トップ 差分 一覧 Farm ソース 検索 ヘルプ RSS ログイン

BBS-サポート掲示板/120

ページの作成や編集にはユーザ登録が必要です。

 非公開ページの添付ファイル - Kinsan (2003年10月12日 22時58分41秒)

管理画面で、管理者のみが見れるページとしたものについて、非公開となっているか確認のため、ログアウト後にURLで直接アクセスしてみたら、添付ファイルのファイル名は見えてしまってました。

また、添付ファイルのファイル名が分かっている場合には、attachディレクトリーの下にあるものとして、URLを直接アクセスすると、アクセスできてしまいます。

非公開ページのファイル名が分かっている場合のみの問題ですので、被害は少ないと思いますが、そういう問題があるということでとりあえず報告します。

上記の後者の問題については、.htaccessで防ぐべきものと思いますが、そうした場合にwikiを通しても添付ファイルがまったく見えなくなるということはありますか?(action=ATTACHの処理がattachディレクトリーにあるファイルへのリダイレクトなどで処理されていると.htaccessと喧嘩すると思いますが、どうでしょうか。)

  • 前者は修正します。やはり影響範囲が大きかったですね。他にも似たような問題がありそうな気がします。後者については、そもそもattachディレクトリはセキュリティ云々言われる場合にはURLで参照可能な場所に配置すること自体想定していないので.htaccessを使っても問題ないです。 - たけぞう (2003年10月12日 23時53分48秒)
  • あ、いちおう念のためですが、filesプラグインでファイルの一覧が表示されてしまう、ということですよね? - たけぞう (2003年10月13日 00時21分07秒)
  • Footerに入れているfileプラグインで表示されているのだと思います。http://kinsan.main.jp/wiki/wiki.cgi?page=kakushiがその例です。 - Kinsan (2003年10月13日 00時49分34秒)
お名前: コメント:

最終更新時間:2003年10月13日 00時49分34秒