2006年02月24日
川俣晶の縁側ソフトウェアりすと亭開発日誌 total 2801 count

りすと亭バージョン 4.21.0 リリース・ブランクパスワードは許さない!

Written By: 川俣 晶連絡先

 「メーリングリスト+電子掲示板=リスト板」を実現する「りすと亭」をバージョンアップしました。

 新しいバージョンは4.21.0となります。

 以下より入手できます。

りすと亭のダウンロード

最終通常リリースです §

 4.21.0は、りすと亭バージョン4の最終通常リリースとなります。

 これ以後、りすと亭バージョン4はメンテナンスモードに入り、バグへの対策リリースのみ行います。新機能の追加は行われません。

 新機能は、これから開発を開始する、りすと亭バージョン5(仮称)に対して追加されます。

変更点 §

 今回のバージョンアップの変更点をここで解説します。

サーバ管理者に対して、サーバに含まれる全リスト板に対するブランクパスワードの存在チェック機能を提供する §

 セキュリティ上のリスクとなるブランクパスワード廃絶のための機能その1です。

 ブランクパスワードの数が分かるだけです。個々の電子メールアドレスは通知されません。

 ブランクパスワードとは、空文字列のパスワードを意味します。これが含まれると、電子メールアドレスが知られるだけでログインできてしまい、本来秘匿されるべき情報が漏洩することがあり得ます。

 これに対して対策するためには、まずそれが存在するか否かを調べねばなりません。これは、そのための機能です。

ランダムパスワードの通知メールを送信するか否かの設定は、各リスト板単位で行う §

 デフォルトは「通知メールを送信しない」とする。ただし、パスワードリセット機能を使用した場合に限っては、通知メールは必ず送信される。

 という機能です。

 ブランクパスワード対策の基本は、システムがランダムな文字列によるパスワードを生成し、それを電子メールでメンバーに自動通知する機能です。この機能は常に発動可能ですが、通知メールを発送するか否かはリスト板単位で設定できます。DM発送など、パスワードで管理することを想定しない用途を想定し、デフォルトは「通知しない」です。

サーバ管理者に対して、サーバに含まれる指定リスト板のブランクパスワード保持者に対して、ランダムパスワードへの置き換えと電子メールによる通知機能を提供する §

 対象リスト板の指定は一覧表示のチェックボックスから行うが、そのチェックボックスの初期値は各リスト板の自動通知の設定を反映する。また、設定状況を補足テキストで示す。

 という機能です。

 ブランクパスワード廃絶の作業は、サーバ管理者権限で一括実行するようになっています。セキュリティ対策はサーバ単位で要求されることが多いということと、作業の手間を最小化するにはまとめて実行した方が良いという理由により、サーバ管理者権限で一括実行するようになっています。

UISchema経由でのブランクパスワードの登録は一切認められない §

 それは不正値として受け付けない。デフォルト値がブランクの場合はデフォルト値の使用も認めない。ただし、初期値としてのブランクはそれを変更しようとしない限り有効となる (インストール直後のサーバ管理者パスワードはブランクだが、それは変更するまで有効とするため)

 という機能です。

 これにより、このバージョン以後、メンバー、リスト板管理者、サーバ管理者のパスワードは空文字列に設定することができません。

 例外は初期状態のサーバ管理者のパスワードが空文字列であることだけです。

 なお、UISchemaとはりすと亭で使用されている入力ユーザーインターフェース機能の名前です。

リスト板管理者によるメンバー登録時に、パスワードが指定されない場合、ランダムパスワードの生成が行われる §

 自動通知がオンの場合は通知が行われる。自動通知がオフの場合は永遠に誰にも分からないパスワードが生成される。それが発生した場合はそれを伝えるメッセージを表示する。また、自動通知をオンにするか、あるいはパスワードリセット機能を使うというアドバイスも表示する。

 という機能です。

 リスト板管理者が、パスワードを考えて伝えるのが面倒くさいからブランクでいいや、と考えてしまうことを避けるための機能です。

リスト板管理者によるCSV登録時に、パスワードが指定されない場合、ランダムパスワードの生成が行われる。その場合の動作や注意点はリスト板管理者によるメンバー登録時と同じ §

 上と同様です。

リスト板管理者用に、リスト板メンバーのパスワードリセット機能を提供する。機能を選択すると、指定メンバーのパスワードをランダムに生成し、そのメンバーに電子メールで通知する §

 リスト板管理者の手間の軽減を支援する機能です。パスワードを忘れてしまったという苦情を受けたとき、ワンクリックで新パスワードのランダム自動生成とそれを通知するメールの発送が実行できます。

サーバ管理者権限により発行されるパスワード置き換えの通知メールの文面をサーバ管理者権限でカスタマイズ可能にする §

 通知メールの文面はカスタマイズ可能です。

リスト板管理者権限により発行されるパスワード置き換えの通知メールの文面をリスト板管理者権限でカスタマイズ可能にする §

 こちらの通知メールの文面もカスタマイズ可能です。

電子メールのマクロにおいて、%Sでサーバ管理者のアドレスを送信可能とする §

 自動送信するメールの文面で、サーバ管理者の連絡先を指定する必要が発生したので、追加しました。

ランダムパスワードの通知メールに、パスワードが変更できることを明記 §

 (これは、変更履歴に誤って書かれた項目です。4.21.0-test1よりの変更点ですが、一般利用者には関係ないものです)

パスワードを入れないで一般メンバー登録ができてしまう問題を解消 §

 単純なバグですが、解消しました。

サポートされていないContent-Transfer-Encodingが指定された場合、本来なら送信者に理由とBase64を推奨するメッセージを返送するはずが、リスト板管理者宛に解析できないメールを通知するエラーメールを送信している §

 単純なミスにより、サポートされていないContent-Transfer-Encodingが指定された場合のリアクション機能が発動していませんでした。これを発動するように修正しました。

本体のCopyrightの年号が2005のまま。2006に訂正 §

 説明は特に無し。