特定のユーザIDが実質的に利用不能 #474
Labels
Comments
|
報告ありがとうございます。開発チームに持ち帰って検討したいと思いますが、対応に時間が掛かる可能性がありますので、その点をご留意頂ければと思います。 よろしくお願いします。 |
|
こちらご連絡ありがとうございました。 もともと、システム的に登録不可能とするユーザー名のリストを保持しておりましたので、今回ご提示いただいたユーザー名の候補をそのリストに追加することでユーザー登録できないよう対処しました。 ただ、おっしゃるように、 以下は完全に個人の感想ですが、Cloud Run におかれましては トップレベルではなく |
|
@kurochan 予約されているパスでusernameを登録できないよう制限しました。ご報告ありがとうございました。感謝です 🙇 (コメント被りました) |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
事象
Zennのアプリケーションサーバとして利用されていると思われるCloud Runの仕様により、特定のユーザIDが実質的に利用不能となっている
発生したページのURL
事象が発生する例です。
発生した画面のスクリーンショット
再現方法
healthz,statusz,_ahabcdefなどのユーザIDを登録する。環境
全ての環境
背景
こちらの記事を拝見し、ZennのバックエンドにCloud Runを利用されていると推察いたしました。
https://zenn.dev/team_zenn/articles/migrate-appengine-to-cloudrun
Cloud Runには以下のURLのパスが 予約済み というknown issueが存在します。
https://cloud.google.com/run/docs/issues?hl=ja#ah
ZennのURLパスのトップ階層はユーザなどのIDのパスパラメータとして利用されているため、この仕様の影響で特定の規則のユーザIDが実質的に利用不能となってしまう不具合があるのではないかと推測しています。
などは、任意のユーザIDで末尾がzのものは登録できないということになってしまうので、影響が大きいかもしれません。
例示したURLは少なくともアクセス不能に見えますが、それ以外はZennの404ページが表示されたので、実際にはそこまで厳しい制約ではないのかもしれませんが、ドキュメント的には保証されていない挙動となってしまうかもしれません。
こちらは適当に試した限りは
_ahで始まるものは一律エラーのように見受けられました。(脆弱性ではないと個人的に判断したのでpublicな場に投稿させて頂きましたが、もしもセンシティブな場合は削除していただいても構いません 🙇 )
The text was updated successfully, but these errors were encountered: