Actions

Translations

Global settings/9/ja: Difference between revisions

From LimeSurvey Manual

No edit summary
No edit summary
Line 3: Line 3:
*'''HTMLのXSSフィルター''': 既定では'オン'になっています。アンケート/グループ/質問/ラベルテキストで(JavaScriptコードなど)危険なHTMLタグを使用する権限はありません。この背後にある考え方として、アンケートのオペレーターがシステムで高い権限を得るために悪質なスクリプトを追加するのを防ぐことがあります。'''ただし、アンケートにFlashアプレットのJavascriptなど、スクリプトオブジェクトを使用する場合は、これをオフにする必要があります'''(ビデオホスティングプラットフォーム用のスクリプトを使用できます)。
*'''HTMLのXSSフィルター''': 既定では'オン'になっています。アンケート/グループ/質問/ラベルテキストで(JavaScriptコードなど)危険なHTMLタグを使用する権限はありません。この背後にある考え方として、アンケートのオペレーターがシステムで高い権限を得るために悪質なスクリプトを追加するのを防ぐことがあります。'''ただし、アンケートにFlashアプレットのJavascriptなど、スクリプトオブジェクトを使用する場合は、これをオフにする必要があります'''(ビデオホスティングプラットフォーム用のスクリプトを使用できます)。
{{Hint|Text=スーパー管理者は、保存時または公開アンケートビューでHTMLがフィルタリングされることはありません。XSSフィルタリングの効果を確認するには、通常のユーザーアカウントを使用することをお勧めします。}}
{{Hint|Text=スーパー管理者は、保存時または公開アンケートビューでHTMLがフィルタリングされることはありません。XSSフィルタリングの効果を確認するには、通常のユーザーアカウントを使用することをお勧めします。}}
{{Alert|title=注意|text=XSSを有効にすると、式マネージャーシステムの一部を使用できなくなります([[Expression Manager/ja#XSS security|XSSと式マネージャー]]を参照)。}}
{{Alert|title=注意|text=XSSを有効にすると、式マネージャーシステムの一部を使用できなくなります([[ExpressionScript_-_Presentation/ja#XSS security|XSSとExpressionScript]]を参照)。}}
*'''XSS制限付きユーザーの質問スクリプトを無効にする''' {{NewIn/ja|4.1.0}}: 既定では'on'に設定されているため、一般のユーザーは質問エディターでスクリプトを追加または更新することはできません。XSS保護を無効にした場合は、この設定は使用されません。'off'に設定すると、XSSフィルターがアクティブな場合であっても、質問にスクリプトを追加または更新することができます。
*'''グループメンバーは自グループのみ見ることができる''': 既定では、LimeSurvey管理インターフェースで定義された管理者以外のユーザーは、少なくとも1つの共通グループに属している場合にのみ他のユーザーを見ることができます。管理者がこれを'オフ'に設定すると、そのグループに属しているかどうかに関係なくLimeSurvey[[Manage users/ja|ユーザーコントロールパネル]]に定義されているすべてのユーザーが表示されます。
*'''グループメンバーは自グループのみ見ることができる''': 既定では、LimeSurvey管理インターフェースで定義された管理者以外のユーザーは、少なくとも1つの共通グループに属している場合にのみ他のユーザーを見ることができます。管理者がこれを'オフ'に設定すると、そのグループに属しているかどうかに関係なくLimeSurvey[[Manage users/ja|ユーザーコントロールパネル]]に定義されているすべてのユーザーが表示されます。
*'''IFrameの組込が許可されています''': このオプションは、ブラウザが<frame>、<iframe>または<object>の中でアンケートページをレンダリングするかどうかを指定するために使用できます。これにより、アンケートが他のサイトに埋め込まれていないことを確認し、クリックジャック攻撃を回避することができます。'許可'(既定値)に設定すると、制限はありません。'同じ原点'に設定すると、<frame>、<iframe>、<object>と同じドメインとポートでアンケートが実行されている場合にのみコンテンツが読み込まれるようになります。
*'''IFrameの組込が許可されています''': このオプションは、ブラウザが<frame>、<iframe>または<object>の中でアンケートページをレンダリングするかどうかを指定するために使用できます。これにより、アンケートが他のサイトに埋め込まれていないことを確認し、クリックジャック攻撃を回避することができます。'許可'(既定値)に設定すると、制限はありません。'同じ原点'に設定すると、<frame>、<iframe>、<object>と同じドメインとポートでアンケートが実行されている場合にのみコンテンツが読み込まれるようになります。

