質問 > フロント機能 > sha1が暗号化に利用されている |
フロント機能
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
chajima |
投稿日時: 2017/1/31 14:18
対応状況: −−−
|
新米 登録日: 2017/1/31 居住地: 投稿: 7 |
sha1が暗号化に利用されている 【ファイル】
\src\Eccube\Application.php 543行目にsha1で暗号化してる箇所を発見しましたが、これはセキュリティ的に大丈夫なんですかね? 'remember_me' => array( 'key' => sha1($this['config']['auth_magic']), 'name' => $this['config']['cookie_name'].'_rememberme', // lifetimeはデフォルトの1年間にする // 'lifetime' => $this['config']['cookie_lifetime'], 'path' => $this['config']['root_urlpath'] ?: '/', 'secure' => $this['config']['force_ssl'], 'httponly' => true, 'always_remember_me' => false, 'remember_me_parameter' => 'l |
tao_s |
投稿日時: 2017/1/31 15:26
対応状況: −−−
|
仙人 登録日: 2008/8/20 居住地: 東京 投稿: 796 |
Re: sha1が暗号化に利用されている 実害がすぐに出るものでは無さそうですが、あんまりよろしく無いですね。
報告しときます。
|
chajima |
投稿日時: 2017/2/1 9:55
対応状況: −−−
|
新米 登録日: 2017/1/31 居住地: 投稿: 7 |
Re: sha1が暗号化に利用されている ご判断にお任せします。
一応「sha1」のgrep結果を貼っておきます。 src\Eccube\Application.php(543,30) [UTF-8]: 'key' => sha1($this['config']['auth_magic']), src\Eccube\Controller\Admin\Store\PluginController.php(186,32) [UTF-8]: $tmpFile = sha1(Str::random(32)).'.'.$formFile->getClientOriginalExtension(); src\Eccube\Controller\Admin\Store\PluginController.php(356,32) [UTF-8]: $tmpFile = sha1(Str::random(32)).'.'.$formFile->getClientOriginalExtension(); // 拡張子を付けないとpharが動かないので付ける src\Eccube\Controller\Admin\Store\PluginController.php(555,40) [UTF-8]: $tmpFile = sha1(Str::random(32)).'.'.$extension; src\Eccube\Controller\Admin\Store\TemplateController.php(124,19) [UTF-8]: $uniqId = sha1(Str::random(32)); src\Eccube\Controller\Admin\Store\TemplateController.php(248,27) [UTF-8]: $uniqId = sha1(Str::random(32)); src\Eccube\Log\Monolog\Helper\LogHelper.php(126,56) [UTF-8]: $record['session_id'] = substr(sha1($sessionId), 0, 8); src\Eccube\Security\Core\Encoder\PasswordEncoder.php(84,25) [UTF-8]: $hash = sha1($raw . ':' . $this->config['auth_magic']); src\Eccube\Service\PluginService.php(86,63) [UTF-8]: $d = ($this->app['config']['plugin_temp_realdir'].'/'.sha1(Str::random(16))); src\Eccube\Service\ShoppingService.php(133,27) [UTF-8]: $preOrderId = sha1(Str::random(32)); |
eccube_admin |
投稿日時: 2017/2/1 17:32
対応状況: −−−
|
管理人 登録日: 2006/9/6 居住地: 投稿: 157 |
Re: sha1が暗号化に利用されている EC-CUBE運営チームでございます。
本件、ご報告ありがとうございます。 ただ、セキュリティ関連のご連絡に関しましては、EC-CUBE運営チームへ直接ご連絡いただければありがたいと思います。 (特に緊急度が高いものなどを発見された場合、一般公開せずに、まずはご連絡をお願いします) ご連絡先はこちらです。 https://www.ec-cube.net/contact/ それでは、引き続き、よろしくお願いいたします! |
chajima |
投稿日時: 2017/2/1 18:37
対応状況: −−−
|
新米 登録日: 2017/1/31 居住地: 投稿: 7 |
Re: sha1が暗号化に利用されている 失礼いたしました。
よくわかっておらず、本掲示板を使ってしまいました。 また、利用方法のご教示ありがとうございます。 本件了解いたしました! 今後気をつけます。 以上、よろしくお願いいたします。 |
nanasess |
投稿日時: 2017/2/2 10:32
対応状況: −−−
|
神 登録日: 2006/9/9 居住地: 投稿: 2303 |
Re: sha1が暗号化に利用されている sha1 でパスワードをハッシュ化しているわけではないですし、単に重複しにくい値を生成しているだけなので危険性は少ないかなと。
余談ですが、PHP の session.hash_function のデフォルト値は 0 (MD5) なのですが、みなさん変更しているんでしょうか?? |
468 |
投稿日時: 2017/2/2 12:17
対応状況: −−−
|
神 登録日: 2008/10/26 居住地: 投稿: 3217 |
Re: sha1が暗号化に利用されている 自分はそこまで変更していないですね。
|
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | トップ |