問題
安全でないデフォルト設定では、リモート攻撃者がパスワードを忘れた機能を介してユーザーのメールアドレスを列挙することができる可能性があります。 これは、公共に面した配置の場合にはリスクとなります。
環境
- Liferay DXP 6.2 EE
- Liferay DXP 7.0-7.2
解決
portal-ext.properties
でポータルプロパティ login.secure.forgot.password
を true
に設定することをお勧めします。
指定された製品バージョンでは、このプロパティのデフォルトは "false "です。
# Set this to true to prevent attempts to enumerate the portal's users via
# the forgot password feature. This feature will no longer show an error
# that would reveal a user's existence.
login.secure.forgot.password=false
既存のデプロイメントで望ましくない動作変化を起こさないようにするために、LiferayはFix Pack/Service Packでこのデフォルト設定を変更しません。
長期決議
Liferay DXP 7.3では、このプロパティのデフォルトは "true "です。
会員限定記事
Liferay エンタープライズ サブスクリプションをお持ちのお客様は1500件を超えるベストプラクティス、トラブルシューティング、その他のソリューション記事を閲覧できます。ログインすると、記事全体をお読みいただけます。
ログイン