Ticket #1003 (closed 改善提案: 修正済)

Opened 9 years ago

Last modified 7 years ago

セキュリティ面のさらなる強化

Reported by: AMUAMU Owned by: somebody
Priority: Milestone: EC-CUBE2.13.0
Component: その他 Version: 2.11.0 β
Keywords: Cc:
修正済み: yes

Description (last modified by shutta) (diff)

直接的な脆弱性ではないがセキュリティ面で強化・改善すべきと考えられる点が散見されるため、実装を検討する

  1. インストール時に固定されているシステムパラメーターのうちサイト毎に異なる方が好ましいと思われる下記の値をインストール時生成

・CERT_STRING
・TRANSACTION_ID_NAME (部分生成? transidxxxx のような)

  1. ブルートフォースアタック対策

・管理画面
・フロント
・リマインダー
(以前、フォーラムでも示唆する話題有り  http://xoops.ec-cube.net/modules/newbb/viewtopic.php?topic_id=7209&forum=4&post_id=34698 )

  1. 公開すべきではないファイル/ディレクトリが公開側に残っていないかの確認

html側にsqlファイルとかあるのは意図的なのか?など

  1. 最終ログイン日時の画面への表示

管理者側は内部的には既に保持しているのにログ出力にしか利用されていない。
フロント側は将来検討事項か

  1. 管理画面のトークン利用(transactionid)の徹底

※実装時は個別のチケットを発行するのが望ましいと思います。2.11.0でやるべきではないものも総覧的、備忘録として入れています。

関連するセキュリティ強化関連のチケット
#552 (/data以下が公開されている場合に管理画面にて注意を促す)
#812 (管理画面でトランザクションIDを使用する)
#818 (パスワードリマインダの答えのハッシュ暗号化)
#819 (パスワードのハッシュ暗号化の強化)
#830 (WEB で公開すべきでないファイルが公開領域に配置されている)
#841 (管理画面のIP制限)
#874 (テンプレートは /data/ 配下のみ保存する)
#1779 (簡易ブルートフォースアタック対策)

Change History

comment:1 Changed 9 years ago by AMUAMU

  • Priority changed from to
  • Component changed from フロント to その他

2.11.0βで多くのコミッターが活発に開発中なので、注意喚起として優先度上げておきます。

comment:2 Changed 9 years ago by AMUAMU

  • Description modified (diff)

comment:3 Changed 9 years ago by AMUAMU

  • Description modified (diff)

comment:4 Changed 9 years ago by AMUAMU

  • Description modified (diff)

comment:5 Changed 9 years ago by kotani

  • Milestone changed from EC-CUBE2.11.0 to EC-CUBE2.11.1(仮)

comment:6 Changed 9 years ago by kotani

  • Milestone changed from EC-CUBE2.11.1 to EC-CUBE2.12.0(仮)

comment:7 Changed 9 years ago by kajiwara

  • Priority changed from to
  • 修正済み unset

関連するセキュリティ強化関連のチケット の半分以上が完了していることから、本チケットは一旦優先順位を下げさせていただきます。

comment:8 Changed 8 years ago by shutta

  • Description modified (diff)

#1779 にて、簡易ブルートフォースアタック対策を追加しました。 内容としては、ログイン失敗時にX秒(パラメーター設定可能。初期値2秒)遅延させるという簡易なものです。

comment:9 Changed 8 years ago by h_yoshimoto

  • Milestone changed from EC-CUBE2.12.2 to EC-CUBE 2.12.3

comment:10 Changed 8 years ago by kim

  • Milestone changed from EC-CUBE2.12.3 to EC-CUBE2.12.4

comment:11 Changed 7 years ago by kim

  • Priority changed from to

comment:12 Changed 7 years ago by h_yoshimoto

  • 修正済み set

#2396, #2397, #2398 個別にチケットを発行

本チケットはクローズとし、以降の対応は個々のチケットに引き継ぎ

comment:13 Changed 7 years ago by h_yoshimoto

  • Status changed from new to closed
  • Resolution set to 修正済
Note: See TracTickets for help on using tickets.