは 2010/03/25 (木) を予定しています。

続きを読む

OpenPNE 開発チームの卜部です。

本日、安定版 OpenPNE 3.4.2 と旧安定版 OpenPNE 3.2.3 をリリースしました。
緊急リリースが何度かあり、開発が遅れることがございましたが、今回は無事予定通りのリリースとなりました。

今回のリリースでは、プロフィール登録周りのバグの修正やバリデーション周りのバグの修正、3.4.x に追加されていたナビゲーションキャッシュのバグフィックスなどが取り込まれています。

次のリリースは 2010/04/08 (木) を予定しています。

バグ修正

• #602: (3.4.2 限定) Display other member’s local navigation sometimes (違うメンバーのローカルナビゲーションが表示されることがある)
• #663, : The session timeout of pc_frontend does not became enabled. (pc_frontendのセッションタイムアウトが有効にならない)
• #637: opValidatorDate with date_time option don’t return time correctly. (opValidatorDateをwith_timeオプション付きで使用したとき時刻が違う値になる)
• #719: After sorted an item name by profile choice list, change of an item name cannot be performed. (プロフィール選択肢一覧で項目名を入れ替えた後に項目名の変更が出来ない)

続きを読む

携帯版を使用している OpenPNE では、かんたんログイン機能の不備により、なりすましがおこなわれてしまう可能性があります。

このエントリでは、本問題についての解説と、 OpenPNE 1.6 〜 OpenPNE 1.8、 OpenPNE 2.0 〜 OpenPNE 2.8、 OpenPNE 2.10 〜 OpenPNE 2.14、 OpenPNE 3.0 〜 OpenPNE 3.4 向けに対応方法の説明をおこないます。

本問題について

影響を受けるシステム:

携帯版を有効にしているすべての OpenPNE 1.6 〜 OpenPNE 1.8, OpenPNE 2, OpenPNE 3

本問題についての説明:

OpenPNE の携帯版には、携帯電話の端末 ID （OpenPNE では「携帯電話個体識別番号」という呼称を使用しています）を使用して、メールアドレスやパスワードの入力をユーザに要求することなくログインをおこなうための、かんたんログイン機能が存在します。
かんたんログイン機能は IP アドレス帯域制限によって、真正な携帯電話からのアクセスに限定しなければ安全に使用することができません。 PC からかんたんログイン機能を使用できる状態にある場合、特定の情報を送信してかんたんログインをおこなうことで、なりすましログインがおこなわれてしまう可能性があります。

かんたんログイン機能の安全性を担保するための OpenPNE の IP アドレス帯域制限には以下の問題があります。そのため、なりすましログインをされる危険性があります。

• ・OpenPNE 2.14 (OpenPNE 2.13.2 以降) には、特定の操作をおこなうことで、携帯電話の IP アドレス帯域制限を回避されてしまう脆弱性が存在する
• ・IP アドレス帯域制限機能が OpenPNE 2.10 以降にしか存在しない
• ・OpenPNE 2.10 以降、 OpenPNE 3.0 以降の IP アドレス帯域制限機能がデフォルトで OFF (使用しない) になっている

想定される影響:

なりすましログインがおこなわれることによって、パスワードなどを要求する重要な操作を除き、ほとんどの情報の閲覧や変更を、なりすましたメンバーの権限でおこなわれてしまう可能性があります。

対策方法・回避方法:

本エントリの「本問題への対応方法」をご覧ください。

掲載されている各対応方法をすぐには実施できない場合、管理画面から「携帯版使用設定」を「使用しない」にすることでこの問題を回避することができます。

謝辞

OpenPNE 2.14 における IP アドレス帯域制限機能回避の脆弱性について、高木浩光氏よりご報告いただきました。厚く御礼申し上げます。

関連情報

JVN#06874657 OpenPNE におけるアクセス制限回避の脆弱性

JVNDB-2010-000006 – JVN iPedia – 脆弱性対策情報データベース

本問題への対応方法

OpenPNE 3.0 〜 OpenPNE 3.4

マイナーバージョンアップもしくは修正パッチの適用を実施してください。
(OpenPNE 3 の修正パッチは patch -p1 < /path/to/patch のようにして当ててください)

OpenPNE 3.0.6.1 :

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.2.2.1 :

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.4.1.1 :

[.zip 版ダウンロード] [修正パッチ]

