掲載予約機能で予定掲載時刻より前の時間になっている際の
セキュリティ(第3者から内容を見られるリスク)についてどのような感じでしょうか。
上場企業であるクライアントより
ニュースリリースや電子公告を決まった時間に公開をしたいとの
要望が入っているのですが、
CMS Designerで構築した場合に
時間以前に情報が漏れることが起こりえないか心配しています。
お忙しい中お手数をおかけしますがよろしくお願いいたします。
掲載予約機能のセキュリティについて
Re: 掲載予約機能のセキュリティについて
efiniさん、ご質問ありがとうございます。
CMS Designer本体に含まれているdataフォルダ直下の.htaccessがちゃんと
機能している状態であれば、公開前のエントリの「文章」が外部に漏れる事は
ありません。
これは、cmsdesigner/data/entry/ フォルダ内をブラウザから直接開こうと
して、403エラーが帰ってくることが確認できればOKです。
ただ、画像や添付ファイルなどのファイルについては、エントリIDとファイルID
をimgview.phpに直接与えることで、表示したり取得したりすることが可能です。
これは、パフォーマンスを考慮した結果の仕様で、もし画像の表示時に「その
エントリが公開か非公開か?」を毎回チェックしていると、サーバにかなりの負荷が
かかることが想定される為です。
公開前の状態であれば、基本的にその画像へのリンク自体が不明な状態ですから、
めったな事は起きないと思いますが、公開前に画像が漏れると非常にまずい事になる、
というような場合には、公開予約ではなく運用によりカバーされるよう、お願い致します。
CMS Designer本体に含まれているdataフォルダ直下の.htaccessがちゃんと
機能している状態であれば、公開前のエントリの「文章」が外部に漏れる事は
ありません。
これは、cmsdesigner/data/entry/ フォルダ内をブラウザから直接開こうと
して、403エラーが帰ってくることが確認できればOKです。
ただ、画像や添付ファイルなどのファイルについては、エントリIDとファイルID
をimgview.phpに直接与えることで、表示したり取得したりすることが可能です。
これは、パフォーマンスを考慮した結果の仕様で、もし画像の表示時に「その
エントリが公開か非公開か?」を毎回チェックしていると、サーバにかなりの負荷が
かかることが想定される為です。
公開前の状態であれば、基本的にその画像へのリンク自体が不明な状態ですから、
めったな事は起きないと思いますが、公開前に画像が漏れると非常にまずい事になる、
というような場合には、公開予約ではなく運用によりカバーされるよう、お願い致します。
Re: 掲載予約機能のセキュリティについて
webmaster様ご回答ありがとうございます。
・テキスト部分に関しては、.htaccessさえ効いていれば問題なし
・添付ファイルや画像はリスクあり。
ということですね。
どのような情報を掲載するかによって判断していきたいと思います。
ありがとうございました。
・テキスト部分に関しては、.htaccessさえ効いていれば問題なし
・添付ファイルや画像はリスクあり。
ということですね。
どのような情報を掲載するかによって判断していきたいと思います。
ありがとうございました。