symfony developersのMLにSymfony security leak?という記事がポストされました。 詳細はこのスレッドなのですが、MLの情報を簡単にまとめると
myModule/config/security.yml で
create: is_secure: on credentials: admin
edit: is_secure: on credentials: admin
な定義をしてある場合に、 http://example.com/myModule/create や http://example.com/myModule/edit/id/1 ではis_secureは有効ですが、
http://example.com/myModule/Create http://example.com/myModule/cREate http://example.com/myModule/Edit/id/1 http://example.com/myModule/edIT/id/1などではアクセスできてしまい、結果としてセキュリティホールとなり得るのではないかということです。
この問題はすでに、subversion上では解決しており、このchangesetで修正されています。
この問題に対処したバージョンもリリースされると思いますが、急ぎであればsymfonyのtracからパッチを取り寄せ、適用した方がよさそうです。
developers MLではsfActionクラスを修正すればOKのような記載もありますが(まだ斜め読みしかしていないので間違っていたらごめんなさい)、アクション名にeditConfirm等大文字小文字混じりで記載してある場合は同changesetのようにsfSecurityConfigHandlerクラスも修正する必要があります。
と、ここまで書いてバージョン1.0.1がリリースされているのを見つけました…。 バージョンアップできる人はバージョンアップを、できない人は是非パッチを当てましょう。
POSTED BY arasho ON 3 月 20th, 2007. PERMALINK