その後、管理画面の SNS 設定を確認し、「携帯電話のIP帯域設定」が「携帯電話のIP帯域をチェックする」になっていない場合は変更してください。

マイナーバージョンアップをしていない環境で、パッチを適用できない場合、携帯電話の IP アドレス帯域リストを更新した上で SNS 設定の「携帯電話のIP帯域設定」を「携帯電話のIP帯域をチェックする」に変更してください。

以下の画像のようになっていれば OK です。

お使いのバージョンの最新版の IP 帯域リストの入手方法は、本エントリの「今後の OpenPNE プロジェクトとしての携帯電話 IP 帯域リスト更新ポリシー」に示してあります。

OpenPNE 2.10 〜 OpenPNE 2.14

マイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 2.10.13.1 :

[.tar.gz 版ダウンロード][.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]

OpenPNE 2.12.17.1 :

[.tar.gz 版ダウンロード][.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]

OpenPNE 2.14.4.1 :

[.tar.gz 版ダウンロード][.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]

ソースコードの入れ替え、もしくは修正パッチの適用をおこなった後、 config.php の CHECK_KTAI_IP の設定が false になっている場合は、以下のように true に設定してください。

define(‘CHECK_KTAI_IP’, true);

OpenPNE 2.12.17 では ソースコードを入れ替えることなく、 config.php の CHECK_KTAI_IP の設定を true に設定する（IP アドレス帯域制限機能を使用するようにする）だけでも効果があります。

マイナーバージョンアップをしていない環境で、パッチを適用できない場合、携帯電話の IP アドレス帯域リストを更新した上で config.php の CHECK_KTAI_IP の設定を true に変更してください。

お使いのバージョンの最新版の IP 帯域リストの入手方法は、本エントリの「今後の OpenPNE プロジェクトとしての携帯電話 IP 帯域リスト更新ポリシー」に示してあります。

OpenPNE 2.0 〜 OpenPNE 2.8

OpenPNE 2.0 〜 OpenPNE 2.8 で携帯電話 IP 帯域制限機能を利用するためのパッチを公開します。

OpenPNE 2.0 〜 OpenPNE 2.2 向けのパッチはこちらになります: https://gist.github.com/raw/322468/bb6bbd4c5f59dff51c571b0a32c1752c5cc9320f/openpne2.diff
OpenPNE 2.4 〜 OpenPNE 2.8 向けのパッチはこちらになります: https://gist.github.com/raw/322468/2798c821f82eaa064294eea519407f771ea17714/openpne2.4.diff

今後 IP アドレス帯域リストを更新する場合は、 2.12 向けのリストを使用してください。

このパッチを適用するか、もしくは、 OpenPNE 2.12, OpenPNE 2.14 へのメジャーバージョンアップを実施してください。

OpenPNE 1.6 〜 OpenPNE 1.8

OpenPNE 1.6 〜 OpenPNE 1.8 で携帯電話 IP 帯域制限機能を利用するための .htaccess を公開します。

https://gist.github.com/raw/322468/51e7cdf982a3f4a8f7e322ff5b2b9fbedfa1127b/.htaccess

このファイルを public_html ディレクトリ以下に設置してご利用いただくか、もしくは、 OpenPNE 2.12, OpenPNE 2.14 へのメジャーバージョンアップを実施してください。

今後の OpenPNE プロジェクトとしての携帯電話 IP 帯域リスト更新ポリシー

今回、すべての OpenPNE において携帯版の IP アドレス帯域制限をデフォルト ON にするにあたり、各キャリア側の携帯 IP アドレス帯域への対応ポリシーを決定しました。

いままでマイナーバージョンアップに IP アドレス帯域リストの更新を含めていましたが、それとは別に IP アドレス帯域リストのみの単体リリースを実施するようにしていく予定です（本サイトで発表します）。

OpenPNE 2 をお使いの場合は、 webapp/lib/ktaiIP.php を以下から入手できるものに置き換えれば IP 帯域リストを更新できます。

2.10:

https://trac.openpne.jp/svn/OpenPNE_specification/mobile_ip_list/20100305/2.10/ktaiIP.php

2.12:

https://trac.openpne.jp/svn/OpenPNE_specification/mobile_ip_list/20100305/2.12/ktaiIP.php

2.14:

https://trac.openpne.jp/svn/OpenPNE_specification/mobile_ip_list/20100305/2.14/ktaiIP.php

OpenPNE 3 をお使いの場合は、 lib/config/config/mobile_ip_address.yml を以下で発表されるものに置き換えれば IP 帯域リストを更新できます。

