XOOPSマニア  最新情報のRSS(サイト全体)
[ 自宅サーバーWebRing |ID=54 前後5表示乱移動サイト一覧 ]

08年8月30日(Sat) 13時18分
Top > PukiWiki作業日記 > 2004-10-21
[ Page comments(0) ] [ Track Back(1) ]
Counter: 3099, today: 1, yesterday: 2
Ver 1.0.7 Prev Next ブロック表示にユーザー名

セッションIDがURLに付加される環境に対応 Fixed link

Category PukiWikiMod:[ 本体バグ ]

サーバーの php.ini の設定で 透過的にセッション IDを付加する設定」が有効(session.use_trans_sid = 1)になっている場合、セッションIDがURLに自動的に埋め込まれます。

これは、クッキーなどを利用しないで、閲覧者を特定できるので、使いようによっては便利なのですが、セッションIDが外部に漏れる危険性が多分にあり、管理者権限でログインしたときのセッションIDが漏れ、しかもセッションの有効期限内だと簡単に管理者権限を得ることができ危険な側面もあります。

今回は、XOOPSのブロックにPukiWikiModのページを表示した場合に上記の問題からサーバー上での権限が第三者に得られてしまう危険があるので、セッションIDを削る修正をしました。
ただ、通常Webサーバー上で Apacheと同じ実行アカウントでブラウザを起動し、*1XOOPSにログインすることはないと思うので、管理者権限が漏れることはないと思います。
しかし、php.ini で session.use_trans_sid = 1 にセットされ、しかもWebサーバー上で、Apacheと同じ実行アカウントでブラウザを実行し、XOOPSにログインしている場合は、直ちに CVSから最新版をダウンロードして、適用してください。

また、この問題と若干関連するのですが、URLリンクに自動的にセッションIDが埋め込まれるために、Wikiページが正常に開けないことがある問題も修正しました。

コメント Fixed link

  • 少し気になることが CVS の tarball うちで展開するとタイムスタンプが 1970-01-01 09:00:00 なのですが...取り立ててうちでは問題は無いのですが展開の際に毎回メッセージが出ます -- kisite 2004-10-22 (金) 03:55:39
    • ん?なんでだろう。sourceforge.jp の仕様と解凍ソフトの相性問題かな? -- nao-pon 2004-10-22 (金) 09:02:56
  • 重要なファイルCVS:blocks/pukiwiki_page.phpをコミットし忘れていました。
    2004/10/22 am 9:57:41(JST) 以前にDLした方はお手数ですが追加DLしてください。 :p -- nao-pon 2004-10-22 (金) 09:04:07

Name:
*1 phpからログインしてなければいいのかも?ブラウザを起動してログインした場合は、セッションIDは違うものになるのかな?
付箋機能(wema) メニュー 
付箋の編集
文字色: 背景色:
お名前:  線接続id:

[ごみ箱] [透明] [リスト] [ヘルプ]  付箋検索:
id.1:
通りすがりさん : 05/07/14 22:12

あああ

Attach file: filefusen.dat 30 download [Information]
Reload   Diff Source Attach Attach List   Wiki Top Page List Search Resent Chenges Backup   Help   RSS feed
Page name:PukiWiki作業日記/2004-10-21 [ Sended pings(0) ]
Author:nao-pon - 2005/07/14 22:12:51 JST(1142d)
Last edit:nao-pon - 2005/07/14 22:12:51 JST(1142d)
Editers:nao-pon
Back Link:通りすがりさん(56d) コメント(94d) PukiWikiMod(100d) nao-pon(144d) CVS(318d) PukiWiki作業日記(428d) 通りすがりさん(688d) XOOPS(812d) nao-pon(1058d) kisite(1637d)
ページコメント
 
The comments are owned by the poster. We aren't responsible for their content.
Track Back [ Track Back(1) ]
Track Back URL: http://xoops.hypweb.net/wiki/tb/1533
PukiWikiのアンテナ
Excerpt: PukiWiki関連サイトのRSSを表示 未来検索livedoor:PukiWiki PukiWiki.org Dev.PukiWiki.org Merlin's PukiWiki SsPukiWiki 未来検索livedoor:PukiWiki ◆ 2004-10-23 [www][memo]BlogTimes - PukiWiki:魂の叫び PukiWiki作業日記/セッションIDがURLに付加...
Weblog: PukiWiki/TrackBack 0.1
Tracked: October 25, 2004, 1:14 AM
このページのTopへ
ログイン
ユーザ名:

パスワード:

オートログイン

Basic 認証

Register now! | Lost Password?

mixiでログイン Yahoo!でログイン
アクティブメニュー
"ぽちっ"としてね☆ 
最新のページ
2008-8-30 2008-8-29 2008-8-28 2008-8-27 2008-8-26 2008-8-25
ブックマーク
Please log in to use it.
[Login]
新着トラックバック
2008-8-22 2008-7-18 2007-12-26 2007-11-23 2007-11-21 2007-10-21 2007-9-26 2007-8-16 2007-8-15 2007-8-7
サイト内 Wiki
☆ 検索 ☆



高度な検索(サイト内)
FireFox検索プラグイン
オンライン状況
合計 98 人がオンライン中 :-)
(Wiki [自由帳] : 26 人)

登録ユーザ: 0 & ゲスト: 98

もっと...
サイト情報
管理人

nao-pon		 

登録ユーザ数: 1400


現在ページのQRコード 
現在ページのQRコード
[携帯対応]
参照元情報
No trackback