[upki-fed:00889] Re: Shibboleth SPのreturnパラメータによるオープンリダイレクタ

[Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>]

細川様
NIIの西村です。

返信遅くなりましてすみません。
最近のShibboleth SPであればredirectLimitというのがあります。
https://meatwiki.nii.ac.jp/confluence/x/Gguc#id-設定・運用・カスタマイズ-オープンリダイレクタとなりうる問題の対処

こちらで所望の動作は実現できますでしょうか。

On 2015/01/19 20:38, Tatsumi Hosokawa wrote:
> 慶應義塾ITC本部の細川です。
> 
> Shibboleth SPのreturnパラメータは、シングルログアウトもどきをやるには便利なのですが、
> 
> https://SPサーバ名/Shibboleth.sso/Logout?return=任意のURL
> 
> というURLを叩くと任意のURLにジャンプできてしまい、
> オープンリダイレクタとして、あまりよろしくない状態です。
> 
> そこでとりあえずApacheのmod_rewriteを使って、
> 
> RewriteEngine on
> RewriteMap unescape int:unescape
> RewriteCond ${unescape:%{QUERY_STRING}} !return=https://IdPのホスト名/idp/profile/Logout
> RewriteCond ${unescape:%{QUERY_STRING}} return=
> RewriteRule .* http://エラーで飛んでも怒られないサーバ/? [R=302,L]
> 
> のようにIdPのログアウトURL以外にはリダイレクトされないようにしてみたのですが、
> もっと正しい/簡単なやり方はあるのでしょうか？
> 
> よろしくお願いいたします。

-- 
西村健
国立情報学研究所 TEL:03-4212-2890