ITmediaでOpenPNE関連記事が掲載されました！

「非モテSNS」のえがちゃん起業　「エイプリルフールネタじゃありません」
ITmedia(2010年4月1日)

記事
http://www.itmedia.co.jp/news/articles/1004/01/news019.html

その他の掲載記事
https://www.openpne.jp/media/

OpenPNE開発チームのきわです。

本日2010/04/01(木)、OpenPNE公式SNSをOpenPNE3化しました！
どしどしログインしてくださーい

OpenPNE公式SNS

http://sns.openpne.jp/

ユニットホスティングで稼働中

新しい公式SNSはユニットホスティングに設置しました。

プラン

スマートプランB

CPUコア

1コア+3コア

メモリ

512MB+256MB

ディスク

20GB (20GB)

OpenPNE3の設置サーバを検討されている方は参考にしてみてください。

新規登録制になりました！

ついに公式SNSも新規登録制になりました！
「公式SNSに登録してみたいけど、招待してもらうの恥ずかしいな・・・」と思っていた恥ずかしがり屋の皆さんも、これで気兼ねなく公式SNSに参加できるようになります。
OpenPNEの設置、SNSの運営に関する相談をしたい！という方はぜひぜひ参加してください。
もちろん、公式SNSはデモSNSと違って人と人との関わりがあるSNSです。ルールとマナーは守ってくださいね。

OpenPNE公式SNS

http://sns.openpne.jp/

OpenPNE3 デモSNS (テスト・ちょっと触りたい人はこちらをご利用ください)

http://demo3.openpne.jp/

OpenPNE開発チームの卜部です。

本日、リリースを予定していた opMessagePlugin ですが、
開発の遅れにより延期することになりました。
ご連絡が遅れましたこと、お詫び申し上げます。

延期後のリリース日につきましては、4 月 23 日となっております。
ご不便をおかけしますが、今しばらくお待ちくださいますようお願いいたします。

opMessagePlugin の対応項目はこちらをご覧ください。

opMessagePlugin 0.9.1
http://redmine.openpne.jp/versions/show/54

opMessagePlugin 0.8.3
http://redmine.openpne.jp/versions/show/53

OpenPNE開発チームのきわです。

2010/04 auのIPアドレス帯域追加に伴って、OpenPNEのIPアドレスリストを更新しました。
OpenPNEの携帯版を利用している方はSNSに反映お願いします。

※ OpenPNE2.14.5, OpenPNE2.12.18, OpenPNE 3.5.1 をご利用の方は、IPアドレス帯域リストが最新のものになっているため更新の必要はありません

ダウンロード

https://www.openpne.jp/pne-downloads/mobile_ip_list/
こちらのページから各バージョンのIPアドレス帯域リストをDLできます。

IPアドレス帯域リストの更新方法

OpenPNE3

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

lib/config/config/mobile_ip_address.yml

OpenPNE2

OpenPNEのパッケージ内にある以下のファイルを、ダウンロードしたIPアドレス帯域リストに置き換えてください。

webapp/lib/ktaiIP.php

次回の更新

次回の更新は 2010/04/23(金) を予定しています。
2010/05 docomoのIPアドレス帯域追加に対応します。

OpenPNE 開発チームの海老原です。

本日 2009/03/27 (土)、開発版 OpenPNE 3.5.1 をリリースしました。

初期コミュニティ周りの改善や、プラグインの依存性関連の変更、デイリー・ニュースに関するバグ修正などが含まれています。

次のリリースは 2010/04/22 (木) を予定しています。

続きを読む

OpenPNE開発チームの山下です。
いきなりですが、お知らせです。

ついに公式SNSがOpenPNE3になります。

OpenPNE3.4 をリリースし、OpenPNE2からの移行もサポートするようになりました。
また、OpenPNE3.4 のリリースから2ヶ月が経ち、公式SNSが2系のままではいけないだろう…。
ということで、移行に踏み切りました。

移行日

2010年4月1日

移行についての注意

• 移行作業当日は、公式SNSに接続できなくなります。
• 移行後はレビュー機能・お気に入り機能などが使用できなくなります。

ご迷惑おかけしますが、ご了承いただけると幸いです。

招待制から登録制へ

移行と同時に招待制から登録制になります。
招待制のままのほうがいいのでは？というかたもいらっしゃるとは思いますが…
もっと多くの人にOpenPNE3に触れてほしいという狙いがあります。
そしてよりいっそう、ユーザ同士でOpenPNEに関する情報を交換しやすくしたいという思いもあり、招待制から登録制に移行させていただきました。

これからもOpenPNEをよろしくお願いします！

OpenPNE開発チームの今村です。
本日2010/3/18（木）、安定版 OpenPNE2.14.5 , 旧安定版 OpenPNE2.12.18 をリリースしました。
かんたんログインによるなりすましの問題の対応がまだの方は、この機会にマイナーバージョンアップをお願いします！

