現行の OpenPNE 3 に不足している各種セキュリティ対策をカバーするためのプラグイン、 opHardeningPlugin 1.0.0 をリリースしました。ライセンスは Apache License 2.0 となります。
現状の完成度のものは昨年 11 月からできあがっていましたが、その後の改良になかなか手を付けられなかったので、一気に公開に踏み切ることにしたものです。どうぞお使いください。
以下の URL からダウンロードできます。
http://plugins.openpne.jp/package/opHardeningPlugin
リポジトリは以下です。バグ報告などもこちらからお願いします。
https://github.com/ebihara/opHardeningPlugin
このプラグインでは、以下のセキュリティ対策を提供します。これらの項目は設定ファイルにて有効/無効の選択ができます。
- Android 標準ブラウザにおける JSON ハイジャック攻撃への対策
- Internet Explorer 8 以前における JSON ハイジャック攻撃への対策
- Internet Explorer 8 以前における JSON コンテンツを悪用した XSS 攻撃への対策
- クリックジャッキング攻撃への対策
- Internet Explorer における XSS 攻撃を誘発しかねない仕様を、 Internet Explorer 8 以降にて無効化する対策
- Internet Explorer や Google Chrome、 Safari にて備わっている XSS フィルタのブロックモードを有効にすることによる、 XSS フィルタの悪用による XSS 攻撃への対策
- UTF-8 の範囲外の文字列を悪用することによる、主に入力値検証回避を目的とした各種脆弱性への対策
- セッションクッキーに HttpOnly 属性を付加し、 XSS 脆弱性があった場合の影響を軽減する対策
- パスワード文字種および文字列長の不適切な制限の撤廃
今後の展望
現状は有効状態の切り替えの設定ができるのみですが、将来的には、もう少し細かい制御ができるようになるといいなあと思っています。
それから、パスワード文字種制限、文字列長制限の撤廃は個人的には蛇足な機能だと思っていて、できれば単体の機能として切り出すのがよかったかなと思います。もしかするとそのように仕切り直す可能性があります。
追加を予定しているいくつかの機能も蛇足的ですね。こちらも同様に単体のプラグインとして出す方向に切り替えるかもしれません。
むしろ、このプラグインとしては、海老原が世間の動向をキャッチアップしていくなかで、新しい攻撃手法(かつてのクリックジャッキングだったり、 JSON ハイジャックだったり)に対する対策を透過的に加えていくことで、 OpenPNE を使ったアプリケーション開発者や運営者がそのあたりのセキュリティ対策に気を取られずに済むような環境が作り出せればな、というのが狙いです。