Require 2FA for administrative actions even user has administrator role| ロールあるでもProd環境で2FAセットアップした管理者のみが管理アクションを実行できるようにします #15053
Comments
eternal-flame-AD
changed the title
|
#14959 の背景を整理します。
念のために確認させてほしいです。
上記であると理解しています。これに相違はありますか? |
|
(Deleted one comment because I accidentally pressed submit)
I think this can be done on two levels: one is to only restrict token creation a more strict one is just do a popup asking them to setup 2FA when they use the control panel. The major security benefit of the second is if the password is leaked the admin account is still protected as this effectively makes sure every admin has 2FA setup. We can have a これは2つのレベルで行うことができると思います。1つは、トークンの作成を制限することです。より厳格なものは、コントロールパネルを使用するときに2FAをセットアップするように依頼するポップアップを行うことです。 2番目の主要なセキュリティ利益は、パスワードが漏れている場合、管理アカウントがまだ保護されていることです。 より厳格なルールは(管理APIはユーザートーケンがあっても2FA必要)config.yml に
Yes, and there can be a popup asking for 2FA to be setup when they access the control panel. おっしゃる通りです コントロールパネルを使用するときに2FAをセットアップするポップアップを行うことです。 |
|
I doubt the first level will break any existing setup unless they are programmatically creating access tokens (which they should not) and I think can safely be implemented without breaking anything. The second level may break if some users are already using the user token to get around some limitations, but I think it is still very important for completely fixing the original issue cited (inadequate security control by administrators). Thus I think an opt-in approach is a good idea. 最初のレベルが自動化アクセストークン作成していない限り(それはそうすべきではない)、既存のセットアップを破るとは思わず、安全に実装できると思います。 一部のユーザーがすでにユーザートークンを使用していくつかの制限を回避している場合、2番目のレベルが破損する可能性がありますが、引用された元の問題(管理者による不十分なセキュリティ制御)を完全に修正するためにはまだ非常に重要だと思います。したがって、opt-inは良い考えだと思います。 |
|
オフトピックかもしれませんが、トークンの安全性を考えれば、より短い有効期限のリフレッシュ可能なトークンがあると良いと思いました。(OIDCのように) |
|
In the long run I think multiple things regarding authentication can be improved, my biggest perceived risk is the user token which grant the full scope is reused and can be retrieved by both JS and a leaked cookie. Not many users understand logging out does not really invalidate the session. (Which I can offer suggestion but am not comfortable submitting an upstream patch simply because there are too many different opinions on how it can be implemented) 長期的には、@sakuhanight 貴重な提案を含め、関連する複数の問題を解決できると思います。認証に関連して私が認識した最大のリスクは、すべでのスコープを許可するユーザー トークンが再利用され、JS と漏洩した Cookie の両方によって取得できることです。ログアウトしてもセッションが無効になるわけではないことを理解しているユーザーは多くありませんかもしれない (提案を提供することはできますが、それがどのように実装されるかについて異なる意見が多すぎるという理由だけで、上流のパッチを提出することに自信がありません) 一つずつ取り上げて、問題を明確に定義し、個別に修正するのが良いアプローチだと思います。 |
Summary
タイトル通りです。
Purpose
これらからの抜粋 :
#14959
Do you want to implement this feature yourself?
The text was updated successfully, but these errors were encountered: