Ticket #1003 (closed 改善提案: 修正済)
セキュリティ面のさらなる強化
| Reported by: | AMUAMU | Owned by: | somebody |
|---|---|---|---|
| Priority: | 高 | Milestone: | EC-CUBE2.13.0 |
| Component: | その他 | Version: | 2.11.0 β |
| Keywords: | Cc: | ||
| 修正済み: | yes |
Description (last modified by shutta) (diff)
直接的な脆弱性ではないがセキュリティ面で強化・改善すべきと考えられる点が散見されるため、実装を検討する
- インストール時に固定されているシステムパラメーターのうちサイト毎に異なる方が好ましいと思われる下記の値をインストール時生成
・CERT_STRING
・TRANSACTION_ID_NAME (部分生成? transidxxxx のような)
- ブルートフォースアタック対策
・管理画面
・フロント
・リマインダー
(以前、フォーラムでも示唆する話題有り http://xoops.ec-cube.net/modules/newbb/viewtopic.php?topic_id=7209&forum=4&post_id=34698 )
- 公開すべきではないファイル/ディレクトリが公開側に残っていないかの確認
html側にsqlファイルとかあるのは意図的なのか?など
- 最終ログイン日時の画面への表示
管理者側は内部的には既に保持しているのにログ出力にしか利用されていない。
フロント側は将来検討事項か
- 管理画面のトークン利用(transactionid)の徹底
※実装時は個別のチケットを発行するのが望ましいと思います。2.11.0でやるべきではないものも総覧的、備忘録として入れています。
関連するセキュリティ強化関連のチケット
#552 (/data以下が公開されている場合に管理画面にて注意を促す)
#812 (管理画面でトランザクションIDを使用する)
#818 (パスワードリマインダの答えのハッシュ暗号化)
#819 (パスワードのハッシュ暗号化の強化)
#830 (WEB で公開すべきでないファイルが公開領域に配置されている)
#841 (管理画面のIP制限)
#874 (テンプレートは /data/ 配下のみ保存する)
#1779 (簡易ブルートフォースアタック対策)
Change History
comment:1 Changed 12 years ago by AMUAMU
- Priority changed from 中 to 高
- Component changed from フロント to その他
comment:7 Changed 11 years ago by kajiwara
- Priority changed from 高 to 中
- 修正済み unset
関連するセキュリティ強化関連のチケット の半分以上が完了していることから、本チケットは一旦優先順位を下げさせていただきます。
comment:8 Changed 11 years ago by shutta
- Description modified (diff)
#1779 にて、簡易ブルートフォースアタック対策を追加しました。 内容としては、ログイン失敗時にX秒(パラメーター設定可能。初期値2秒)遅延させるという簡易なものです。
comment:9 Changed 11 years ago by h_yoshimoto
- Milestone changed from EC-CUBE2.12.2 to EC-CUBE 2.12.3
comment:12 Changed 10 years ago by h_yoshimoto
- 修正済み set
comment:13 Changed 10 years ago by h_yoshimoto
- Status changed from new to closed
- Resolution set to 修正済
2.11.0βで多くのコミッターが活発に開発中なので、注意喚起として優先度上げておきます。