かなりの初心者です。

初歩的な質問かもしれませんが、
「install.inc」というファイルはインストール後もそのままですか？

ブラウザから直接開くとサーバの情報とかが見えてしまうのですが、
セキュリティ上、問題はないのでしょうか？

よろしくお願いします。

To TUCK様

saratogaです。

apache の場合ですが、DocumentRoot が eccube{バージョン番号}/html に
なっていれば、eccube{バージョン番号}/data 配下のファイルは
ブラウザから直接参照できないと思います。
(eccube{バージョン番号}/html 配下のスクリプトから読み込まれます)

install.inc は eccube{バージョン番号}/data 配下のファイルなので、
その辺の設定を見直してみてはいかがでしょうか。

私が勘違いしていましたらご指摘下さいませ。

以上、よろしくお願いします。

うーん、ルートディレクトリより深い階層に
インストールした場合には確かに見れちゃいますね

phpファイルにするなり、もろもろ変更したほうが良いかな。

.htaccess に下記を追記するのはどうでしょう？
*.inc ファイルはすべてアクセス禁止にできます。

<Files ~ "^.*.inc$">
Order allow,deny
Deny from all
Satisfy All
</Files>

data 配下のファイルで、見られたら危険なものって
*.inc ファイル以外にどのくらいありそうでしょうか。

Smarty の template ファイルも見られると嫌ですよね。
あっ、でも html/user_data 配下にも *.tpl ファイルが
あるので、Smarty 使う場合は意識しなくていいのかな？
(Smartyは使い始めたばかりで、ポリシーがまだ曖昧・・・)

今から構成変更は大変だと思うので、私も nanasess さんの
言われているように、.htaccess で危険を排除する方法に賛成です。

引用：

よくよく考えてみれば、 data 配下を Web からアクセス可能なディレクトリに配置する場合、 *.inc のみといわず、 data 配下すべてを .htaccess でアクセス禁止にしてしまう方が良さそうですね。

通常の方法でインストールした場合でも .htaccess ファイルの存在は悪影響を及ぼさないので、デフォルトで追加しておいても良いのではないでしょうか？ >> 株式会社ロックオン様

みなさま、ご返答ありがとうございます。

nanasessさまのとおり、.htaccessにてアクセス制限をして対応してみます。

今後もよろしくお願いします！

どうも中川です。
こちら今更のレスで申し訳ないです。

セキュリティチェック用のプログラムを開発したいと思います。
以下の対策で進めたいと思います。

▽既存のバージョン用の対策

下記をモジュール管理の機能として提供
・install.incをチェックして置き換える機能
・ID/PASSをチェックして警告（とりあえずadmin/passwordでないか）
・dataが公開以下に存在しないかチェックして警告

▽新規のバージョンでの対策

・install.incは、install_inc.phpなどの名称に変更
・data/配下に.htaccessを設置して配布

他にもセキュリティ的に、対策しておいた方がよいような
項目があれば、アドバイスいただけますと幸いです。

引用：

こちら大変、遅くなりましたがリリース致しました。
モジュール管理より実施していただけます。

新規バージョンでの対策は1.3.0に間に合いませんでしたので、
早めにリリースさせていただきたいと思います。