ページ 11

本家の1.x系と、日本語版1.0.xx系の相違点、セキュリティパッチなど

Posted: 2016年12月12日(月) 14:01
by tomothumb
現在1.0.15ぐらいのバージョンを利用しています。

本家のバージョンとのズレがあったことを知らなかったのですが、
先日脆弱性の報告を調査会社から受けまして、
それを、本家のコミュニティに相談すると、いくつか脆弱性あるから1.2にアップデートしてほしいと言われ、
日本語版でそれに相当するものがわからず、バージョンのずれに気づきました。

具体的な症例としては、
ログイン後もログイン前と同じセッション名を引き継いで使われているため、セッションハイジャックの脆弱性があるということです。

日本語版の1.0.XXは、本家の、1.1以上に追従して行くことは無くなるのでしょうか?
本家の1.0系は、1.0.15で止まっていますが、今の日本語の1.0.18Jベータ波、本家の1.2に相当していると考えたら良いのでしょうか?

どのバージョンに追従して行くべきか、どのようにセキュリティパッチを当てて行くべきかの、アドバイスをいただけますと幸いです。

本家の1.x系と、日本語版1.0.xx系の相違点、セキュリティパッチなど

Posted: 2016年12月12日(月) 17:20
by yama
バージョン番号を見ると分かりにくいのですが、コアは日本語版のほうが全体的には最適化が進んでいて、現在は日本語版の機能をどんどん本家版に積み込んでいる段階です。本家版は1.0.9の時まで開発がほぼ停止していたので、その間に日本語版は大幅に変わりました。脆弱性の面においても、当面は日本語版を使っていただくのが安心です。今回本家版で問題になった脆弱性は日本語版には存在しません。
※一点だけ未解決の問題がありますが、リファラチェック設定と同様、設定でカバーできます。

本家版の脆弱性はほとんど私が修正していますが、セッションハイジャックの件については初耳です。もしよければPMで詳細を教えていただけますでしょうか?

本家の1.x系と、日本語版1.0.xx系の相違点、セキュリティパッチなど

Posted: 2016年12月12日(月) 18:14
by tomothumb
お返事ありがとうございます。

詳細に解説いただきありがとうございます。本家、日本語版の状況について把握できました。
逆にマージしていってるんですね。利用をどうすべきか迷っていたので安心しました。

詳細をPM送らせていただきますね。