[Hiki-dev:00554] 管理者用セッションの有効期間について

Back to archive index

FUKUOKA Tomoyuki Fukuoka_Tomoy****@ogis-*****
2004年 8月 4日 (水) 11:06:27 JST


はじめまして。福岡と申します。

現在、Hiki 0.7-devel-20040701 を使っています。

6月の脆弱性への対応で、管理者の認証にセッションを利用するように
変更されましたが、現在はセッションの有効期間が最初に認証してから
10分になっていると思います。

これを、最初に認証した時から10分ではなく、最後にそのセッション
が有効だと確認してから10分とするのは、セキュリティ上なにか問題
があるでしょうか。
# セッションが有効だと確認できたら10分間延長。

例えばテーマをいろいろ試しているときに、有効期間が10分だと
けっこう面倒に感じてしまいます。180 以上ある tDiary のテーマ
を全部順番に試したりしているから、そう感じるだけかもしれませんが。。。

もちろん、有効期間を延長しないほうが固いのは確かでしょうが、
セキュリティ的に問題がないなら、Session#check を以下のよう
に変更するのはどうでしょうか。

Index: session.rb
===================================================================
RCS file: /var/cvs/mist/hiki/hiki/session.rb,v
retrieving revision 1.1.3.2
retrieving revision 1.2
diff -u -r1.1.3.2 -r1.2
--- session.rb	28 Jun 2004 01:53:20 -0000	1.1.3.2
+++ session.rb	4 Aug 2004 01:33:33 -0000	1.2
@@ -29,6 +29,7 @@
       return false unless @session_id
       # a session will expire in 10 minutes
       if test( ?e, session_file ) && Time.now - File.mtime( session_file ) < 600
+        File.new( session_file, 'w' ).close
         return true
       end
       false

--
福岡呂之 <Fukuoka_Tomoy****@ogis-*****>
OGIS-RI Co.,Ltd.



Hiki-dev メーリングリストの案内
Back to archive index