Project

General

Profile

QA #752

権限無Wiki画面アクセス時のログイン操作変更対策(Redmine3.3)

Added by Tamura Shinji almost 3 years ago. Updated almost 3 years ago.

Status:
回答済
Priority:
通常
Assignee:
-
Category:
-
Target version:
-
Start date:
01/15/2018
Due date:
% Done:

0%

Estimated time:

Description

題名が適切ではないような気がしますが、適切な文言が浮かびませんでした。。。

Redmineは2.6, 3.2, 3.4 と使っています。
3.3も同じかどうかは不明なのですが、3.2までは、公開プロジェクトのWikiに非公開プロジェクトのWikiのリンクをtextileで記述していた場合、
リンクとしては表示されていて、そのリンクをクリックした時点でログイン画面に遷移していたはずです。

Redmine3.4になってからは、textileで記述したものがログイン状態(リンク先に権限がない人)もしくは非ログイン状態の場合には、textileのままで表示されてしまいます。

設定を見渡しても同じような挙動にする設定が見当たらず。。。

旧Redmineと同じような挙動に変更することは難しいでしょうか?

一番やりたいのは、リンク先に閲覧権限がない場合は、任意のメッセージを表示したいんですが。。。

#1

Updated by 前田 剛 almost 3 years ago

Redmine 3.2.6 と 3.3.3 で行われたセキュリティ脆弱性の修正により、ご指摘のような挙動に改められました。脆弱性の内容は、Wikiを見る権限がないユーザーでもリンクを利用してページが存在するかどうか調べることができるというものです。

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15577

この修正は r16283 で行われました。 脆弱性を許容して元の挙動に戻したい場合は application_helper.rb を1行書き換えて修正前の状態に戻してください。

Index: app/helpers/application_helper.rb
===================================================================
--- app/helpers/application_helper.rb    (revision 17174)
+++ app/helpers/application_helper.rb    (working copy)
@@ -745,7 +745,7 @@
           title ||= identifier if page.blank?
         end

-        if link_project && link_project.wiki && User.current.allowed_to?(:view_wiki_pages, link_project)
+        if link_project && link_project.wiki
           # extract anchor
           anchor = nil
           if page =~ /^(.+?)\#(.+)$/
#2

Updated by Tamura Shinji almost 3 years ago

  • Status changed from 新規 to 回答済

さっそくありがとうございます。

脆弱性の部類に入るんですね。。。
一旦戻すか、他の動作がいつまで残るか次第ではこの挙動に慣れてもらうほうがいいかもしれませんね。

せめて、リンクだけしない様な形だと嬉しかったですが。。。

たとえば、

[[Guide|User manual]]

と記述されていたら、htmlリンクなしで、 "User manual"だけ表示するとか。

#3

Updated by 奈良 裕記 almost 3 years ago

フォローありがとうございました。>前田さん

「パスワードが間違ってます」→「IDまたはパスワードが間違ってます」
の様に考えれば、

アクセス権限がない場合に、
リンク先の有無に関わらず、ログイン画面を表示するのも一つの方法ですね。

#4

Updated by 前田 剛 almost 3 years ago

同じ話が公式でも出てるのでリンクを貼っておきます。

Feature #26530: Links to Wiki pages of unauthorized projects should be smarter

#5

Updated by Tamura Shinji almost 3 years ago

おぉ、ほしいところまではいっている!
パッチ充てプラグインをつくってみよう。。。
設定でオンオフできるようにしておきたいし。。。

#6

Updated by Tamura Shinji almost 3 years ago

ということで、作ってみました

https://github.com/crosspoints/redmine_legacy_link

#7

Updated by 奈良 裕記 almost 3 years ago

祝! unofficial発Plugin第一号(^^♪

他にも役に立つ人はいると思うので、

http://www.redmine.org/plugins

と、本家元チケット告知ですかね。。

#8

Updated by Tamura Shinji almost 3 years ago

あ、そうだったんですね(笑)
ハードル高いなぁ。。。

チャレンジしてみます。。。

#9

Updated by Tamura Shinji almost 3 years ago

#10

Updated by 奈良 裕記 almost 3 years ago

  • Subject changed from Redmine3.4におけるログイン認証の動作 to 権限無Wiki画面アクセス時のログイン操作変更対策(Redmine3.3)

Subject変更しました。

本家登録お疲れ様です。
あとは2/3に自慢ですかねー ;)

>祝! unofficial発Plugin第一号(^^♪
第一号ってことは、、、自分の首を〆そうだw

#11

Updated by Tamura Shinji almost 3 years ago

修正ありがとうございます

自慢するようなものではないですよ…
見よう見まねで…

Also available in: Atom PDF