問題
- ユーザセッションが期限切れになった場合、またはユーザがログインしていない状態でURLに直接アクセスしようとした場合、アクセス制限の無いページに移動すると、ログイン画面に遷移されず、404ページが表示されます。
環境
- DXP 7.4
解決
- ユーザー列挙とページ列挙の攻撃ベクトルによる潜在的なリスクを回避するため、以前のバージョンのDXPにはあったこの機能を無効にしています。
- ログインプロンプトが有効な場合、攻撃者は既存のページとそうでないページにアクセスする際にポータルが返す異なるレスポンスだけで、ユーザやプライベート/制限されたページを推測することができます。
- この動作は、コントロールパネル -> システム設定 ->ログイン ->ログインプロンプトを有効にする から元に戻すことができます。
会員限定記事
Liferay エンタープライズ サブスクリプションをお持ちのお客様は1500件を超えるベストプラクティス、トラブルシューティング、その他のソリューション記事を閲覧できます。ログインすると、記事全体をお読みいただけます。
ログイン