管理画面に毎回ログインを要求する MovableType プラグイン:NotRememberMe

Permalink URL
http://www.magicvox.net/archive/2012/04281938/
Posted by
ぴろり
Posted at
2012/04/28 19:38
Trackbacks
関連記事 (0)
Post Comment
コメントできます
Category
プラグイン カテゴリ
カバーイメージ

 企業などのセキュリティ ガイドラインで、社内からアクセスするウェブ サービスは毎回ログアウトし、ログイン情報を永続化しないように求められることがあります。使用しているウェブ サービスに XSS や CSRF などの脆弱性があった場合、悪意の第三者が用意したリンクを不用意にクリックして機密情報が漏れたり、ポータブル コンピュータを紛失した際にウェブ サービスを悪用される懸念があるためです。
 MovableType 管理画面のログイン画面にも、ログイン状態を永続化する「ログイン情報を記憶する」チェックボックスがあります。運用ガイドラインなどで「チェックを入れるな」と禁止することはできても、これを完全に防止することはできません。上司が見ていないのを良いことに、ガイドラインを遵守しないユーザが居ないとも限りません。そこで、MovableType のログイン状態を永続化できないようにするプラグインを書いてみました。
 個人ユースではあまり意味がありませんが、厳しいセキュリティ ガイドラインを求められるような運用では使えるかもしれません。

このエントリーをはてなブックマークに追加  

機能と使い方

  • MovableType 管理画面へのログイン画面において「ログイン情報を記憶する」チェックボックスを隠します
  • 永続化されたセッション管理クッキーを無効にします
  • そのため、ブラウザを閉じると常に管理画面からログアウトされます

ダウンロード

インストール

 MovableType の plugins ディレクトリにコピーしてください。

プラグイン設定

 プラグインについて設定可能な項目はありません。

ライセンス等、いろいろ

  • 一応、一通りの動作確認を行っていますが、テスト ケースに漏れがあるかもしれません
  • ライセンスは LGPL とします
  • MTOS5.12、MTOS4.36 で動作確認しています
  • 商用目的または法人利用については 1 つの MovableType につき 1 ライセンスの購入をお願いしております。
    ライセンス料金: ¥1,000 JPY (税込み) 
    一言どうぞ:
  • 商用目的でない個人利用(アフィリエイトを含む)については無償でご利用頂けますが、よろしければ継続開発のためのライセンス購入(任意)をお願いしております。
    お気持ち:  
    一言どうぞ:
このエントリーをはてなブックマークに追加  

関連記事/トラックバック

関連記事/トラックバックはまだありません

この記事にトラックバックを送るには?

コメントを投稿する

 
 (必須, 匿名可, 公開, トリップが使えます)
 (必須, 匿名可, 非公開, Gravatar に対応しています)
 (必須)
スパム コメント防止のため「投稿確認」欄に ランダムな数字 CAPTCHAについて を入力してから送信してください。お手数ですがご協力のほど宜しくお願いいたします。