Revision as of 00:17, 23 May 2020

Message definition (Global settings)
==Security==
*'''Survey preview only for administration users''': By default, the preview of inactive surveys is restricted only to authenticated. If you set this to 'No', any person can test your survey using the survey URL – without logging in to the administration and without having to activate the survey first
*'''Filter HTML for XSS''': It is turned 'on' by default. They will not be authorized to use dangerous HTML tags in their survey/group/question/labels texts (JavaScript code, for instance). The idea behind this is to prevent a survey operator to add a malicious script to get his permissions raised on your system. '''However, if you want to use any JavaScript in your surveys, you will need to switch this off''' (specific scripts for video hosting platforms can be used). 
{{Hint|Text=The super admins never have their HTML filtered when saved or on public survey view. To see the effects of XSS filtering, it is advised to use a regular user account.}}
{{Alert|title=Warning|text=With XSS enabled, some parts of the expression manager system cannot be used: see [[ExpressionScript_-_Presentation#XSS security|XSS and ExpressionScript]].}}

セキュリティ

  • 管理者ユーザのみアンケートプレビュー: 既定では、アクティブでないアンケートのプレビューは認証済みユーザーに限定されています。これを'オフ'に設定すると、管理者としてログインせず、アンケートを最初に有効にせずに、アンケートURLを使用してアンケートをテストできます。
  • HTMLのXSSフィルター: 既定では'オン'になっています。アンケート/グループ/質問/ラベルテキストで(JavaScriptコードなど)危険なHTMLタグを使用する権限はありません。この背後にある考え方として、アンケートのオペレーターがシステムで高い権限を得るために悪質なスクリプトを追加するのを防ぐことがあります。ただし、アンケートにFlashアプレットのJavascriptなど、スクリプトオブジェクトを使用する場合は、これをオフにする必要があります(ビデオホスティングプラットフォーム用のスクリプトを使用できます)。
 Hint: スーパー管理者は、保存時または公開アンケートビューでHTMLがフィルタリングされることはありません。XSSフィルタリングの効果を確認するには、通常のユーザーアカウントを使用することをお勧めします。
  注意 : XSSを有効にすると、式マネージャーシステムの一部を使用できなくなります(XSSとExpressionScriptを参照)。


  • XSS制限付きユーザーの質問スクリプトを無効にする (4.1.0 から追加): 既定では'on'に設定されているため、一般のユーザーは質問エディターでスクリプトを追加または更新することはできません。XSS保護を無効にした場合は、この設定は使用されません。'off'に設定すると、XSSフィルターがアクティブな場合であっても、質問にスクリプトを追加または更新することができます。
  • グループメンバーは自グループのみ見ることができる: 既定では、LimeSurvey管理インターフェースで定義された管理者以外のユーザーは、少なくとも1つの共通グループに属している場合にのみ他のユーザーを見ることができます。管理者がこれを'オフ'に設定すると、そのグループに属しているかどうかに関係なくLimeSurveyユーザーコントロールパネルに定義されているすべてのユーザーが表示されます。
  • IFrameの組込が許可されています: このオプションは、ブラウザが<frame>、<iframe>または<object>の中でアンケートページをレンダリングするかどうかを指定するために使用できます。これにより、アンケートが他のサイトに埋め込まれていないことを確認し、クリックジャック攻撃を回避することができます。'許可'(既定値)に設定すると、制限はありません。'同じ原点'に設定すると、<frame>、<iframe>、<object>と同じドメインとポートでアンケートが実行されている場合にのみコンテンツが読み込まれるようになります。
 Hint: 理論的には動作します。ただし、この機能は、使用されているウェブブラウザと、iframeを許可するかどうかに大きく依存するため、有効になっていると機能しない可能性があります。
  • HTTPSを強制: これは、既定では"on/offを強制しない"に設定されています。HTTPSを使用する接続を強制するには、設定を"オン"に切り替えます。
  注意 : サーバーがHTTPSを正しくサポートしていない場合は、システムから自分自身をロックすることができます。したがって、オプションの下にある"このリンクがちゃんと機能するか確認してください。"をクリックしてください。リンクが機能しないのにHTTPSをオンにすると、LimeSurveyが機能しなくなり、アクセスできなくなります。


 Hint: 誤ってHTTPSを有効にした場合は、application/config/config.phpファイルで、ssl_emergency_overrideの値を1に変更することによって無効にすることができます。
Retrieved from "http://manual.limesurvey.org/index.php?title=Translations:Global_settings/9/ja&oldid=151585"