運営様へ既出だったら早く直せ的な案件です。
マスターズサイトのギルド掲示板に書き込んだ記事は下記条件を満たさないとアクセスできないべきです。(恐らく記事は条件満たしているが、添付された画像ファイルは満たしていない)
①マスターズサイトにログイン済
②ログインユーザはそのギルドに所属している
問題点:
ギルド掲示板に添付した画像ファイルへのアクセスはフリーである。
再現手順
1.ブラウザ①(例えばEdge)でマスターズサイトにログインする。
2.ギルド掲示板に画像を添付した書き込みをする。
3.書き込み後の画像のURLを取得する
(画像のアドレスをコピー等で取得する)
4.ブラウザ②(例えばChrome)ではマスターズサイトにログインしない。
5.ブラウザ②に対して3で取得したURLにアクセスする。
6.ブラウザ②で画像が見えてしまう。
ギルド掲示板の画像URLを意図的に流出させたら誰でも画像にアクセスできてしまう。
URLなんてわからないだろ?っていう考え方はNGです。
本来セキュリティ的、アクセス権的な観点から以下であるべきです。
①マスターズサイトにログイン済
②対象のギルドに所属状態である
③①②以外ではアクセス不可である
マスターズサイトのギルド掲示板に書き込んだ記事は下記条件を満たさないとアクセスできないべきです。(恐らく記事は条件満たしているが、添付された画像ファイルは満たしていない)
①マスターズサイトにログイン済
②ログインユーザはそのギルドに所属している
問題点:
ギルド掲示板に添付した画像ファイルへのアクセスはフリーである。
再現手順
1.ブラウザ①(例えばEdge)でマスターズサイトにログインする。
2.ギルド掲示板に画像を添付した書き込みをする。
3.書き込み後の画像のURLを取得する
(画像のアドレスをコピー等で取得する)
4.ブラウザ②(例えばChrome)ではマスターズサイトにログインしない。
5.ブラウザ②に対して3で取得したURLにアクセスする。
6.ブラウザ②で画像が見えてしまう。
ギルド掲示板の画像URLを意図的に流出させたら誰でも画像にアクセスできてしまう。
URLなんてわからないだろ?っていう考え方はNGです。
本来セキュリティ的、アクセス権的な観点から以下であるべきです。
①マスターズサイトにログイン済
②対象のギルドに所属状態である
③①②以外ではアクセス不可である
コメント
1
マアム
ID: rh2iwv9a4c7q
セキュリティにはレベルがあります。
マスターズサイトはIDとパスワードさえ分かればアクセスでき、ゲームプレイヤーの交流が目的のサイトです。
サイト内の画像アクセスに認証認可機能が本当に必要かどうか、今一度考えてみてはいかがでしょうか?
私はURLを知っている人だけがアクセスできるセキュリティレベルでも十分だと思いますよ。
2
ヒメクイナ
ID: z7pxunh8thkb
つまりギルド掲示板の画像が意図せず検索エンジン等で表示されることもある、んですかね?