バージョン選択

フォーラム

メニュー

オンライン状況

56 人のユーザが現在オンラインです。 (44 人のユーザが フォーラム を参照しています。)
登録ユーザ: 1
ゲスト: 55
tattsu もっと...

サイト内検索

質問 > フロント機能 > sha1が暗号化に利用されている

フロント機能

新規スレッドを追加する

スレッド表示 | 新しいものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
chajima
投稿日時: 2017/1/31 14:18
対応状況: −−−
新米
登録日: 2017/1/31
居住地:
投稿: 7
sha1が暗号化に利用されている
【ファイル】
\src\Eccube\Application.php

543行目にsha1で暗号化してる箇所を発見しましたが、これはセキュリティ的に大丈夫なんですかね?
'remember_me' => array(
'key' => sha1($this['config']['auth_magic']),
'name' => $this['config']['cookie_name'].'_rememberme',
// lifetimeはデフォルトの1年間にする
// 'lifetime' => $this['config']['cookie_lifetime'],
'path' => $this['config']['root_urlpath'] ?: '/',
'secure' => $this['config']['force_ssl'],
'httponly' => true,
'always_remember_me' => false,
'remember_me_parameter' => 'l
tao_s
投稿日時: 2017/1/31 15:26
対応状況: −−−
仙人
登録日: 2008/8/20
居住地: 東京
投稿: 796
Re: sha1が暗号化に利用されている
実害がすぐに出るものでは無さそうですが、あんまりよろしく無いですね。
報告しときます。


----------------
EC-CUBEカスタマイズ相談してください。
緊急のEC-CUBEの障害対応
EC-CUBEカスタマイズブログ

chajima
投稿日時: 2017/2/1 9:55
対応状況: −−−
新米
登録日: 2017/1/31
居住地:
投稿: 7
Re: sha1が暗号化に利用されている
ご判断にお任せします。
一応「sha1」のgrep結果を貼っておきます。

src\Eccube\Application.php(543,30) [UTF-8]: 'key' => sha1($this['config']['auth_magic']),
src\Eccube\Controller\Admin\Store\PluginController.php(186,32) [UTF-8]: $tmpFile = sha1(Str::random(32)).'.'.$formFile->getClientOriginalExtension();
src\Eccube\Controller\Admin\Store\PluginController.php(356,32) [UTF-8]: $tmpFile = sha1(Str::random(32)).'.'.$formFile->getClientOriginalExtension(); // 拡張子を付けないとpharが動かないので付ける
src\Eccube\Controller\Admin\Store\PluginController.php(555,40) [UTF-8]: $tmpFile = sha1(Str::random(32)).'.'.$extension;
src\Eccube\Controller\Admin\Store\TemplateController.php(124,19) [UTF-8]: $uniqId = sha1(Str::random(32));
src\Eccube\Controller\Admin\Store\TemplateController.php(248,27) [UTF-8]: $uniqId = sha1(Str::random(32));
src\Eccube\Log\Monolog\Helper\LogHelper.php(126,56) [UTF-8]: $record['session_id'] = substr(sha1($sessionId), 0, 8);
src\Eccube\Security\Core\Encoder\PasswordEncoder.php(84,25) [UTF-8]: $hash = sha1($raw . ':' . $this->config['auth_magic']);
src\Eccube\Service\PluginService.php(86,63) [UTF-8]: $d = ($this->app['config']['plugin_temp_realdir'].'/'.sha1(Str::random(16)));
src\Eccube\Service\ShoppingService.php(133,27) [UTF-8]: $preOrderId = sha1(Str::random(32));
eccube_admin
投稿日時: 2017/2/1 17:32
対応状況: −−−
管理人
登録日: 2006/9/6
居住地:
投稿: 157
Re: sha1が暗号化に利用されている
EC-CUBE運営チームでございます。

本件、ご報告ありがとうございます。

ただ、セキュリティ関連のご連絡に関しましては、EC-CUBE運営チームへ直接ご連絡いただければありがたいと思います。
(特に緊急度が高いものなどを発見された場合、一般公開せずに、まずはご連絡をお願いします)

ご連絡先はこちらです。
https://www.ec-cube.net/contact/

それでは、引き続き、よろしくお願いいたします!
chajima
投稿日時: 2017/2/1 18:37
対応状況: −−−
新米
登録日: 2017/1/31
居住地:
投稿: 7
Re: sha1が暗号化に利用されている
失礼いたしました。
よくわかっておらず、本掲示板を使ってしまいました。
また、利用方法のご教示ありがとうございます。

本件了解いたしました!
今後気をつけます。

以上、よろしくお願いいたします。
nanasess
投稿日時: 2017/2/2 10:32
対応状況: −−−
登録日: 2006/9/9
居住地:
投稿: 2303
Re: sha1が暗号化に利用されている
sha1 でパスワードをハッシュ化しているわけではないですし、単に重複しにくい値を生成しているだけなので危険性は少ないかなと。

余談ですが、PHP の session.hash_function のデフォルト値は 0 (MD5) なのですが、みなさん変更しているんでしょうか??
468
投稿日時: 2017/2/2 12:17
対応状況: −−−
登録日: 2008/10/26
居住地:
投稿: 3217
Re: sha1が暗号化に利用されている
自分はそこまで変更していないですね。


----------------
株式会社シロハチ
■ECCUBE2系、3系構築カスタマイズご相談ください。
EC-CUBE3マニュアル
blog

スレッド表示 | 新しいものから 前のトピック | 次のトピック | トップ


 



ログイン


EC-CUBE公式 Amazon Payプラグイン

統計情報

総メンバー数は88,282名です
総投稿数は109,688件です

投稿数ランキング

1
seasoft
7365
2
468
3217
3
AMUAMU
2712
4
nanasess
2303
5
umebius
2085
6
yuh
1818
7
h_tanaka
1610
8
red
1567
9
mcontact
1240
10
tsuji
958
11
fukap
907
12
shutta
835
13
tao_s
796
14 ramrun 789
15 karin 689
16 sumida 641
17
homan
633
18 DELIGHT 572
19
patapata
502
20
flealog
485


ネットショップの壺

EC-CUBEインテグレートパートナー

Copyright© EC-CUBE CO.,LTD. All Rights Reserved.