フィードバックを送信
legacy-knowledge-base
公開されました Jul. 2, 2025

パスワード再発行機能を使ったユーザー列挙攻撃を防ぐ方法

written-by

Tibor Lipusz

How To articles are not official guidelines or officially supported documentation. They are community-contributed content and may not always reflect the latest updates to Liferay DXP. We welcome your feedback to improve How To articles!

While we make every effort to ensure this Knowledge Base is accurate, it may not always reflect the most recent updates or official guidelines.We appreciate your understanding and encourage you to reach out with any feedback or concerns.

legacy-article

learn-legacy-article-disclaimer-text

問題

安全でないデフォルト設定では、リモート攻撃者がパスワードを忘れた機能を介してユーザーのメールアドレスを列挙することができる可能性があります。 これは、公共に面した配置の場合にはリスクとなります。

環境

  • Liferay DXP 6.2 EE
  • Liferay DXP 7.0-7.2

解決

portal-ext.properties でポータルプロパティ login.secure.forgot.password true に設定することをお勧めします。

指定された製品バージョンでは、このプロパティのデフォルトは "false "です。

# Set this to true to prevent attempts to enumerate the portal's users via
# the forgot password feature. This feature will no longer show an error
# that would reveal a user's existence.
login.secure.forgot.password=false

既存のデプロイメントで望ましくない動作変化を起こさないようにするために、LiferayはFix Pack/Service Packでこのデフォルト設定を変更しません。

長期的な解決策

Liferay DXP 7.3では、このプロパティのデフォルトは "true "です。

did-this-article-resolve-your-issue
legacy-knowledge-base
did-this-article-resolve-your-issue