ここへの接続がSSLでなくなっているようですが
何かアナウンスはないのでしょうか?
特別保護しなければならない情報を扱っているわけではないうえ
もともといわゆるオレオレ証明書だったので
SSLでない運用のほうが適切ではあると思うのですが
アナウンスはないのでしょうか?
サイト管理ご苦労様です。
ちょっと気になる点がありますのでコメントさせていただきます。
本サイトのCookieにはsecure属性が付いておらず、HTTPSでいったんログインした後、HTTPページに移動した後も、同じCookie内容(セッションID)を使用しています。このため、セッションハイジャックにより、ログインの乗っ取りが可能な状態なのかもしれません。
つまり、
ということで、ログイン時だけHTTPSにしただけだと、あんまり意味ないのかもしれないのでは?? ということです。セッションハイジャックの対策がされていればいくぶん軽減できるとは思いますが...。
第4章 セッション対策
https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/304.html
経路のセキュリティと同時にセキュアなセッション管理を
http://www.ipa.go.jp/security/ciadr/20030808cookie-secure.html
小悪魔女子大生のサーバエンジニア日記 - 常時SSLとは?
https://co-akuma.directorz.jp/blog/2012/05/%E5%B8%B8%E6%99%82ssl%E3%81%A8%E3%81%AF%EF%BC%9F/
「小悪魔...」で言及されているFiresheep なんかは、けっこう恐ろしい。
セキュリティに関しては感心があるほうなので、ちょっと気になっただけで、うるさいこと言うつもりはありません。オープンなWifi環境などでログインしなければ、まあ.....問題ないでしょうから、そんなに気にはしてません....。
ただ、「ログインやパスワード変更などの機密性の高い通信のみHTTPSを使用した」から安全という訳でもない、ということが言いたかっただけです。
私の勝手な推測が、管理者様に無用なプレッシャーかけてしまわないか、ちょっと心配です www。
こんにちは.
ご指摘ありがとうございます.
基本的なスタンスとしては,HTTPSで守っているのはユーザのパスワードのみです.Cookie等は考慮していません.
正直言って,サイト全体のセキュリティを運営側で保証するのは非常に困難ですので,サイト全体のセキュリティに関しては Moodle 自体のセキュリティ機能にお任せです.
Moodle のセッションハイジャックの可能性については Moodle のサイトを参照してください.http://moodle.org
........
と,ここまで書いて,やはり不安になったので自分でも調べましたが・・・
ダメダメです(こちらが),セッションハイジャックの可能性があるバージョンでした.orz
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-002662.html
今晩(11/9)辺りに,至急 Moodle を最新バージョンアップします.
ありがとうございました.
追記:OpenSim用サポートプラグイン Modlos, 各種申請用プラグイン apply につきましてこちらで開発したものですので,これらのプラグインに関するバグレポート・セキュリティレポート等はここでも受け付可能です.