コミュニティ掲示板

セキュリティ

投稿日時: 2019/08/14 wai

 当方、netcommons3を使って、jimdo、wix、などのようなサービスを提供したいと思っています(不特定多数のユーザーログイン者が、編集長(ルーム管理者のひとつ下の権限)として、自由に自分のルームを管理できる)。
その際、悪意あるユーザーが悪意のあるコードをルームに仕込む危険性はあるものでしょうか。
当方としては、管理画面のルーム管理で、「Javascript等のHTMLタグを許可する権限はユーザーログイン者である編集長からは除外」することで、セキュリティ上、安全と思っているのですが、いかがなものでしょうか。



Re: セキュリティ

投稿日時: 2019/08/14 OSWS永原

危険性(可能性)がゼロとは、なかなか言えないかなと思います。

悪意のあるコード、と一言で言っても、様々な種類の悪意のあるコードがあると思います。

同じく、セキュリティという言葉も。

Webセキュリティの勉強会やIPAなどの資料を勉強されて、ご自分なりの答えを見つけるということかなと思います。

 

 当方、netcommons3を使って、jimdo、wix、などのようなサービスを提供したいと思っています(不特定多数のユーザーログイン者が、編集長(ルーム管理者のひとつ下の権限)として、自由に自分のルームを管理できる)。
その際、悪意あるユーザーが悪意のあるコードをルームに仕込む危険性はあるものでしょうか。
当方としては、管理画面のルーム管理で、「Javascript等のHTMLタグを許可する権限はユーザーログイン者である編集長からは除外」することで、セキュリティ上、安全と思っているのですが、いかがなものでしょうか。



Re2: セキュリティ

投稿日時: 2019/08/15 wai

お忙しい中、ご返事ありがとうございます。
もともとの私の質問が具体性が無く、わかりずらいと思いましたので、あらためて記載させていただきます。

私の質問は、下記です。

「NC3において、「不特定多数の方をルームの編集長にする」ことは、禁止はされておらず、通常の使い方の範疇にあると思いますが、いかがなものでしょうか、」


説明

私のめざすサイトのイメージは、

食べログで、無料で各お店が自分で入力するプロフィール入力
https://owner.tabelog.com/owner_info/

ぐるなびで、無料で各お店が自分で入力するエントリー会員サービス
https://pro.gnavi.co.jp/entry/

それは、ちょうど、NC3でいうところの、

学校がサイト全体を管理し(食べログでいえば、食べログ全体サイトの運営者)、
その中に、ルーム機能で運動部・文化部・音楽部のページをつくる(食べログでいえば、無料で各お店が自分で入力するプロフィール入力)

という流れと同一と思います。

ただ、
「ルーム機能で運動部・文化部・音楽部のページをつくる(食べログでいえば、無料で各お店が自分で入力するプロフィール入力)」

の部分は汎用データベースで対応できると思ってますが、
汎用データベースだけに限定した場合でも、不特定多数のお店に編集長として入力権限を渡すため、セキュリティに問題がないか、ということが気になってました。

しかし、NC3側は、学校内のクローズされた組織で、悪意のある第三者を全く想定していない、不特定多数にルーム編集長として入力権限を持たすことは許していない、というシステムとは思えません。
そのような使い方は想定済み(不特定多数の方をルームの編集長にする)で、もともとそれに対する一般的なセキュリティ対応はされていて基本的に問題はない、と思いますが、、、

このコミニュティ掲示板も、不特定多数の方が、何でも記載できるwysiwygの入力欄で作成されており、それに対してのセキュリティも考慮されていると思います。
同様に、汎用データベースはじめ、他のプラグインも不特定多数の方が、何でも記載できることに対応した一般的なセキュリティ対応はされていると思いますが、、、

NC3において、「不特定多数の方をルームの編集長にする」ことは、禁止はされておらず、通常の使い方の範疇にあると思いますが、いかがなものでしょうか、

(それでもセキュリティに問題が発生すれば、それはどんなCMSを使おうと、どこにでも発生する可能性があるものであり、NC3固有のものではない、とおもいますが、、、)

