その他 > その他 > オフィシャルサイトで紹介されているサイトでDBのID/パスワード等が見れるページがあったので注意 |
その他
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
saitoh |
投稿日時: 2009/10/9 15:29
対応状況: 解決済
|
新米 登録日: 2009/1/28 居住地: 投稿: 7 |
オフィシャルサイトで紹介されているサイトでDBのID/パスワード等が見れるページがあったので注意 お世話になっています
EC-CUBEオフィシャルサイトの構築事例に掲載されているあるサイトで、 apacheの設定ミスで/data/以下が丸見え状態となっていて DBのIDとパスワード、管理画面のログインID、セッションID等が 丸見え状態のサイトがありました あと、mysqlのポート(3306)も外部へオープン状態でログインを受け付ける状態でもありました 現在、サイトを稼働中の方は一度確認された方よいかもしれません 上記のサイトにはコンサルティング会社へメールにて指摘しており、 現在は問題ないようです EC-CUBEはITに精通していない人でも、 サーバをレンタルして構築している方もいます たとえば、私は農業従事者ですが、知人の農家の方は、 自分で1からコンピュータを勉強して、サーバをレンタルしてインストールして開店準備を進めています コンピュータに詳しくない方でも開店できる敷居の低さは良いことですが、 これが仇になって、今回のようなセキュリティミスも今後発生するかもしれません 私の知人も/data以下が丸見えでした インストール後、install.phpは削除するようメッセージが出ますが、 インストール完了画面で /data/は外部から参照出来ないようにapacheの設定を確認させるメッセージ等を表示してもいいのではないのでしょうか? /html/install/も第3者に参照させる必要は無いので、 このディレクトリ毎削除させるようなメッセージもほしいところです 補足 mysqlはデフォルトでバインドアドレスがALLかな? 外部からアクセスしないのであれば 設定ファイルで [mysqld] bind-address = 127.0.0.1 とした方がいいかな postgresqlはデフォルトで127.0.0.1なんだけどな
|
AMUAMU |
投稿日時: 2009/10/9 23:07
対応状況: −−−
|
神 登録日: 2009/5/2 居住地: 東京都 投稿: 2712 |
Re: オフィシャルサイトで紹介されているサイトでDBのID/パスワード等が見れるページがあったので注意 最近の初級者の方々の増加ぶりを考えると、悪評が広がらないようにするためにも、こういう機能も必要かもしれませんね。
といっても、ちょっと面倒な部分ではありますが、忘れられないようにと新規機能として下記チケットを発行しました。 http://svn.ec-cube.net/open_trac/ticket/552 JavaScript等でクライアントのブラウザを経由させないとディレクトリ公開の有無ってわからないですよね? 何か良い方法ありますかね・・・? DBのポートオープンもその気になればJavascript等からチェック可能ですが、開発環境では開ける場合もあるでしょうし、さすがにEC-CUBE単体から考えはじめるとキリが無い気はします
|
saitoh |
投稿日時: 2009/10/10 9:45
対応状況: −−−
|
新米 登録日: 2009/1/28 居住地: 投稿: 7 |
Re: オフィシャルサイトで紹介されているサイトでDBのID/パスワード等が見れるページがあったので注意 無理に/dataのアクセス権限をphpからチェックする必要は無いかと思います
例えば、インストール完了画面で 「Security Information /dataがブラウザで確認できないことを確認してください 外部からデータベースを接続しない場合は、PORTを開かないで下さい」 等のメッセージを出すか 「マニュアルサイトにセキュリティに関する確認項目を盛り込む」等の対応でよいかと思います /data,portオープンの件以外にも 今回のサイトではDBパスワードに電話番号を使用していました ソフトウエアを生業としている方は、非常識であると理解していると思いますが、 EC-CUBEのオーナーの方はソフトウェアに精通していない方がほとんどだと思います 上記のパスワードが問題であることにも気づけないのが現状だと思いますので、 このような簡単なレベルもマニュアルのセキュリティチェック項目の確認事項として明記すべきでは?と思います
|
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | トップ |