パスワードを忘れた」機能を使ったユーザー列挙攻撃を防ぐ方法

問題

安全でないデフォルト設定では、リモート攻撃者がパスワードを忘れた機能を介してユーザーのメールアドレスを列挙することができる可能性があります。 これは、公共に面した配置の場合にはリスクとなります。

環境

  • Liferay DXP 6.2 EE
  • Liferay DXP 7.0-7.2

解決

portal-ext.properties でポータルプロパティ login.secure.forgot.password true に設定することをお勧めします。

指定された製品バージョンでは、このプロパティのデフォルトは "false "です。

# Set this to true to prevent attempts to enumerate the portal's users via
# the forgot password feature. This feature will no longer show an error
# that would reveal a user's existence.
login.secure.forgot.password=false

既存のデプロイメントで望ましくない動作変化を起こさないようにするために、LiferayはFix Pack/Service Packでこのデフォルト設定を変更しません。

長期決議

Liferay DXP 7.3では、このプロパティのデフォルトは "true "です。

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています