TODO #19424

/update コンテンツに誰でもアクセスできてしまう

Added by 坂口 昌己 over 1 year ago. Updated about 1 month ago.

Status:終了Start date:
Priority:通常Due date:
Assignee:-% Done:

0%

Category:GitHubへ移行済
Target version:-

Description

公開中のサイトで誰でも /update のアップデート用のURLにアクセスできてしまうので、
何らかの制限をかけたほうが良いのではないでしょうか。


http://trial.basercms.net/update
など

※ baserCMS2系〜4系全部/updateにアクセスできるようです。


History

#1 Updated by 坂口 昌己 over 1 year ago

  • Subject changed from /update コンテンツのアクセスに誰でもアクセスできてしまう to /update コンテンツに誰でもアクセスできてしまう

#2 Updated by 坂口 昌己 over 1 year ago

  • Description updated (diff)

#3 Updated by 江頭 竜二 over 1 year ago

補足です。
update の URLは、setting.php で変更できる仕様となっています。

#4 Updated by 瀬戸 優一 about 1 year ago

更新ページのURLを変更するための、BcApp.updateKeyを設定する場合app/Config/setting.phpでなく、app/Config/install.phpに記載しないと不都合が発生するようです。

http://forum.basercms.net/modules/newbb/viewtopic.php?topic_id=3162&forum=8

#5 Updated by 江頭 竜二 about 1 year ago

読み込み順序を調整しようとしてみたのですが、慎重にテストを行わねば色々と弊害が起きそうでした。

- 基本的には、app/Config/setting.php で全ての設定を上書きしたい
- app/Config/setting.php あまり早く読み込むと設定の上書きができない設定が出てきそう

Configureで設定しているものを整理して調整する方向でしょうか。
取り急ぎは、install.php での対応をアナウンスした方がよさそうです。

#6 Updated by 江頭 竜二 about 1 month ago

  • Category changed from アップデーター to GitHubへ移行済

#7 Updated by 江頭 竜二 about 1 month ago

  • Status changed from 担当 to 終了

Also available in: Atom PDF