FUKUOKA Tomoyuki
Fukuoka_Tomoy****@ogis-*****
2004年 8月 4日 (水) 11:06:27 JST
はじめまして。福岡と申します。
現在、Hiki 0.7-devel-20040701 を使っています。
6月の脆弱性への対応で、管理者の認証にセッションを利用するように
変更されましたが、現在はセッションの有効期間が最初に認証してから
10分になっていると思います。
これを、最初に認証した時から10分ではなく、最後にそのセッション
が有効だと確認してから10分とするのは、セキュリティ上なにか問題
があるでしょうか。
# セッションが有効だと確認できたら10分間延長。
例えばテーマをいろいろ試しているときに、有効期間が10分だと
けっこう面倒に感じてしまいます。180 以上ある tDiary のテーマ
を全部順番に試したりしているから、そう感じるだけかもしれませんが。。。
もちろん、有効期間を延長しないほうが固いのは確かでしょうが、
セキュリティ的に問題がないなら、Session#check を以下のよう
に変更するのはどうでしょうか。
Index: session.rb
===================================================================
RCS file: /var/cvs/mist/hiki/hiki/session.rb,v
retrieving revision 1.1.3.2
retrieving revision 1.2
diff -u -r1.1.3.2 -r1.2
--- session.rb 28 Jun 2004 01:53:20 -0000 1.1.3.2
+++ session.rb 4 Aug 2004 01:33:33 -0000 1.2
@@ -29,6 +29,7 @@
return false unless @session_id
# a session will expire in 10 minutes
if test( ?e, session_file ) && Time.now - File.mtime( session_file ) < 600
+ File.new( session_file, 'w' ).close
return true
end
false
--
福岡呂之 <Fukuoka_Tomoy****@ogis-*****>
OGIS-RI Co.,Ltd.