クロスサイトリクエストフォージェリに対する保護の設定

Windchill 10.0 M010 以降では、クロスサイトリクエストフォージェリ (CSRF) に対する保護がデフォルトで有効になっています。CSRF の nonce の有効期限および潜在的な攻撃の電子メール通知を設定するには、xconfmanager ユーティリティを使用して wt.properties に対応するプロパティを追加します。

デフォルトでは、CSRF の nonce は作成後 24 時間で期限切れになるように設定されています。Windchill では実行時間の長いプロセスがセッションタイムアウトを超えることがあるため、nonce のタイムアウトはセッションのタイムアウトには結び付けられていません。このタイムアウト値は分単位で設定され、プロパティ com.ptc.core.appsec.CSRFNonceTimeout を追加することで設定および変更可能です。

潜在的な CSRF 攻撃のアラートを管理者に送信するために、電子メール通知を設定できます。次のプロパティを修正することで、通知を送信するまでの潜在的な攻撃の回数、通知を送信する頻度、および通知の送信先を設定できます。

プロパティ	説明
com.ptc.core.appsec.securityAlertEmailAccount	潜在的な攻撃についての電子メール通知の受信者。デフォルトでは、電子メールは wt.admin.defaultAdministratorName プロパティで指定されている管理者に送信されます。このプロパティの値を別のユーザー ID またはグループ名に設定することで、別のユーザーまたはユーザーグループを割り当てることができます。
com.ptc.core.appsec.EventThreshold	電子メール通知を送信するまでの潜在的な攻撃の合計回数。デフォルト値は 5 に設定されています。指定した攻撃回数に達すると、com.ptc.core.appsec.securityAlertEmailAccount プロパティで指定されている受信者に電子メール通知が送信されます。
com.ptc.core.appsec.notificationFrequency	潜在的な攻撃が検知された場合に電子メール通知を送信する頻度。この値は分単位で設定します。デフォルト設定では、1 通の電子メールを 1440 分 (24 時間) ごとに送信します。通知の送信後、攻撃カウンタはゼロにリセットされます。次の通知は、com.ptc.core.appsec.EventThreshold で指定されているイベントしきい値に達し、com.ptc.core.appsec.notificationFrequency で指定されている時間が経過するまで送信されません。