3.0:

https://trac.openpne.jp/svn/OpenPNE_specification/mobile_ip_list/20100305/3.0/mobile_ip_address.yml

3.2:

https://trac.openpne.jp/svn/OpenPNE_specification/mobile_ip_list/20100305/3.2/mobile_ip_address.yml

3.4:

https://trac.openpne.jp/svn/OpenPNE_specification/mobile_ip_list/20100305/3.4/mobile_ip_address.yml

OpenPNE3デモサイト委員会、広報担当の今村です。
「今週のOpenPNE3デモサイト委員会」第17回です。

今回はOpenPNE3.5.0リリースに先駆けて、OpenPNE3.5.0に追加される新機能についていくつかご紹介したいと思います。

続きを読む

OpenPNE 開発チームの卜部です。

本日 2010/02/26 (金) 、 opMessagePlugin に脆弱性が発見されたため、緊急リリースをおこないました。

対象:

• opMessagePlugin 0.8.2.2 以前 (OpenPNE 3.0.0 ～ 3.0.6 に同梱されているもの)
• opMessagePlugin 0.9.0.2 以前 (OpenPNE 3.1.5 ～ 3.4.1 に同梱されているもの)

影響を受けるシステム:

対象のバージョンの opMessagePlugin を使用しているすべての OpenPNE3
(ただし、2010/02/26 23:22 以降にセットアップをおこなった OpenPNE3 には対策版のプラグインがインストールされるため、影響を受けません)

想定される影響:

• ・他人のメッセージが削除・復元ができる
• ・自分宛の下書きメッセージが閲覧できる
• ・自分が送受信していないメッセージの宛先を確認できる

主に上記の修正が含まれます。詳細につきましてはロードマップをご確認ください。

opMessagePlugin 0.8.2.3 のロードマップ
opMessagePlugin 0.9.0.3 のロードマップ

対策方法:

OpenPNE 3.0.3 ～ 3.0.6 をお使いの場合、OpenPNEのトップディレクトリで以下のコマンドを実行してアップデートを実施してください。

$ php symfony opPlugin:install opMessagePlugin -r 0.8.2.3
$ php symfony propel:build-model
$ php symfony propel:build-form
$ php symfony propel:build-filter
$ php symfony cc

OpenPNE 3.1.5 ～ OpenPNE 3.4.1 をお使いの場合、OpenPNEのトップディレクトリで以下のコマンドを実行してアップデートを実施してください。

$ php symfony opPlugin:install opMessagePlugin -r 0.9.0.3
$ php symfony doctrine:build-model
$ php symfony doctrine:build-form
$ php symfony doctrine:build-filter
$ php symfony cc

OpenPNE 3.0.0, 3.0.1, 3.0.2 をお使いの方は、 OpenPNE 3.0.3 へのアップデートを実施してください。

OpenPNE開発チームの今村です。

2010/02/25(木) にリリースを予定していた 開発版OpenPNE 3.5.0 ですが、
開発の遅れにより延期することになりました。
ご連絡が遅れましたこと、お詫び申し上げます。

延期後のリリース日につきましては、現在未定となっております。
正確なリリース日が決まり次第、再度ご連絡いたします。

OpenPNE3.5.0の対応項目はこちらをご覧ください。

OpenPNE 3.5.0
http://redmine.openpne.jp/versions/show/35

開発チームの川原です。

昨日2010年2月21日（土）に、opOpenSocialPluginの1.0.0, 0.9.5
をリリースしました！

1.0.0について

1.0.0は予定では2/25にリリースされる、OpenPNE3.5.0に同梱される予定のバージョンです。
対応バージョンは、OpenPNE3.5.x以降となっています。

新機能

Activity API実装

opensocial.requestShareApp()実装

shindigのバージョンを1.1-BETA5にバージョンアップ

バグ修正

frontendからのアプリ登録可能な状態で追加しても管理画面からの承認が必要になる

schema.ymlによってwarningが発生する問題の解消

詳しくは、1.0.0ロードマップを御覧下さい。

インストール・アップグレード方法

インストール前に、OpenPNEのバージョンが3.5.x以降であるかを確認してください。
管理画面にログインして、下に記されているバージョンを確認する(3.5.x以降)か
OpenPNEのディレクトリにある、 data/version.php で宣言されている
バージョン番号を確認してください。