続きを読む

OpenPNE 開発チームの海老原です。

緊急リリースなどの開発の都合によりリリースが遅れてしまいましたが、昨日 2010/03/12 (金)、開発版 OpenPNE 3.5.0 をリリースしました。

今回のリリースでは、安定版でおこなわれたバグ修正のほか、待望の自動ログイン機能、プラグインインストール、リリース周りの改善、プロフィールページの外部公開機能などの機能追加、改善がおこなわれています。

いくつかの新機能については、今村さんが OpenPNE 3.5.0 の新機能をわかりやすく紹介しているナイスなエントリ、 「今週のOpenPNE3デモサイト委員会 #17 」 を是非ご覧ください！
（※余談ですが、エントリ中で触れられている「プラグインチャンネルサーバー」について、近日中に嬉しいお知らせができると思うので、こちらも楽しみにしていただければと思います）

次のリリースは 2010/03/25 (木) を予定しています。

続きを読む

OpenPNE 開発チームの卜部です。

本日、安定版 OpenPNE 3.4.2 と旧安定版 OpenPNE 3.2.3 をリリースしました。
緊急リリースが何度かあり、開発が遅れることがございましたが、今回は無事予定通りのリリースとなりました。

今回のリリースでは、プロフィール登録周りのバグの修正やバリデーション周りのバグの修正、3.4.x に追加されていたナビゲーションキャッシュのバグフィックスなどが取り込まれています。

次のリリースは 2010/04/08 (木) を予定しています。

バグ修正

• #602: (3.4.2 限定) Display other member’s local navigation sometimes (違うメンバーのローカルナビゲーションが表示されることがある)
• #663, : The session timeout of pc_frontend does not became enabled. (pc_frontendのセッションタイムアウトが有効にならない)
• #637: opValidatorDate with date_time option don’t return time correctly. (opValidatorDateをwith_timeオプション付きで使用したとき時刻が違う値になる)
• #719: After sorted an item name by profile choice list, change of an item name cannot be performed. (プロフィール選択肢一覧で項目名を入れ替えた後に項目名の変更が出来ない)

続きを読む

携帯版を使用している OpenPNE では、かんたんログイン機能の不備により、なりすましがおこなわれてしまう可能性があります。

このエントリでは、本問題についての解説と、 OpenPNE 1.6 〜 OpenPNE 1.8、 OpenPNE 2.0 〜 OpenPNE 2.8、 OpenPNE 2.10 〜 OpenPNE 2.14、 OpenPNE 3.0 〜 OpenPNE 3.4 向けに対応方法の説明をおこないます。

本問題について

影響を受けるシステム:

携帯版を有効にしているすべての OpenPNE 1.6 〜 OpenPNE 1.8, OpenPNE 2, OpenPNE 3

本問題についての説明:

OpenPNE の携帯版には、携帯電話の端末 ID （OpenPNE では「携帯電話個体識別番号」という呼称を使用しています）を使用して、メールアドレスやパスワードの入力をユーザに要求することなくログインをおこなうための、かんたんログイン機能が存在します。
かんたんログイン機能は IP アドレス帯域制限によって、真正な携帯電話からのアクセスに限定しなければ安全に使用することができません。 PC からかんたんログイン機能を使用できる状態にある場合、特定の情報を送信してかんたんログインをおこなうことで、なりすましログインがおこなわれてしまう可能性があります。

かんたんログイン機能の安全性を担保するための OpenPNE の IP アドレス帯域制限には以下の問題があります。そのため、なりすましログインをされる危険性があります。

• ・OpenPNE 2.14 (OpenPNE 2.13.2 以降) には、特定の操作をおこなうことで、携帯電話の IP アドレス帯域制限を回避されてしまう脆弱性が存在する
• ・IP アドレス帯域制限機能が OpenPNE 2.10 以降にしか存在しない
• ・OpenPNE 2.10 以降、 OpenPNE 3.0 以降の IP アドレス帯域制限機能がデフォルトで OFF (使用しない) になっている

想定される影響:

なりすましログインがおこなわれることによって、パスワードなどを要求する重要な操作を除き、ほとんどの情報の閲覧や変更を、なりすましたメンバーの権限でおこなわれてしまう可能性があります。

対策方法・回避方法:

本エントリの「本問題への対応方法」をご覧ください。

掲載されている各対応方法をすぐには実施できない場合、管理画面から「携帯版使用設定」を「使用しない」にすることでこの問題を回避することができます。

謝辞

OpenPNE 2.14 における IP アドレス帯域制限機能回避の脆弱性について、高木浩光氏よりご報告いただきました。厚く御礼申し上げます。

関連情報

JVN#06874657 OpenPNE におけるアクセス制限回避の脆弱性

JVNDB-2010-000006 – JVN iPedia – 脆弱性対策情報データベース

本問題への対応方法

OpenPNE 3.0 〜 OpenPNE 3.4

マイナーバージョンアップもしくは修正パッチの適用を実施してください。
(OpenPNE 3 の修正パッチは patch -p1 < /path/to/patch のようにして当ててください)

OpenPNE 3.0.6.1 :

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.2.2.1 :

[.zip 版ダウンロード] [修正パッチ]

OpenPNE 3.4.1.1 :

[.zip 版ダウンロード] [修正パッチ]

