Skip to main content

セキュリティに関するお知らせ

ヒント

のセキュリティに関するトピックに関する包括的な情報については CODESYS 環境については、以下を参照してください。 セキュリティ

HTML5コントロールの開発

大規模なアレイで発生する可能性のあるデータを転送することはできません。この場合、スクロール範囲機能を使用して配列をバインドすると便利です。これにより、実際に必要なセクションのみが転送されるため、転送パフォーマンスも向上します。

  • エディタータイプArrayRange

  • プロパティタイプアップデート

  • 変数タイプ:配列の基本タイプ

したがって、次のように、配列のインターフェイスプロパティを使用してHTML5コントロールを構成します。

HTML5コントロールの使用

重要

セキュリティ上の理由から、HTML5コントロールを使用する場合は、HTML5コントロールに含まれる機能が予期しない攻撃を引き起こす可能性があることに注意する必要があります。その結果、PLCの動作が損なわれる可能性があります。

  • Webサーバーに対するDoS攻撃の実行

  • HTML5コントロールで設定された値のスパイ

  • アプリケーションからの誤った値の表示

  • アプリケーションに誤った値を送信する

これらの例には、次のものがあります。

効果的な保護のためには、保護のために以下の措置を講じる必要があります。

著者と内容を確認してください

信頼できる作成者からのHTML5コントロールのみを使用してください。

CODESYS HTML5コントロールへの予期しない(そして潜在的に悪意のある)変更を防ぐためのサポートを提供します。使用されているHTML5コントロールは、コンパイルまたはダウンロード中に変更がないかチェックでき、このためのプロジェクトで最初に確認する必要があります。チェックサム(=ハッシュ値)は、これらのHTML5コントロールのコンテンツに対して計算されます。 HTML5コントロールの作成者は、比較のためにハッシュ値を提供できます。

安全なHTTPSプロトコル

HTTPSを使用します。

HTML5コントロールでは、文字ステートメントやマウスクリックなどの入力イベントに加えて、IEC変数から読み取られた値またはIEC変数に書き込まれた値も転送されるようになりました。これにより、man-in-the-middle攻撃が容易になる可能性があります。

リソースへのアクセス

デフォルトでは、HTML5コントロールはスクリプトやスタイルなどのリソースをロードできません。ただし、要素自体で提供されるリソースはこれから除外されます。これにより、コンテンツがコントローラー以外のサーバーからロードされる必要がある場合は、調整することでこれを軽減できます。 ContentSecurityPolicyIncludeTrustedOrigins 自動生成された設定 webvisu.cfg.json ファイル。

ただし、次の理由から、これはお勧めしません。

  • 他のすべてのHTML5コントロールも、これらの許可された場所からコンテンツをダウンロードして使用することが許可されます。

  • Basic Level 外部サーバーからロードされるリソースを制御できないため、可用性と互換性は保証されません。

  • 外部サーバーが悪意のあるスクリプトを提供し、HTML5コントロールの一部として実行される可能性があります。たとえば、悪意のあるスクリプトが受信または送信された値を変更したり、情報を明らかにしたりする可能性があります。

ファイル操作

アプリケーションがファイルを変更する機能とともにHTML5コントロールを使用する場合は注意してください。ファイル操作の場合、悪意のあるユーザーが悪意のあるコードをHTML5コントロールに挿入できる可能性があります。これは、たとえば、ビジュアライゼーションのテキストエディタや次のような機能を使用する場合に恐れる必要があります。 SysFile

  • アプリケーション開発者は、変更に使用されるファイルパスが有効な場所(たとえば、 $PlcLogic$/$visu$フォルダ)。ビジュアライゼーションのユーザーが変更するファイルのパスを自由に入力できる場合、これは特に危険です。

  • ハードコードされたパスのみを使用することをお勧めします。または、ユーザーが入力したパスが予想される場所にあることを確認することもできます。

このセクションの内容: