このドキュメントでは、ColdFusion 11 におけるすべてのセキュリティの機能強化について説明します。この更新により、セキュリティに関するいくつかの問題が修正され、サーバーが強化されました。主なセキュリティの機能強化については、以降の節で説明します。
未配達メールの添付ファイルのダウンロードのブロック
ColdFusion サーバーに変更が加えられ、未配達の電子メールの添付ファイルがダウンロードされないようになりました。未配達メールの添付ファイルのダウンロードを許可または禁止するには、ColdFusion Administrator で次の操作を行います。
- ColdFusion Administrator にログインします。
- サーバーの設定/メールをクリックします。
- 「メールスプールの設定」に移動し、「未配達メールの添付ファイルのダウンロードを許可します。」をオンまたはオフにします。
Administrator API の変更
Administrator API CFC の mail.cfc も更新され、allowDownload という新しいキーが GetMailProperty と SetMailProperty に追加されました。この API を使用して、未配達メールの添付ファイルのタウンロードをプログラムで有効化または無効化できます。この Administrator API の CFC は、cf_web_root/CFIDE/adminapi/mail.cfc にあります。
<CFMail> タグを使用した暗号化メールの送信
<cfmail> タグを使用して、暗号化されたメールを送信できるようになりました。次のリストに、暗号化されたメールの送信をサポートするためにこのタグに追加された新しい属性を示します。
- encrypt=”true/false” – 暗号化されたメールの送信を有効化または無効化します。
- recipientCert = <path> – 受信者の公開キー証明書のパスを指定します。
- encryptionAlgorithm = <encryption_algorithm>– メールの暗号化に使用するアルゴリズムです。次のアルゴリズムのいずれかを使用できます。
- DES_EDE3_CBC
- RC2_CBC(デフォルト)
- AES128_CBC
- AES192_CBC
- AES256_CBC
詳細については、「<cfmail> タグ」を参照してください。
セキュアプロファイルの変更
このドキュメントを参照してください。
同じユーザーによる同時ログインセッションのサポート
特定のユーザーの複数の同時ログインセッションを通じてアプリケーションにログインおよびアクセスできます。このオプションはデフォルトで有効です。セキュリティ上の懸念がある場合は、ColdFusion Administrator でこのオプションを無効化してください。
複数の同時ログインをサポートするために、次の変更が行われています。
同時ログインを許可できるように、allowconcurrent という新しい属性が <cflogin> タグに追加されました。
<cflogin allowconcurrent="true|false">
デフォルト値は true です。allowconcurrent が true に設定されている場合は、ユーザーの同時ログインが許可されます。
ログアウトする適切なユーザーを選択できるように、session という新しい属性が <cflogout> タグに追加されました。
<cflogout session="all|current|others">
デフォルト値は current です。session が all に設定されている場合は、現在のユーザーのすべての認証済みセッションが切断されます。current に設定されている場合は、現在のセッションのみが切断されます。others に設定されている場合は、現在のセッションを除くその他すべてのセッションが切断されます。
管理者が同時ログインセッションを有効または無効にするには、次のタスクを実行します。
- ColdFusion Administrator にログインします。
- セキュリティ/管理者ページに移動します。
- 「Administrator コンソールの同時ログインセッションを許可
」を選択します。
デフォルトでは、同時ログインセッションは有効になっています。また、セキュアプロファイルが有効になっている場合は、同時ログインは無効になります。
Administrator API の変更
Administrator API CFC の security.cfc も更新され、次の新しい API が追加されています。
- isAllowCuncurrentAdminLogin – 同時ログインセッションが許可されているかどうかを調べます。
- setAllowConcurrentAdminLogin – 同時ログインセッションを有効化または無効化します。
この API を使用して、同時ログインセッションをプログラムで有効化または無効化することができます。この Administrator API の CFC は、cf_web_root/CFIDE/adminapi/security.cfc にあります。
注意:サーバーでセキュアプロファイルが有効になっている場合は、ColdFusion Administrator はユーザー名モードごとに 1 つのログインセッションで実行されます(同時モードは無効)。
PBKDF2 キーの派生のサポート
「GeneratePBKDFKey」を参照してください。
セキュアプロファイルの有効化
ColdFusion 10 以上では、セキュアプロファイルを使用して、選択した設定をカスタマイズできます。セキュアプロファイルはインストール中に有効化できます。Administrator コンソールへのアクセスを許可する IP アドレスのリストを指定することもできます。 ColdFusion 11 では、セキュアプロファイル設定機能が Administrator コンソールに拡張され、インストール後の設定がサポートされています。
その操作を行うには、ColdFusion Administration コンソールからセキュリティ/セキュリティプロファイルを選択し(以下を参照)、「セキュアプロファイルを有効にする」チェックボックスをオンにして、ColdFusion の推奨されるデフォルトのセキュアプロファイル設定を使用します。
セキュアプロファイルの有効化によって影響を受ける Administrator の設定
次の表に、現在の設定、セキュアプロファイルのデフォルト設定、セキュアプロファイルを有効化した時点の値を示します。
このチェックボックスを使用して有効化または無効化を行い、セキュアモードと通常モードを切り替えてください。
注意:セキュアプロファイルを有効化すると、ColdFusion のスタンドアローンインストールとビルトイン Web サーバーでディレクトリのブラウズが無効になります。セキュアプロファイルを Administrator コンソールから有効化または無効化する際に、ディレクトリのブラウズは設定しません。 |
また、セキュアプロファイルを有効化すると、<cflocation> タグで addtoken 属性のデフォルト値が false になります。