アカウント名:
パスワード:
本リリースは、XOOPS 2.0.X JPシリーズ利用者向けのメンテナンスリリースです。サーバー環境設定等に起因する既知のセキュリティ上の問題への予防策が追加されています。変更点の詳細は「更新履歴」をご覧ください。
セッション管理の強化(session_regenerate_id())サーバーの設定に不備があった場合に、セッション固定攻撃によるセッションハイジャックが行われる可能性に対しての予防措置(※)。- include/checklogin.php- include/session.php- (extras)/login.php※ このアップデートにより、PHPの環境設定などサーバーの設定に不備があった場合の問題を一部回避出来る可能性がありますが、環境設定に不備のあるサーバーでのWebアプリケーションの利用が推奨されるものではありません。Webサイト運用上のセキュリティリスク軽減のためには、XOOPSのアップデートだけではなく、Webサイトの環境設定に問題がないか、十分ご注意ください。
session_regenerate_id()自体は、古いセッションIDを破棄する機能はなかったと思うので、それに関することなのかなぁ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
分かりにくい? (スコア:4, すばらしい洞察)
「更新履歴」がどこか分からないけれど、このページの下の方にある「変更履歴」かな。そこには、
とあります。session_regenerate_id()自体は、古いセッションIDを破棄する機能はなかったと思うので、それに関することなのかなぁ。いずれにしても、どういうサーバー環境設定が危ないのか明示してくれると、皆さん楽チンだと思います。ガーベジコレクション?
別にXoops使いじゃないけど。
--- Dead Poet Social Club
Re:分かりにくい? (スコア:0)
Re:分かりにくい? (スコア:0)