Ticket #819 (closed 改善提案: 修正済)
パスワードのハッシュ暗号化の強化
| Reported by: | AMUAMU | Owned by: | AMUAMU |
|---|---|---|---|
| Priority: | 低 | Milestone: | EC-CUBE2.11.0 |
| Component: | フロント | Version: | 2.4.4 |
| Keywords: | Cc: | ||
| 修正済み: |
Description
現在のパスワード暗号化のsalt値としては、サイト内固定のAUTH_MAGIC値を使っているが、セキュリティ向上の為にはアカウント単位に発行した値とAUTH_MAGICを組み合わせてハッシュ暗号化するのが望ましいと思われる。 (多くのパッケージでもこの形式での暗号化が近年は主流)
各アカウント毎のレコードに必ず含まれるsecret_key値+AUTH_MAGIC値をsalt値として使うように変更するのが望ましいのではないか?
登録処理、パスワード変更(管理画面)並びにログイン処理への変更が必要。
Change History
comment:1 Changed 12 years ago by nanasess
- Milestone changed from EC-CUBE2.5.0beta to EC-CUBE2.6.0(仮)
comment:2 Changed 12 years ago by AMUAMU
- Owner changed from somebody to AMUAMU
- Status changed from new to assigned
comment:3 Changed 12 years ago by AMUAMU
- Milestone changed from EC-CUBE2.6.0(仮) to EC-CUBE2.5.0
r19986 にて修正。
dtb_customer、dtb_member共に同一のHMAC暗号化をした。 saltは別途設ける事とした。secret_keyは一意で別用途にも使われるため。 またAUTH_MAGIC値が固定値だったのもセキュリティ的に問題なのでインストール時生成に修正。
Note: See
TracTickets for help on using
tickets.
