Ticket #1003 (new 改善提案) — at Initial Version

Opened 10 years ago

Last modified 7 years ago

セキュリティ面のさらなる強化

Reported by: AMUAMU Owned by: somebody
Priority: Milestone: EC-CUBE2.13.0
Component: その他 Version: 2.11.0 β
Keywords: Cc:
修正済み: yes

Description

直接的な脆弱性ではないがセキュリティ面で強化・改善すべきと考えられる点が散見されるため、実装を検討する

  1. インストール時に固定されているシステムパラメーターのうちサイト毎に異なる方が好ましいと思われる下記の値をインストール時生成

・CERT_STRING
・TRANSACTION_ID_NAME (部分生成? transidxxxx のような)

  1. ブルートフォースアタック対策

・管理画面
・フロント
・リマインダー
(以前、フォーラムでも示唆する話題有り  http://xoops.ec-cube.net/modules/newbb/viewtopic.php?topic_id=7209&forum=4&post_id=34698 )

  1. 公開すべきではないファイル/ディレクトリが公開側に残っていないかの確認

html側にsqlファイルとかあるのは意図的なのか?など

※実装時は個別のチケットを発行するのが望ましいと思います。

関連するセキュリティ強化関連のチケット
#552 (/data以下が公開されている場合に管理画面にて注意を促す)
#812 (管理画面でトランザクションIDを使用する)
#818 (パスワードリマインダの答えのハッシュ暗号化)
#819 (パスワードのハッシュ暗号化の強化)
#830 (WEB で公開すべきでないファイルが公開領域に配置されている)
#841 (管理画面のIP制限)
#874 (テンプレートは /data/ 配下のみ保存する)

Note: See TracTickets for help on using tickets.