バージョン選択

フォーラム

メニュー

オンライン状況

82 人のユーザが現在オンラインです。 (68 人のユーザが フォーラム を参照しています。)
登録ユーザ: 1
ゲスト: 81
red もっと...

サイト内検索

その他 > その他 > 管理者ページのアクセス制御について【注意喚起】

その他

新規スレッドを追加する

スレッド表示 | 新しいものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
patapata
投稿日時: 2010/12/9 21:30
対応状況: −−−
仙人
登録日: 2010/7/7
居住地: 神奈川県
投稿: 502
管理者ページのアクセス制御について【注意喚起】
対岸の火と放置しようかとも思いましたが、多数のサイトが引っかかってますので注意喚起として掲載させていただきます。

サイト管理者様へ
ECCUBEの管理者画面は、セキュリティ向上の為、必ずアクセス制限等を行うようにしてください。

自身のドメイン/admin/
で誰でもアクセス可能だとか・・・

検索サイトにて
「EC 管理者画面」などや「サイト名 管理者画面」で
検索ヒットするだとか・・・

は、セキュリティ上大変好ましくありません。
またその際、上記に該当される場合は、ID・パスワードは、既にばれているものと考え、必ず変更してください。

セキュリティについて詳しくなく、自身のサイトが心配な方は、代理店などに依頼し適切な審査をお願いすることをオススメします。
AMUAMU
投稿日時: 2010/12/10 12:12
対応状況: −−−
登録日: 2009/5/2
居住地: 東京都
投稿: 2712
Re: 管理者ページのアクセス制御について【注意喚起】
個人的には喚起を大袈裟にすることなのかな・・・?という気もします。

もちろんセキュリティ向上としてはアクセス制限などを掛けるのが好ましいのは間違いありません。

ですが、『「制限が掛かっていない」=「ID・パスワードは、既にばれているものと考え(以下略」』のような正しくない過剰な喧伝もよくないと思います(注意喚起を謳うため過剰な表現を使っているのは分かりますが・・・)。

色々なスキルレベルの方、利用方法の方が多数いるコミュニティでの必要以上の煽動は慎むと良いと思います。

またIDS、IPS、WAF等が導入されていてパスワード総当たりアタックなどの攻撃対策をしているサイトもあると思います。
そのようなサイトの場合、必ずしも管理画面をオープンにしているからといって危険とは言えないと思います。

ご指摘のことより、別のもっと危険な利用をされているサイトは多く、以前より問題になっています。
過去のコミュニティでも話題に上がっているのでご存知の方も多いと思いますが、例えば非公開ディレクトリへの設置を推奨しているdataディレクトリの公開や、セキュリティ脆弱性を放置した古いバージョン利用のままのサイト等です。

一つ一つを取り上げて煽動を行うのではなく、色々な意味(技術、セキュリティ、マーケティング、評判、etc)でのトータルでのバランスを考慮していくことが必要かと思います。


----------------
EC-CUBE公式エヴァンジェリスト
EC-CUBEインテグレートパートナー (株)スピリット・オブ
移転・拡張・高速化・問題解決
各種カスタマイズ・支援依頼承ります。

[url=h

Masashige
投稿日時: 2010/12/10 13:48
対応状況: −−−
長老
登録日: 2009/4/1
居住地:
投稿: 200
Re: 管理者ページのアクセス制御について【注意喚起】
以前お話をいただいたお客様が、構築した制作会社から
「バージョンアップしないでください」と言われたという
ことでした(ちなみにVer.1の頃)。

そういった会社がどのくらいあるのかはわかりませんが、
脆弱性を放置されているサイトは結構あるんじゃないか
と思います。多分、そういうトコが先に狙われるんじゃ
ないかなぁと。そういうサイトの方はココ見てない気も
しますが…。

あと、「アクセス制限」は「Basic認証」のことかな?と
感じたんですが、Basic認証は強度的に弱かった気がします。
EC-CUBEへのログインID・パスワードと同じものをBasic認証にも
設定した場合、総合的に見てどうなるのかなぁ、と少し
思いました。Basic認証はほとんど使ったことないので
あんまり自信ないですが。アクセスされる前に蹴るのは
賛成です、念の為。


セキュリティは「これだけやっとけばOK」というのがないかと
思いますが、取り急ぎ、管理画面のテンプレートにはデフォルトで

<meta name='robots' content='noindex,nofollow' />

あたり入れといた方がいいのかな、と思いました。
patapata
投稿日時: 2010/12/10 14:24
対応状況: −−−
仙人
登録日: 2010/7/7
居住地: 神奈川県
投稿: 502
Re: 管理者ページのアクセス制御について【注意喚起】
設置の簡易さを謳った結果がコレなのであれば、その末路も想像できます。
このような状態では、EC-CUBEサイトは悪意を持ったユーザにとってはタダの餌場です。

管理者ページをオープンにするのは、しょうがない場合もあります。しかし最低限、デフォルトのままで使用せず、URLを変更して入り口は隠しましょうね。
popo
投稿日時: 2010/12/10 15:08
対応状況: −−−
長老
登録日: 2008/10/1
居住地:
投稿: 189
Re: 管理者ページのアクセス制御について【注意喚起】
問題提起(指摘)だけでは不正アクセスを助長させるだけになる可能性があるので、もっと具体的に対策の提案なんかもしておいた方が良いのでは?

