opHardeningPlugin 1.0.1リリースのお知らせ
05 / 22 水曜日 2013
ドーモ、OpenPNE 開発チームのナカジマです。
2013/05/19(日)、 OpenPNE3系向けのプラグイン、
opHardeningPlugin 1.0.1がリリースされました。
opHardeningPluginは、開発チームのヤバイ級ハッカーである海老原=サンにより作成された、
現行の OpenPNE 3 に不足している各種セキュリティ対策をカバーするためのプラグインです。
JSONハイジャックやIEにおけるXSSへの対応が主となっています。
このプラグインを導入することにより、あなたの運用するSNSはセキュリティ強度はポイント倍点です。
プラグイン概要
このプラグインでは、以下のセキュリティ対策を提供します。これらの項目は設定ファイルにて有効/無効の選択ができます。
・Android 標準ブラウザにおける JSON ハイジャック攻撃への対策
・Internet Explorer 8 以前における JSON ハイジャック攻撃への対策
・Internet Explorer 8 以前における JSON コンテンツを悪用した XSS 攻撃への対策
・クリックジャッキング攻撃への対策
・Internet Explorer における XSS 攻撃を誘発しかねない仕様を、 Internet Explorer 8 以降にて無効化する対策
・Internet Explorer や Google Chrome、 Safari にて備わっている XSS フィルタのブロックモードを有効にすることによる、 XSS フィルタの悪用による XSS 攻撃への対策
・UTF-8 の範囲外の文字列を悪用することによる、主に入力値検証回避を目的とした各種脆弱性への対策
・セッションクッキーに HttpOnly 属性を付加し、 XSS 脆弱性があった場合の影響を軽減する対策
・パスワード文字種および文字列長の不適切な制限の撤廃
詳細につきましては、海老原=サンのブログ記事「OpenPNE 3 プラグイン opHardeningPlugin 1.0.0 をリリースした 」を御覧ください。
1.0.0からの変更点
・Fix: Android 標準ブラウザ向け JSON ハイジャック対策が適用されていない (Safeguard of JSON Hijacking attack for Android default browser is not applied)
・Add: IE 9 および IE 10 向けに VB スクリプトを利用して JSON の内容を外部から読み取ることができる問題への対策の追加 (Added safeguard of JSON Array Information Disclosure Vulnerability in IE 9 and IE 10)
1.0.0からの変更点につきましては、こちらも海老原=サンのブログ記事「OpenPNE 3 プラグイン opHardeningPlugin 1.0.1 をリリースした 」を御覧ください。
インストール方法
./symfony opPlugin:install opHardeningPlugin -r 1.0.1
./symfony openpne:migrate –target=opHardeningPlugin
いじょうです。