Oracle® Fusion Middleware Oracle Reports ServicesレポートWeb公開ガイド 11g リリース 1 (11.1.1) B61375-02 |
|
前 |
次 |
Oracle Reports 11g リリース1(11.1.1)には、非セキュア・モードでOracle Forms Servicesから実行されるレポートに対して新しいセキュリティ対策が用意されています。
Oracle Reportsでは連番ではなくランダムなジョブIDを生成できるため、特定のジョブのジョブIDを予測するのは不可能です。詳細は、第18.8.2項「ランダムで連続していないジョブIDの生成」を参照してください。
11g リリース1(11.1.1)よりも以前では、Oracle Reportsでは連番のジョブIDが生成されていました。これによって、ジョブIDが簡単に予測できました。つまり、認可されていないユーザーや悪意のあるユーザーが、rwservlet
を介してGETJOBIDを使用することでジョブ出力を表示し、別のユーザーに属しているジョブ出力を取得することが可能でした。
今回のリリースでは、Webコマンド(rwservlet
キーワード)は次に示すように追加セキュリティにカテゴリ分けされています。
管理者用Webコマンド: DELAUTH、GETSERVERINFO、KILLENGINE、PARSEQUERY、SHOWENV、SHOWJOBS、SHOWMAP、SHOWMYJOBS。管理者用コマンドを実行するにはAUTHIDが必要です。
L0
: Webコマンドは許可されません。
L1
: エンド・ユーザー用Webコマンド(GETJOBID、KILLJOBID、SHOWAUTH、SHOWJOBID)のみ許可されます。
L2
: 管理者用Webコマンド(DELAUTH、GETSERVERINFO、KILLENGINE、PARSEQUERY、SHOWENV、SHOWJOBS、SHOWMAP、SHOWMYJOBS)も許可されます。管理者コマンドを実行するにはAUTHIDが必要です。
NO
(10gのrwservlet.properties
のDIAGNOSTIC=NO
との下位互換性を維持するための設定)。Webコマンドは許可されません。
YES
(10gのrwservlet.properties
のDIAGNOSTIC=YES
との下位互換性を維持するための設定)。管理者用Webコマンド(DELAUTH、GETSERVERINFO、KILLENGINE、PARSEQUERY、SHOWENV、SHOWJOBS、SHOWMAP、SHOWMYJOBS)も許可されます。管理者コマンドを実行するにはAUTHIDが必要です。
注意: L2 Webコマンド・アクセスの場合は、authidを渡す必要はありません。authidパラメータは、webcommandaccessの値に関係なくSTOPSERVERコマンドにのみ必要です。 |
管理者は、エンド・ユーザー用Webコマンドと管理者用Webコマンドの両方を実行できます。セキュアでないReports Serverの場合、管理者のユーザーIDとパスワードを、Reports Server構成ファイルのidentifier要素に設定できます。
Oracle Reports Servlet(rwservlet
)構成ファイル(rwservlet.properties
)の新しいwebcommandaccessパラメータには、既存のrwservlet
キーワード(Webコマンド)に対するアクセス・レベルが定義されています。第7.8.4項「Webコマンドのセキュリティ・ポリシーの定義」で説明されているように、Oracle Enterprise Managerを使用してこれらの値を設定できます。