バージョン選択

フォーラム

メニュー

オンライン状況

77 人のユーザが現在オンラインです。 (66 人のユーザが フォーラム を参照しています。)
登録ユーザ: 1
ゲスト: 76
kubetninja もっと...

サイト内検索

質問 > その他 > セッション終了処理が適切に行われない

その他

新規スレッドを追加する

スレッド表示 | 新しいものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
gfcph
投稿日時: 2021/7/16 11:46
対応状況: −−−
半人前
登録日: 2021/7/16
居住地:
投稿: 29
セッション終了処理が適切に行われない
▼テンプレート
[EC-CUBE]4.0.4、新規インストール
[レンタルサーバ]さくらのレンタルサーバー
[OS] FreeBSD
[PHP] 7.4.10
[データベース] MySQL 5.7.32
[WEBサーバ] Apache
[ブラウザ]chrome
[導入プラグインの有無]複数
[現象]

ログイン時に「次回から自動的にログインする」にチェックして
ログインすることで発行されるCookie(eccube_remember_me)について、
ログアウトを行ってもセッション終了処理が行われていないようです。
(プラグインやカスタマイズが影響しているのかと考えましたが
デモサイトでも同様でした)

そのため、セッション情報が漏えいすることで、
なりすましが行われる可能性があると思うのですが、
この対応策は各々がカスタマイズ等を行い対策しているのでしょうか?

もしその場合、実装方法をご教示いただけますでしょうか。
(セキュリティ的にもなるべく早く対応したいと考えております)
宜しくお願い致します。
gfcph
投稿日時: 2021/7/28 15:49
対応状況: −−−
半人前
登録日: 2021/7/16
居住地:
投稿: 29
Re: セッション終了処理が適切に行われない
メモ

https://a-zumi.net/ec-cube4-invalidate_session/
を参考にeccube_remember_meのセッションも破棄できないか


https://umebius.com/eccube/eccube4_handler_on_logout/
これの処理部にクッキー破棄の処理を入れられるか
gfcph
投稿日時: 2021/7/29 15:47
対応状況: −−−
半人前
登録日: 2021/7/16
居住地:
投稿: 29
Re: セッション終了処理が適切に行われない
上記サイトを参考にし、EccubeLogoutSuccessHandlerに

---
public function onLogoutSuccess(\Symfony\Component\HttpFoundation\Request $request)
{
$cookieName = 'eccube_remember_me';
$request->headers->clearCookie( $cookieName );

$referer = $request->headers->get('referer');
return new RedirectResponse($referer);
}
---
と記述したのですがシステムエラーが発生しうまくいきません。
どなたかご教示いただけますでしょうか・・。
スレッド表示 | 新しいものから 前のトピック | 次のトピック | トップ


 



ログイン


EC-CUBE公式 Amazon Payプラグイン

統計情報

総メンバー数は88,308名です
総投稿数は109,692件です

投稿数ランキング

1
seasoft
7365
2
468
3217
3
AMUAMU
2712
4
nanasess
2303
5
umebius
2085
6
yuh
1818
7
h_tanaka
1610
8
red
1568
9
mcontact
1240
10
tsuji
958
11
fukap
907
12
shutta
835
13
tao_s
796
14 ramrun 789
15 karin 689
16 sumida 641
17
homan
633
18 DELIGHT 572
19
patapata
502
20
flealog
485


ネットショップの壺

EC-CUBEインテグレートパートナー

Copyright© EC-CUBE CO.,LTD. All Rights Reserved.