1. セキュリティタスク

ファイルのアップロード機能を保護する

Version:
日本語翻訳に関する免責事項

このページの翻訳はAIによって自動的に行われました。可能な限り正確な翻訳を心掛けていますが、原文と異なる表現や解釈が含まれる場合があります。正確で公式な情報については、必ず英語の原文をご参照ください。

適用対象

すべての 主要な役割

Sitecoreインストールフレームワーク

ファイルのアップロードは、デフォルトでは安全ではありません。

Azure ツールキット

ファイルのアップロードは、デフォルトでは安全ではありません。

アップロード フォルダーのスクリプトと実行の権限を拒否すると、Sitecoreインストールのセキュリティを強化できます。

アップロードフォルダのスクリプトと実行の許可を拒否する

uploadフォルダの内容の変更をユーザーに許可すると、スクリプトと実行可能プログラムをフォルダに配置する権限もユーザーに付与します。これらのスクリプトやプログラムを実行すると、サーバー上で予期しない動作が発生する可能性があります。

これを回避するには、アップロード フォルダ内のスクリプトと実行可能ファイルを実行するアクセス許可を拒否し、ユーザーがアップロードされたファイルをダウンロードしようとしたときにサーバー側で実行されないようにします。

メモ

この手順を実行する必要があるのは、コンテンツ作成者がアップロードフォルダーにファイルを直接配置できる設定の場合のみです。例えば、共有ディレクトリやFTPサーバーを使用している場合、コンテンツ作成者は大量のメディアをメディアライブラリにすばやく配置できます。

詳細については、MicrosoftのWebサイトを参照してください。

アップロード フォルダに対するScript権限とExecute権限の両方を拒否する。

  1. インターネット インフォメーション サービス (IIS) マネージャーを開きます。

  2. 関連するWebサイトのアップロード フォルダーに移動してクリックし、IISセクションでHandler Mappingsをダブルクリックします。

  3. Actionsパネルで、Edit Feature Permissionsをクリックします。

  4. Edit Feature Permissionsダイアログボックスで、ScriptチェックボックスとExecuteチェックボックスをオフにし、OKをクリックします。

コンテンツ作成者が共有ディレクトリやFTPサーバーなどを使用してtempフォルダにファイルを直接配置できる設定の場合は、tempフォルダに対するユーザーのScript権限とExecute権限も拒否する必要があります。

これは、.aspxファイルがtempフォルダに保存されている場合など(カスタムコードなど)、潜在的なセキュリティ問題を回避するのにも役立ちます。

Upload Watcherの無効化

Sitecoreにファイルをアップロードする唯一の方法がメディア ライブラリからであることを確認するには、アップロード ウォッチャーを無効にする必要があります。つまり、Sitecoreクライアント内からのみファイルをアップロードでき、アップロードされるファイルを制御できます。

Upload Watcherを無効にすると、アップロードフォルダに配置されたファイルはメディアライブラリに自動的にアップロードされません。

アップロードウォッチャーを無効にするには:

  • web.configファイルを開き、<system.webServer>1879185791275781879127578modules1879127578127578セクションから次の文字列を削除します。

<add type="Sitecore.Resources.Media.UploadWatcher,Sitecore.Kernel" name="SitecoreUploadWatcher"/>

ユーザーが特定の種類のファイルをアップロードできないようにする

完全に制御し、ユーザーが特定のファイルタイプ(.exeや.dllなど)をアップロードできないようにする場合は、アップロードフィルターツールを使用できます。

Upload Filterツールをダウンロードしてインストールします

アップロード フィルター ツールは、ダウンロードできるSitecoreパッケージです。

アップロード フィルター ツールには、次のファイルが含まれています。

ファイル名

宛先フォルダ

UploadFilter.config (英語)

ウェブサイト\App_Config\インクルード\

UploadFilter.dll

Webサイト\bin\

Upload Filterツールをインストールするには:

  1. Sitecoreスタート画面で、Control Panelをクリックします。

  2. Administrationセクションで、「Install a Package」をクリックします。

  3. ウィザードの手順に従って、最初にパッケージをダウンロードしてからインストールします。

アップロード フィルター ツールの構成

アップロード フィルター ツールをインストールしたら、構成する必要があります。

アップロードフィルターツールを設定するには:

  1. UploadFilter.configファイルを開きます。

    <processors>
    <uiUpload>
        <processor mode="on" type="Sitecore.Pipelines.Upload.CheckExtension, Sitecore.UploadFilter" patch:before="*[1]">
            <param desc="Allowed extensions (comma separated)"></param>
            <param desc="Blocked extensions (comma separated)">exe,dll</param>
        </processor>
    </uiUpload>
</processors>

  2. ユーザーが特定のファイル形式をアップロードできないようにするには:

    • Allowed extensionsパラメーターに、アップロードできるファイル拡張子の種類をコンマで区切ったリストを入力します。

    又は

    • Blocked extensionsパラメーターに、アップロードできないファイル拡張子の種類をコンマで区切ったリストを入力します。

    ファイル拡張子はドットなしで入力する必要があります。

    大事な

    Allowed extensionsパラメーターを設定すると、Blocked extensionsパラメーターは無視されます。

    ブロックリストにあるファイルタイプをアップロードしようとすると、次のメッセージが表示されます。

手記

アップロード フィルター ツールをインストールした後、アップロード プロセス中にエラーが発生した場合、アップロード ダイアログがフリーズすることがあります。これは既知の問題であり、解決策があります。

この記事を改善するための提案がある場合は、 お知らせください!