FAMLog

「FileMaker Server 9v2 アップデータ」を適用すると、FileMaker PHP Site AssistantのWebサイト生成機能におけるセキュリティに関わる問題が修正されます。

詳細としては、バージョン9.0v1のFileMaker PHP Site Assistantにおいて、ゲストによるアクセスが許可されていないFileMakerデータベースを利用して、セキュリティポリシーオプションで「サイトにアクセスするときにユーザに認証を求める」を選んでサイトを生成した場合の問題です。

生成されたサイト内のアカウント名とパスワードを入力するフォームにおいてGETリクエストメソッドが使われているため、それらの情報がURLの一部として送信されることにより、Webサーバーや各種サーバーソフトウェアのログに記録される危険性がありました。

上記の問題はFileMaker Server 9v2 アップデータを単に適用しただけでは修正されません。再度FileMaker Server 9v2に付属のFileMaker PHP Site Assistantでサイトを生成し直すか、FileMaker Knowledge Baseのサポート記事で紹介されている方法でPHPのソースコードを直接修正する必要があります。

なお、HTTPでは通信が暗号化されないため、SSLを利用していない場合には、依然としてパスワード等が漏洩する危険性が残ります。その危険性を減らしたい場合には、SSLを利用してHTTPSで通信を暗号化させることを検討したほうがよいでしょう。

［関連］PHP Site Assistant Authentication Security Issue（FileMaker Knowledge Base）

（2007/10/04追記：1箇所誤字があったため文字を訂正しました。）