また、アップグレードの際にテーブルの追加などが行われるため、
データベースのバックアップを行った上で、以下の以下の作業をやってください。

OpenPNEのディレクトリに移動し以下のコマンドを入力します。

$ ./symfony opPlugin:install opOpenSocialPlugin -r 1.0.0

チャネルサーバからopOpenSocialPlugin1.0.0がダウンロードされます。

デーブルの追加・変更を行うためマイグレートを行います。

$ ./symfony openpne:migrate

最後にキャッシュを削除してください。

$ ./symfony cc

これで、アップグレード（もしくは新規インストール）が完了します。

0.9.5について

0.9.5は、OpenPNE3.2.x以降に対応したバージョンで、バグ修正がメインとなっています。

バグ修正

frontendからのアプリ登録可能な状態で追加しても管理画面からの承認が必要になる

schema.ymlによってwarningが発生する問題の解消

アプリギャラリーでCSRF errorが発生する (報告者: Mari Yamashita)

詳しくは0.9.5ロードマップを御覧下さい。

アップグレード方法

インストール前に、OpenPNEのバージョンが3.2.x以降であるかを確認してください。
OpenPNEのディレクトリにある、 data/version.php で宣言されている
バージョン番号を確認してください。

OpenPNEのディレクトリに移動し以下のコマンドを入力します。

$ ./symfony opPlugin:install opOpenSocialPlugin -r 0.9.5

チャネルサーバからopOpenSocialPlugin0.9.5がダウンロードされます。

最後にキャッシュを削除してください。

$ ./symfony cc

リリース方針などに関して

今後のリリース方針として、0.9.xと1.0.xに関しては大きな変更は行わず、
バグの修正や、デザインの改善をメインとしたいと思います。
新機能や、大幅な修正は開発版である1.1.xで行っていきます。

詳しくは、こちらを御覧下さい。

今後のリリースに関して

次のバージョンでは、API周りの強化や、ライフサイクルイベントの実装
また外部コンテナを利用する際の強化を行って行きたいと思います。

また、モバイルOpenSocial対応についても、今年の夏までには完了をさせる目標です。

開発について

バグ管理は、
http://redmine.openpne.jp/projects/plg-open-social
で行っています。問題がありましたら、こちらでチケット作成をしていただけると
早めの対応ができると思います。

また、リポジトリはGithub上の
http://github.com/kawahara/opOpenSocialPlugin
で行っていますので、もし解決が可能な場合はこちらから fork をして、修正したものを
pull requestしていただけると、大変幸せであります。

また、上記以外でも、Twitter上で #op3dev というハッシュタグを利用したり、
@ooharabucyou に連絡することにより問題解決が可能であるかもしれません。

PNE関西のモデレーター、zeroichiの西川です。

2010年2月13日（土）に開催されました OpenPNEフェスタ 2010春 in Osaka は、ご協力頂きました講演者様と、参加して頂きました皆様のお陰を持ちまして、盛況なセミナーイベントとなりました。

参加申し込み者数は37名もなり、前回の第1回のセミナーイベントを上回るものとなりました。ありがとうございます。

会場で頂きましたアンケートを糧に、次回のセミナーイベント、そして勉強会は、さらに充実したものを用意できるように、PNE関西は進んでいきたいと考えています。

そして会場でお伝えしたPNE関西の公式サイトですが、こちらのURLとなります。

PNE関西公式サイト
http://www.pnekansai.com/

今後、PNE関西公式サイトを活用して、OpenPNE公式SNS内に埋もれている情報を整理し、公開していくことを進めていきます。また、寄贈頂いた改造コードなども、権利確認をクリアさせて発表していきたいとも考えております。

これからもご声援とご協力をよろしくお願いします。

OpenPNE開発チームのきわです。

今週2度目、OpenPNE の事例集を更新しました。
こちらも漫描きさんに続きOpenPNE3の素敵な活用事例です！

今回の紹介は株式会社アジャストが運営する「ToMiCo」です。紹介文はこちら。

「ToMiCo」の同人イベント情報・サークル情報の管理は、イベントの主催者やサークルの活動を宣伝したい人だけでなく、同人活動を応援したい人・ちょっと興味がある人にもオススメしたいです！多くの情報がSNSに登録しないでも確認できるので、気軽に同人に関する情報に触れることができます。
SNS の使い方が会話形式でわかりやすく説明されているのも魅力で、「SNS に登録したけど何をすればいいかわからない」というメンバーさんが多くて悩んでいる方の良い参考にもなりそうです。

事例集紹介はこちらのページになります。

OpenPNE 活用事例集

http://www.openpne.jp/case