FUKUOKA Tomoyuki
Fukuoka_Tomoy****@ogis-*****
2004年 8月 4日 (水) 11:06:27 JST
はじめまして。福岡と申します。 現在、Hiki 0.7-devel-20040701 を使っています。 6月の脆弱性への対応で、管理者の認証にセッションを利用するように 変更されましたが、現在はセッションの有効期間が最初に認証してから 10分になっていると思います。 これを、最初に認証した時から10分ではなく、最後にそのセッション が有効だと確認してから10分とするのは、セキュリティ上なにか問題 があるでしょうか。 # セッションが有効だと確認できたら10分間延長。 例えばテーマをいろいろ試しているときに、有効期間が10分だと けっこう面倒に感じてしまいます。180 以上ある tDiary のテーマ を全部順番に試したりしているから、そう感じるだけかもしれませんが。。。 もちろん、有効期間を延長しないほうが固いのは確かでしょうが、 セキュリティ的に問題がないなら、Session#check を以下のよう に変更するのはどうでしょうか。 Index: session.rb =================================================================== RCS file: /var/cvs/mist/hiki/hiki/session.rb,v retrieving revision 1.1.3.2 retrieving revision 1.2 diff -u -r1.1.3.2 -r1.2 --- session.rb 28 Jun 2004 01:53:20 -0000 1.1.3.2 +++ session.rb 4 Aug 2004 01:33:33 -0000 1.2 @@ -29,6 +29,7 @@ return false unless @session_id # a session will expire in 10 minutes if test( ?e, session_file ) && Time.now - File.mtime( session_file ) < 600 + File.new( session_file, 'w' ).close return true end false -- 福岡呂之 <Fukuoka_Tomoy****@ogis-*****> OGIS-RI Co.,Ltd.