Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

プロジェクトが公開で作られた + 公開に変更されたとき、セキュリティ通知を管理者に送る #28

Open
ishikawa999 opened this issue Jan 15, 2021 · 2 comments
Open

プロジェクトが公開で作られた + 公開に変更されたとき、セキュリティ通知を管理者に送る #28

ishikawa999 opened this issue Jan 15, 2021 · 2 comments
Labels
Feature Redmine.orgのチケット(もしくはこれから作成するチケット)のトラッカー 取り組み候補

Comments

@ishikawa999
Copy link
Contributor

RedmineコミュニティのSlackの話題から:
https://redmine-freesalon.slack.com/archives/C016XQY1B2N/p1609034621000300

楽天のsalesforce設定ミスによる情報流出が報道されてますが、Redmineの設定ミスで意図せず公開状態になっているケースも無いか気になりました。

プロジェクトを各ユーザーに作れるようにすると公開プロジェクトを作れてしまうため、意図せずそういったプロジェクトができないようセキュリティ通知で警告を出すと良いと思いました。

公式にチケット無し、仕様決めから
@ishikawa999
Copy link
Contributor Author

懸念点:
すべて公開プロジェクトとして運用するようなケース(OSS, すべて公開プロジェクトで運用など)ではセキュリティ通知が頻繁に飛んでしまい面倒に思われそう。

案:

  • 「認証が必要」がオフだったり、「ユーザーは自分で登録できる」が有効だったりと、公開プロジェクト状態の時に完全に自由にアクセスできる設定の時だけにするとか?
  • 既存のセキュリティ通知と同じように、「公開に変更されたとき」だけの通知にする ← とりあえずこれで作ってみても良さそう

@ishikawa999
Copy link
Contributor Author

ishikawa999 commented Jan 15, 2021
edited
Loading

メール関連の動作検証のやり方(redmine_development_dockerを使っている場合)
https://github.com/ishikawa999/redmine_development_docker#redmineから送信されるメールの内容をチェック

それ以外なら先にテストを書いてから期待通りに動くかをテストするのがおすすめ

@ishikawa999 ishikawa999 added Feature Redmine.orgのチケット(もしくはこれから作成するチケット)のトラッカー 取り組み候補 labels Jan 15, 2021
@agilekawabata agilekawabata changed the title プロジェクトが公開で作られた + 公開に変更されたとき、セキュリティ通知を管理者に送る ロール権限にプロジェクトを公開する権限を追加する Jan 16, 2021
@agilekawabata agilekawabata changed the title ロール権限にプロジェクトを公開する権限を追加する プロジェクトが公開で作られた + 公開に変更されたとき、セキュリティ通知を管理者に送る Jan 16, 2021
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
Feature Redmine.orgのチケット(もしくはこれから作成するチケット)のトラッカー 取り組み候補
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
1 participant
@ishikawa999