危険性(可能性)がゼロとは、なかなか言えないかなと思います。

悪意のあるコード、と一言で言っても、様々な種類の悪意のあるコードがあると思います。

同じく、セキュリティという言葉も。

Webセキュリティの勉強会やIPAなどの資料を勉強されて、ご自分なりの答えを見つけるということかなと思います。

 

 当方、netcommons3を使って、jimdo、wix、などのようなサービスを提供したいと思っています(不特定多数のユーザーログイン者が、編集長(ルーム管理者のひとつ下の権限)として、自由に自分のルームを管理できる)。
その際、悪意あるユーザーが悪意のあるコードをルームに仕込む危険性はあるものでしょうか。
当方としては、管理画面のルーム管理で、「Javascript等のHTMLタグを許可する権限はユーザーログイン者である編集長からは除外」することで、セキュリティ上、安全と思っているのですが、いかがなものでしょうか。



Re3: セキュリティ

投稿日時: 2019/08/15 OSWS永原

こんにちは。
株式会社オープンソース・ワークショップの永原です。

セキュリティに関しては、様々な考え方もあると思いますので、ここでの返信はいたしません。
気になるようでしたら、IPAなどの資料で勉強されれば良いかと思います。

以上、良いサービスができると良いですね。

お忙しい中、ご返事ありがとうございます。
もともとの私の質問が具体性が無く、わかりずらいと思いましたので、あらためて記載させていただきます。

私の質問は、下記です。

「NC3において、「不特定多数の方をルームの編集長にする」ことは、禁止はされておらず、通常の使い方の範疇にあると思いますが、いかがなものでしょうか、」


説明

私のめざすサイトのイメージは、

食べログで、無料で各お店が自分で入力するプロフィール入力
https://owner.tabelog.com/owner_info/

ぐるなびで、無料で各お店が自分で入力するエントリー会員サービス
https://pro.gnavi.co.jp/entry/

それは、ちょうど、NC3でいうところの、

学校がサイト全体を管理し(食べログでいえば、食べログ全体サイトの運営者)、
その中に、ルーム機能で運動部・文化部・音楽部のページをつくる(食べログでいえば、無料で各お店が自分で入力するプロフィール入力)

という流れと同一と思います。

ただ、
「ルーム機能で運動部・文化部・音楽部のページをつくる(食べログでいえば、無料で各お店が自分で入力するプロフィール入力)」

の部分は汎用データベースで対応できると思ってますが、
汎用データベースだけに限定した場合でも、不特定多数のお店に編集長として入力権限を渡すため、セキュリティに問題がないか、ということが気になってました。

しかし、NC3側は、学校内のクローズされた組織で、悪意のある第三者を全く想定していない、不特定多数にルーム編集長として入力権限を持たすことは許していない、というシステムとは思えません。
そのような使い方は想定済み(不特定多数の方をルームの編集長にする)で、もともとそれに対する一般的なセキュリティ対応はされていて基本的に問題はない、と思いますが、、、

このコミニュティ掲示板も、不特定多数の方が、何でも記載できるwysiwygの入力欄で作成されており、それに対してのセキュリティも考慮されていると思います。
同様に、汎用データベースはじめ、他のプラグインも不特定多数の方が、何でも記載できることに対応した一般的なセキュリティ対応はされていると思いますが、、、

NC3において、「不特定多数の方をルームの編集長にする」ことは、禁止はされておらず、通常の使い方の範疇にあると思いますが、いかがなものでしょうか、

(それでもセキュリティに問題が発生すれば、それはどんなCMSを使おうと、どこにでも発生する可能性があるものであり、NC3固有のものではない、とおもいますが、、、)

危険性(可能性)がゼロとは、なかなか言えないかなと思います。

悪意のあるコード、と一言で言っても、様々な種類の悪意のあるコードがあると思います。

同じく、セキュリティという言葉も。

Webセキュリティの勉強会やIPAなどの資料を勉強されて、ご自分なりの答えを見つけるということかなと思います。

 

