ダウンロード可能な MIME タイプを制限する (セキュリティセンター 1.3 および 2.0 で更新)
glide.ui.attachment.download_mime_types プロパティは、指定された危険なファイルタイプのリストのファイルを強制的にクライアントにダウンロードし、ブラウザーにインラインで表示しないようにします。
プロパティ glide.ui.attachment.force_download_all_mime_types が true に設定されている場合、 glide.ui.attachment.download_mime_types プロパティはオーバーライドされ、ブラウザーによってレンダリングされるのではなく、すべての MIME タイプがダウンロードされます。たとえば、text/html をダウンロードすると、HTML ファイルはブラウザーでインライン表示されるのではなく、ファイルとしてクライアントに強制的にダウンロードされ、XSS 攻撃を防ぐことができます。XSS により、admin などの上位ロールへの特権エスカレーションが容易になり、横方向の移動が可能になる可能性があります。
新しい修正:プロパティ glide.ui.attachment.force_download_all_mime_types が true に設定されていることを確認します。sys_propertiesテーブルにプロパティが存在しない場合、デフォルト値は false です。
注:
プロパティを編集するには、security_admin ロールが必要です。
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | glide.ui.attachment.download_mime_types |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| カテゴリ | 検証、サニタイズ、およびエンコーディング |
| 目的 | ブラウザーで表示できない危険なファイルタイプのリストを適切に管理すると、クロスサイトスクリプティング攻撃 (XSS) を防ぐことができます。 |
| 推奨値 | 適用可能な MIME タイプまたは推奨値のリスト: text/html,image/svg,image/svg+xml,application/xml |
| デフォルト値 | 適用可能な MIME タイプのデフォルト値のリスト: text/html,image/svg,image/svg+xml,application/xml |
| 構成タイプ | 文字列:アプリケーション MIME タイプのカンマ区切り値。 |
| 機能への影響 | この修正では、 Now Platform アプリケーションで添付ファイルをクリックしたときに、アクションを実行する前に検証チェックのパフォーマンスが適用されます。潜在的な影響はありませんが、ユーザーエクスペリエンスが変わります。 |
| セキュリティリスク | (中) 攻撃者は MIME タイプを悪用し、意図しないスクリプトコンテンツを被害者側の添付ファイルに配置して機密情報を取得することができます。XSS 機能により、admin などの上位ロールへの権限の昇格が容易になり、横方向の移動を実行しやすくなります。 現在のコンテキストでは、添付ファイル MIME タイプの中でブラウザーでインラインレンダリングしてはいけないものを、カンマ区切りのリストの形式でプロパティに入力します。 |
| セキュリティリスク評価 | 6.4 |
| 関連プロパティ |
|
| 参照 | 制限されたダウンロード可能な MIME タイプを定義する (セキュリティセンター 1.3、1.5、および 2.0 で更新). |