[Seasar-user:19471] Re: mobylet ver 1.0.4 リリース

Shin Takeuchi [E-MAIL ADDRESS DELETED]
2010年 3月 10日 (水) 12:44:13 JST


いづのさん

竹内(stakeuchi)です。

> の機能が追加されていますが、UID/GUIDベースでのセッションに関してはセキュリティ上の問題が指摘されています。
> フレームワークが対応するのはよいと思いますが、利用者がなんの意識もないまま使ってしまうのもよくないと思いますので偽装に関する記載はありましたが、もう少し目立つ形で注意書きなどあればよいように感じます。
>
> 一度検討ください。

コメントをありがとうございます。

仰る通り、何も考えずに利用してしまった場合
UID/GUIDの偽装によるセキュリティホールを作ってしまったり
別の観点でGUIDとiモードブラウザ2.0×Ajax利用時のセキュリティ問題が指摘されたりしていると思います。

ここはトレードオフの考え方なのですが
(1)デフォルトでセキュリティが強固なフレームワークにする
 →開発環境でFireMobileSimulatorを利用している場合でもカスタム設定の必要がある
(2)デフォルドでは開発環境を立ち上げやすいフレームワークにする
 →本番環境リリース時などにはIP制限の設定を行う必要がある
のどちらかでかなり悩み
現時点では(2)を選択したという状況です。


次のバージョンでどのようなデフォルト設定を取るかというのは
再度検討してみようと思いますが
mobyletのサイト上へセキュリティ観点での注意書きを
もう少し多めに取る形でまずは対応しようと思います。


注意書きをアップした際には
こちらのスレッドに返信する形でご連絡を差し上げます。
よろしくお願い致します。


2010年3月10日10:27 IZUNO Tadashi <[E-MAIL ADDRESS DELETED]>:
> いづのといいます。
>
> いつも便利に利用させていただいており、感謝しています。
> 一点今回のリリースでお願い事項があります。
>
> ■UID/GUIDベースでのセッション機構の追加(β版)
>
> の機能が追加されていますが、UID/GUIDベースでのセッションに関してはセキュリティ上の問題が指摘されています。
> フレームワークが対応するのはよいと思いますが、利用者がなんの意識もないまま使ってしまうのもよくないと思いますので偽装に関する記載はありましたが、もう少し目立つ形で注意書きなどあればよいように感じます。
>
> 一度検討ください。
>
> ※某セキュリティコンサルタントに無下に否定されてしまうともったいないと思いますので
>
> 以上
>
> 2010/3/10 Shin Takeuchi <[E-MAIL ADDRESS DELETED]>
>>
>> 竹内(stakeuchi)です。
>>
>> mobylet ver 1.0.4をリリースしました。
>> http://mobylet.seasar.org/
>>
>> 今回のリリースには以下の新機能が含まれています。
>>
>> ■UID/GUIDベースでのセッション機構の追加(β版)
>> http://mobylet.seasar.org/references/session.html
>> http://mobylet.seasar.org/settings/mobyletSessionXml.html
>> WebアプリレベルでUID/GUIDベースのセッション管理が行えます。
>> Webサーバ冗長構成時にも利用することが出来ます。
>> #Dumpでの出力には対応していません
>>
>> ■ゲートウェイIPアドレスチェック機能
>> Mobylet#isGatewayIp()メソッドの追加
>> http://mobylet.seasar.org/settings/mobyletxml.html
>> (ゲートウェイIPアドレスリストの設定)
>> UID/GUIDの正当性を検証可能になりました。
>> #上記検証設定はmobylet.xmlからも設定可能
>>
>> ■メール送信等のmobyletバッチ起動(初期化)
>> http://mobylet.seasar.org/references/mail.html
>> (バッチ処理でメールを送る)
>> MobyletFilterベースでの初期化処理を
>> MobyletLauncherベースに変更し、バッチからの初期化が可能になりました。
>>
>>
>> リリースノートは以下の通りです。
>>
>> Release Notes - Mobylet - Version 1.0.4
>>
>> ** Bug
>>    * [MOBYLET-79] - [mobylet-core] TransitionConfigの読み込みを1度だけにする
>>    * [MOBYLET-80] - [mobylet-core] FindBugs対応
>>    * [MOBYLET-81] - [mobylet-charset] FindBugs対応
>>    * [MOBYLET-82] - [mobylet-taglibs] FindBugs対応
>>    * [MOBYLET-83] - [mobylet-mail] FindBugs対応
>>    * [MOBYLET-84] - [mobylet-s2extension] FindBugs対応
>>    * [MOBYLET-85] - [mobylet-core] GAEでServlet方式の画像リサイズ処理が動作しない
>>    * [MOBYLET-86] - HTMLメールのインライン画像の<img>タグのsrc属性についてダブルクオートが無くても認識するようにする
>>    * [MOBYLET-87] - デコメールが綺麗に作成出来ない
>>    * [MOBYLET-89] - [mobylet-core] リダイレクト時にContent-Typeが設定されない
>>    * [MOBYLET-91] - 外部CSS読み込み処理時に属性値に空白文字があると処理が正しく行われない
>>    * [MOBYLET-92] - GpsDesignerのdocomo/オープンiエリアのURL構築処理が不完全
>>
>> ** Improvement
>>    * [MOBYLET-88] - バッチ起動時の初期化I/Fを作成する
>>
>> ** New Feature
>>    * [MOBYLET-90] - UIDセッション管理機能の追加
>>    * [MOBYLET-93] - [mobylet-core] キャリアのGWIPアドレスかどうかをチェックする機能を追加する
>>
>> --
>> ―Lei Hau'oli Co.,Ltd.―――――――――――
>>
>>  竹内 真(TAKEUCHI SHIN)
>>  Mail: [E-MAIL ADDRESS DELETED]
>>
>>  株式会社Lei Hau'oli
>>  〒150-0001 東京都渋谷区神宮前4丁目18番6号
>>  Tel: 03-5775-0315 Fax: 03-5775-0314
>> _______________________________________________
>> Seasar-user mailing list
>> [E-MAIL ADDRESS DELETED]
>> https://ml.seasar.org/mailman/listinfo/seasar-user
>
>
> _______________________________________________
> Seasar-user mailing list
> [E-MAIL ADDRESS DELETED]
> https://ml.seasar.org/mailman/listinfo/seasar-user
>
>



-- 
―Lei Hau'oli Co.,Ltd.―――――――――――

 竹内 真(TAKEUCHI SHIN)
 Tel: 080-3300-9888
 Mail: [E-MAIL ADDRESS DELETED]

 株式会社Lei Hau'oli
 〒150-0001 東京都渋谷区神宮前4丁目18番6号
 Tel: 03-5775-0315 Fax: 03-5775-0314


Seasar-user メーリングリストの案内