-
-
Notifications
You must be signed in to change notification settings - Fork 1.4k
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
Endpoint /admin/accounts/create をアクセストークンから使用出来るように欲しい #14959
Comments
僕個人としても推進したい所ではありますが、懸念がいくつかあります。
上記の通りな方もいれば、残念ながらあまり関心のない方もいらっしゃるので、とても難しい話だと思います…。 また、開発用途である場合は |
全体として、あなたの意見は非常に貴重で有効であり、提案に感謝し、体系的に実装されるべきであると思いますが、この問題のセキュリティ問題であるとは思わないし、この問題は新しいセキュリティの問題を開いていません。 私がセキュリティについての配慮は: アタッカーがSigninできるまたは他の手段でユーザートークンが手に入れた場合は、アクセストークンがなくでも作成できる。2FAは前提条件が高めるでもこのフィーチャーが自身のセキュリティ問題ではないと思います。 アタッカーが普通なアクセストーケン(admin許可がない)がある場合は、作成できない。 深刻なデータリークまたはトークン構成ミスでadmin許可があるトークンがある場合は、 限られたトークンを使用できなくなら、ユーザーはこれに完全なユーザートークンを使用するために頼ることができ、実際に他の問題を紹介するかもしれませんだと思います> |
すべでの |
たしかに。 |
仰る通り、以下は別問題として分けて考えた方が良いですね。
他のメンバーの意見も聞いてみたい所ではありますが… |
userpassもリークされた (パスワード再利用など) の方面で、2FAをセットアップする前に、許可検証の目的で、WebUI Signinでもユーザーを管理者と見なさないといいと思います。 |
Summary
write:admin:create-account
permission がサーポートしてほしい。Purpose
正当な自動化でユーザーを作成場合は何だかあると思います? 例えば
セキュリティ方面はAdmin権限があるユーザーは信頼レベルは極めて高いので、アカウントが自動化作成はアタックベクターであるそうとは言えないと思います。
Ref impl: https://forge.yumechi.jp/yume/yumechi-no-kuni/commit/738877016ceb50d404e66d35f149140d3909220f
Example Script: https://forge.yumechi.jp/yume/yumechi-no-kuni/commit/60eb7e1dc94d2abcf0f3767272d324b4e71e1c43
Do you want to implement this feature yourself?
The text was updated successfully, but these errors were encountered: