質問 > その他 > install.incはそのまま? |
その他
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
TUCK |
投稿日時: 2006/12/29 2:25
対応状況: −−−
|
新米 登録日: 2006/12/29 居住地: HOKKAIDO 投稿: 2 |
install.incはそのまま? かなりの初心者です。
初歩的な質問かもしれませんが、 「install.inc」というファイルはインストール後もそのままですか? ブラウザから直接開くとサーバの情報とかが見えてしまうのですが、 セキュリティ上、問題はないのでしょうか? よろしくお願いします。 |
saratoga |
投稿日時: 2006/12/29 2:39
対応状況: −−−
|
一人前 登録日: 2006/9/22 居住地: 大阪 投稿: 76 |
Re: install.incはそのまま? To TUCK様
saratogaです。 apache の場合ですが、DocumentRoot が eccube{バージョン番号}/html に なっていれば、eccube{バージョン番号}/data 配下のファイルは ブラウザから直接参照できないと思います。 (eccube{バージョン番号}/html 配下のスクリプトから読み込まれます) install.inc は eccube{バージョン番号}/data 配下のファイルなので、 その辺の設定を見直してみてはいかがでしょうか。 私が勘違いしていましたらご指摘下さいませ。 以上、よろしくお願いします。 |
pineray |
投稿日時: 2006/12/29 22:34
対応状況: −−−
|
長老 登録日: 2006/9/9 居住地: 伊賀 投稿: 292 |
Re: install.incはそのまま? うーん、ルートディレクトリより深い階層に
インストールした場合には確かに見れちゃいますね phpファイルにするなり、もろもろ変更したほうが良いかな。 |
nanasess |
投稿日時: 2006/12/29 23:28
対応状況: −−−
|
神 登録日: 2006/9/9 居住地: 投稿: 2314 |
Re: install.incはそのまま? .htaccess に下記を追記するのはどうでしょう?
*.inc ファイルはすべてアクセス禁止にできます。 <Files ~ "^.*.inc$"> Order allow,deny Deny from all Satisfy All </Files> |
saratoga |
投稿日時: 2006/12/30 0:03
対応状況: −−−
|
一人前 登録日: 2006/9/22 居住地: 大阪 投稿: 76 |
Re: install.incはそのまま? data 配下のファイルで、見られたら危険なものって
*.inc ファイル以外にどのくらいありそうでしょうか。 Smarty の template ファイルも見られると嫌ですよね。 あっ、でも html/user_data 配下にも *.tpl ファイルが あるので、Smarty 使う場合は意識しなくていいのかな? (Smartyは使い始めたばかりで、ポリシーがまだ曖昧・・・) 今から構成変更は大変だと思うので、私も nanasess さんの 言われているように、.htaccess で危険を排除する方法に賛成です。 |
nanasess |
投稿日時: 2006/12/30 0:44
対応状況: −−−
|
神 登録日: 2006/9/9 居住地: 投稿: 2314 |
Re: install.incはそのまま? 引用:
よくよく考えてみれば、 data 配下を Web からアクセス可能なディレクトリに配置する場合、 *.inc のみといわず、 data 配下すべてを .htaccess でアクセス禁止にしてしまう方が良さそうですね。 通常の方法でインストールした場合でも .htaccess ファイルの存在は悪影響を及ぼさないので、デフォルトで追加しておいても良いのではないでしょうか? >> 株式会社ロックオン様 |
TUCK |
投稿日時: 2006/12/30 10:23
対応状況: −−−
|
新米 登録日: 2006/12/29 居住地: HOKKAIDO 投稿: 2 |
Re: install.incはそのまま? みなさま、ご返答ありがとうございます。
nanasessさまのとおり、.htaccessにてアクセス制限をして対応してみます。 今後もよろしくお願いします! |
naka |
投稿日時: 2007/4/6 9:29
対応状況: −−−
|
EC-CUBE開発チーム 登録日: 2006/9/8 居住地: 大阪市北区 投稿: 61 |
Re: install.incはそのまま? どうも中川です。
こちら今更のレスで申し訳ないです。 セキュリティチェック用のプログラムを開発したいと思います。 以下の対策で進めたいと思います。 ▽既存のバージョン用の対策 下記をモジュール管理の機能として提供 ・install.incをチェックして置き換える機能 ・ID/PASSをチェックして警告(とりあえずadmin/passwordでないか) ・dataが公開以下に存在しないかチェックして警告 ▽新規のバージョンでの対策 ・install.incは、install_inc.phpなどの名称に変更 ・data/配下に.htaccessを設置して配布 他にもセキュリティ的に、対策しておいた方がよいような 項目があれば、アドバイスいただけますと幸いです。 |
naka |
投稿日時: 2007/4/10 21:16
対応状況: −−−
|
EC-CUBE開発チーム 登録日: 2006/9/8 居住地: 大阪市北区 投稿: 61 |
Re: install.incはそのまま? 引用:
こちら大変、遅くなりましたがリリース致しました。 モジュール管理より実施していただけます。 新規バージョンでの対策は1.3.0に間に合いませんでしたので、 早めにリリースさせていただきたいと思います。 |
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | トップ |