「admin」以下をhtaccessでIP制限させた方が良いとか。
URL変更する場合は、どこを変更すれば良いとか。
(直接フォルダ名を変更するだけで良かったかな?)

知識や技術がある人は簡単にできるのですが、あまり知識がなかったりEC-CUBEを触り始めた人は、どこを触った方が良いのか分からない事もありますので。
KAJI
投稿日時: 2010/12/10 18:02
対応状況: −−−
一人前
登録日: 2008/1/24
居住地:
投稿: 121
Re: 管理者ページのアクセス制御について【注意喚起】
株式会社ロックオンの梶原でございます。
毎度、EC-CUBEをご利用いただき、ありがとうございます。

本件につきまして、一部、不正アクセスを助長する 可能性 のある
記載がございましたので、
その部分のみ削除させていただきました。

話の腰を折るようで大変申し訳ございませんが、掲示板管理者
として、EC-CUBEユーザ様へのリスクヘッジを行うのも役目で
ございますので、何卒ご容赦くださいませ。

是非、管理画面のより強固なセキュリティを実現できるような、
建設的なご意見にて進めていただけますと助かります!

それでは、今後ともEC-CUBEをどうぞよろしくお願い致します。
AMUAMU
投稿日時: 2010/12/10 19:13
対応状況: −−−
登録日: 2009/5/2
居住地: 東京都
投稿: 2712
Re: 管理者ページのアクセス制御について【注意喚起】
>そういった会社がどのくらいあるのかはわかりませんが、
>脆弱性を放置されているサイトは結構あるんじゃないか
>と思います。多分、そういうトコが先に狙われるんじゃ
>ないかなぁと。そういうサイトの方はココ見てない気も
>しますが…。

そういうEC-CUBEのサイトを探して直接アプローチを片っ端からしている業者さんがいる話も聞いたことあります
半分脅しのような文言があったりするらしく、嫌な感じですが・・・(苦笑

>あと、「アクセス制限」は「Basic認証」のことかな?と
>感じたんですが、Basic認証は強度的に弱かった気がします。

Basic認証は信頼に足らないです。固定IPアドレスでの制限が現実的な範囲かと思います。

テンプレートへのrobots文の追加は2.5でしたいですね


----------------
EC-CUBE公式エヴァンジェリスト
EC-CUBEインテグレートパートナー (株)スピリット・オブ
移転・拡張・高速化・問題解決
各種カスタマイズ・支援依頼承ります。

[url=h

AMUAMU
投稿日時: 2010/12/10 19:15
対応状況: −−−
登録日: 2009/5/2
居住地: 東京都
投稿: 2712
Re: 管理者ページのアクセス制御について【注意喚起】
重要な部分は2.5でチケットがいくつか上がっていますので、良くなるようにしたいですね
一応、セキュリティ関係のチケットを担当して消化しようかなとは考えています。


----------------
EC-CUBE公式エヴァンジェリスト
EC-CUBEインテグレートパートナー (株)スピリット・オブ
移転・拡張・高速化・問題解決
各種カスタマイズ・支援依頼承ります。

[url=h

patapata
投稿日時: 2010/12/10 23:30
対応状況: −−−
仙人
登録日: 2010/7/7
居住地: 神奈川県
投稿: 502
Re: 管理者ページのアクセス制御について【注意喚起】
教えるのもなかなか難しいですね。

株式会社ロックオン様 or コミッター様
最低限metaタグ記入によるクローラ排除ぐらいは、入れてあげてください。
正直気づいていて、黙っているのは忍びなかったので。
seasoft
投稿日時: 2010/12/11 11:51
対応状況: −−−
登録日: 2008/6/4
居住地:
投稿: 7365
Re: 管理者ページのアクセス制御について【注意喚起】
私も、追加での認証の要否などは、利用者(運営者)が判断していく事だと思います。

EC-CUBE の開発プロジェクト・コミュニティとしては、むしろそういった追加設定を必要とせずに、アプリケーションのみでも一定のセキュリティを確保できる方向を目指して行きたいですね。

patapata 様の提起されている、セキュリティ対策に関しまして、技術的な観点では賛同ですが。


なお、脆弱性に関わる告知は、いきなり個人的に発信するのではなく、開発元や適切な第三者機関(独立行政法人 情報処理推進機構 セキュリティセンター (IPA/ISEC) など)と連携して、手順を踏んで公開していく方が効果的な場合も多いです。今後はそういった方法も検討すると良いのではないかと感じました。


----------------
Seasoft
こちらでの投稿は、アイディア程度に留めさせていただいております。
個別案件の作業は有償で承っております。お気軽にご相談ください。

(1) 2 »
スレッド表示 | 新しいものから 前のトピック | 次のトピック | トップ


 



ログイン


EC-CUBE公式 Amazon Payプラグイン

統計情報

総メンバー数は88,291名です
総投稿数は109,691件です

投稿数ランキング

1
seasoft
7365
2
468
3217
3
AMUAMU
2712
4
nanasess
2303
5
umebius
2085
6
yuh
1818
7
h_tanaka
1610
8
red
1568
9
mcontact
1240
10
tsuji
958
11
fukap
907
12
shutta
835
13
tao_s
796
14 ramrun 789
15 karin 689
16 sumida 641
17
homan
633
18 DELIGHT 572
19
patapata
502
20
flealog
485


ネットショップの壺

EC-CUBEインテグレートパートナー

Copyright© EC-CUBE CO.,LTD. All Rights Reserved.