Ticket #1003 (new 改善提案) — at Version 3
セキュリティ面のさらなる強化
Reported by: | AMUAMU | Owned by: | somebody |
---|---|---|---|
Priority: | 高 | Milestone: | EC-CUBE2.13.0 |
Component: | その他 | Version: | 2.11.0 β |
Keywords: | Cc: | ||
修正済み: | yes |
Description (last modified by AMUAMU) (diff)
直接的な脆弱性ではないがセキュリティ面で強化・改善すべきと考えられる点が散見されるため、実装を検討する
- インストール時に固定されているシステムパラメーターのうちサイト毎に異なる方が好ましいと思われる下記の値をインストール時生成
・CERT_STRING
・TRANSACTION_ID_NAME (部分生成? transidxxxx のような)
- ブルートフォースアタック対策
・管理画面
・フロント
・リマインダー
(以前、フォーラムでも示唆する話題有り http://xoops.ec-cube.net/modules/newbb/viewtopic.php?topic_id=7209&forum=4&post_id=34698 )
- 公開すべきではないファイル/ディレクトリが公開側に残っていないかの確認
html側にsqlファイルとかあるのは意図的なのか?など
- 最終ログイン日時の画面への表示
管理者側は内部的には既に保持しているのにログ出力にしか利用されていない。
フロント側は将来検討事項か
※実装時は個別のチケットを発行するのが望ましいと思います。2.11.0でやるべきではないものも総覧的、備忘録として入れています。
関連するセキュリティ強化関連のチケット
#552 (/data以下が公開されている場合に管理画面にて注意を促す)
#812 (管理画面でトランザクションIDを使用する)
#818 (パスワードリマインダの答えのハッシュ暗号化)
#819 (パスワードのハッシュ暗号化の強化)
#830 (WEB で公開すべきでないファイルが公開領域に配置されている)
#841 (管理画面のIP制限)
#874 (テンプレートは /data/ 配下のみ保存する)
2.11.0βで多くのコミッターが活発に開発中なので、注意喚起として優先度上げておきます。