その後、管理画面の SNS 設定を確認し、「携帯電話のIP帯域設定」が「携帯電話のIP帯域をチェックする」になっていない場合は変更してください。

マイナーバージョンアップをしていない環境で、パッチを適用できない場合、携帯電話の IP アドレス帯域リストを更新した上で SNS 設定の「携帯電話のIP帯域設定」を「携帯電話のIP帯域をチェックする」に変更してください。

以下の画像のようになっていれば OK です。

お使いのバージョンの最新版の IP 帯域リストの入手方法は、本エントリの「今後の OpenPNE プロジェクトとしての携帯電話 IP 帯域リスト更新ポリシー」に示してあります。

OpenPNE 2.10 〜 OpenPNE 2.14

マイナーバージョンアップもしくは修正パッチの適用を実施してください。

OpenPNE 2.10.13.1 :

[.tar.gz 版ダウンロード][.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]

OpenPNE 2.12.17.1 :

[.tar.gz 版ダウンロード][.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]

OpenPNE 2.14.4.1 :

[.tar.gz 版ダウンロード][.tar.bz2 版ダウンロード] [.zip 版ダウンロード] [修正パッチ]

ソースコードの入れ替え、もしくは修正パッチの適用をおこなった後、 config.php の CHECK_KTAI_IP の設定が false になっている場合は、以下のように true に設定してください。

define(‘CHECK_KTAI_IP’, true);

OpenPNE 2.12.17 では ソースコードを入れ替えることなく、 config.php の CHECK_KTAI_IP の設定を true に設定する（IP アドレス帯域制限機能を使用するようにする）だけでも効果があります。

マイナーバージョンアップをしていない環境で、パッチを適用できない場合、携帯電話の IP アドレス帯域リストを更新した上で config.php の CHECK_KTAI_IP の設定を true に変更してください。

お使いのバージョンの最新版の IP 帯域リストの入手方法は、本エントリの「今後の OpenPNE プロジェクトとしての携帯電話 IP 帯域リスト更新ポリシー」に示してあります。

OpenPNE 2.0 〜 OpenPNE 2.8

OpenPNE 2.0 〜 OpenPNE 2.8 で携帯電話 IP 帯域制限機能を利用するためのパッチを公開します。

OpenPNE 2.0 〜 OpenPNE 2.2 向けのパッチはこちらになります: https://gist.github.com/raw/322468/bb6bbd4c5f59dff51c571b0a32c1752c5cc9320f/openpne2.diff
OpenPNE 2.4 〜 OpenPNE 2.8 向けのパッチはこちらになります: https://gist.github.com/raw/322468/2798c821f82eaa064294eea519407f771ea17714/openpne2.4.diff

今後 IP アドレス帯域リストを更新する場合は、 2.12 向けのリストを使用してください。

このパッチを適用するか、もしくは、 OpenPNE 2.12, OpenPNE 2.14 へのメジャーバージョンアップを実施してください。

OpenPNE 1.6 〜 OpenPNE 1.8

OpenPNE 1.6 〜 OpenPNE 1.8 で携帯電話 IP 帯域制限機能を利用するための .htaccess を公開します。

https://gist.github.com/raw/322468/51e7cdf982a3f4a8f7e322ff5b2b9fbedfa1127b/.htaccess

このファイルを public_html ディレクトリ以下に設置してご利用いただくか、もしくは、 OpenPNE 2.12, OpenPNE 2.14 へのメジャーバージョンアップを実施してください。

今後の OpenPNE プロジェクトとしての携帯電話 IP 帯域リスト更新ポリシー

今回、すべての OpenPNE において携帯版の IP アドレス帯域制限をデフォルト ON にするにあたり、各キャリア側の携帯 IP アドレス帯域への対応ポリシーを決定しました。

いままでマイナーバージョンアップに IP アドレス帯域リストの更新を含めていましたが、それとは別に IP アドレス帯域リストのみの単体リリースを実施するようにしていく予定です（本サイトで発表します）。

OpenPNE 2 をお使いの場合は、 webapp/lib/ktaiIP.php を以下から入手できるものに置き換えれば IP 帯域リストを更新できます。

2.10:

https://trac.openpne.jp/svn/OpenPNE_specification/mobile_ip_list/20100305/2.10/ktaiIP.php

2.12:

https://trac.openpne.jp/svn/OpenPNE_specification/mobile_ip_list/20100305/2.12/ktaiIP.php

2.14:

https://trac.openpne.jp/svn/OpenPNE_specification/mobile_ip_list/20100305/2.14/ktaiIP.php

OpenPNE 3 をお使いの場合は、 lib/config/config/mobile_ip_address.yml を以下で発表されるものに置き換えれば IP 帯域リストを更新できます。

3.0:

https://trac.openpne.jp/svn/OpenPNE_specification/mobile_ip_list/20100305/3.0/mobile_ip_address.yml

3.2:

https://trac.openpne.jp/svn/OpenPNE_specification/mobile_ip_list/20100305/3.2/mobile_ip_address.yml

3.4:

https://trac.openpne.jp/svn/OpenPNE_specification/mobile_ip_list/20100305/3.4/mobile_ip_address.yml