 当方、netcommons3を使って、jimdo、wix、などのようなサービスを提供したいと思っています(不特定多数のユーザーログイン者が、編集長(ルーム管理者のひとつ下の権限)として、自由に自分のルームを管理できる)。
その際、悪意あるユーザーが悪意のあるコードをルームに仕込む危険性はあるものでしょうか。
当方としては、管理画面のルーム管理で、「Javascript等のHTMLタグを許可する権限はユーザーログイン者である編集長からは除外」することで、セキュリティ上、安全と思っているのですが、いかがなものでしょうか。



Re4: セキュリティ

投稿日時: 2019/08/15 wai

ご返事、ありがとうございます。

IPAなどの資料で、しばらく、勉強してみます。

こんにちは。
株式会社オープンソース・ワークショップの永原です。

セキュリティに関しては、様々な考え方もあると思いますので、ここでの返信はいたしません。
気になるようでしたら、IPAなどの資料で勉強されれば良いかと思います。

以上、良いサービスができると良いですね。

お忙しい中、ご返事ありがとうございます。
もともとの私の質問が具体性が無く、わかりずらいと思いましたので、あらためて記載させていただきます。

私の質問は、下記です。

「NC3において、「不特定多数の方をルームの編集長にする」ことは、禁止はされておらず、通常の使い方の範疇にあると思いますが、いかがなものでしょうか、」


説明

私のめざすサイトのイメージは、

食べログで、無料で各お店が自分で入力するプロフィール入力
https://owner.tabelog.com/owner_info/

ぐるなびで、無料で各お店が自分で入力するエントリー会員サービス
https://pro.gnavi.co.jp/entry/

それは、ちょうど、NC3でいうところの、

学校がサイト全体を管理し(食べログでいえば、食べログ全体サイトの運営者)、
その中に、ルーム機能で運動部・文化部・音楽部のページをつくる(食べログでいえば、無料で各お店が自分で入力するプロフィール入力)

という流れと同一と思います。

ただ、
「ルーム機能で運動部・文化部・音楽部のページをつくる(食べログでいえば、無料で各お店が自分で入力するプロフィール入力)」

の部分は汎用データベースで対応できると思ってますが、
汎用データベースだけに限定した場合でも、不特定多数のお店に編集長として入力権限を渡すため、セキュリティに問題がないか、ということが気になってました。

しかし、NC3側は、学校内のクローズされた組織で、悪意のある第三者を全く想定していない、不特定多数にルーム編集長として入力権限を持たすことは許していない、というシステムとは思えません。
そのような使い方は想定済み(不特定多数の方をルームの編集長にする)で、もともとそれに対する一般的なセキュリティ対応はされていて基本的に問題はない、と思いますが、、、

このコミニュティ掲示板も、不特定多数の方が、何でも記載できるwysiwygの入力欄で作成されており、それに対してのセキュリティも考慮されていると思います。
同様に、汎用データベースはじめ、他のプラグインも不特定多数の方が、何でも記載できることに対応した一般的なセキュリティ対応はされていると思いますが、、、

NC3において、「不特定多数の方をルームの編集長にする」ことは、禁止はされておらず、通常の使い方の範疇にあると思いますが、いかがなものでしょうか、

(それでもセキュリティに問題が発生すれば、それはどんなCMSを使おうと、どこにでも発生する可能性があるものであり、NC3固有のものではない、とおもいますが、、、)

危険性(可能性)がゼロとは、なかなか言えないかなと思います。

悪意のあるコード、と一言で言っても、様々な種類の悪意のあるコードがあると思います。

同じく、セキュリティという言葉も。

Webセキュリティの勉強会やIPAなどの資料を勉強されて、ご自分なりの答えを見つけるということかなと思います。

 

 当方、netcommons3を使って、jimdo、wix、などのようなサービスを提供したいと思っています(不特定多数のユーザーログイン者が、編集長(ルーム管理者のひとつ下の権限)として、自由に自分のルームを管理できる)。
その際、悪意あるユーザーが悪意のあるコードをルームに仕込む危険性はあるものでしょうか。
当方としては、管理画面のルーム管理で、「Javascript等のHTMLタグを許可する権限はユーザーログイン者である編集長からは除外」することで、セキュリティ上、安全と思っているのですが、いかがなものでしょうか。