お世話になっています

EC-CUBEオフィシャルサイトの構築事例に掲載されているあるサイトで、
apacheの設定ミスで/data/以下が丸見え状態となっていて
DBのIDとパスワード、管理画面のログインID、セッションID等が
丸見え状態のサイトがありました
あと、mysqlのポート(3306)も外部へオープン状態でログインを受け付ける状態でもありました

現在、サイトを稼働中の方は一度確認された方よいかもしれません

上記のサイトにはコンサルティング会社へメールにて指摘しており、
現在は問題ないようです

EC-CUBEはITに精通していない人でも、
サーバをレンタルして構築している方もいます
たとえば、私は農業従事者ですが、知人の農家の方は、
自分で１からコンピュータを勉強して、サーバをレンタルしてインストールして開店準備を進めています
コンピュータに詳しくない方でも開店できる敷居の低さは良いことですが、
これが仇になって、今回のようなセキュリティミスも今後発生するかもしれません
私の知人も/data以下が丸見えでした

インストール後、install.phpは削除するようメッセージが出ますが、
インストール完了画面で
/data/は外部から参照出来ないようにapacheの設定を確認させるメッセージ等を表示してもいいのではないのでしょうか？
/html/install/も第3者に参照させる必要は無いので、
このディレクトリ毎削除させるようなメッセージもほしいところです

補足
mysqlはデフォルトでバインドアドレスがALLかな？
外部からアクセスしないのであれば
設定ファイルで
[mysqld]
bind-address = 127.0.0.1
とした方がいいかな

postgresqlはデフォルトで127.0.0.1なんだけどな

----------------
********************************
[OS]Linux (kernel 2.6.24 ubuntu)
[EC-CUBE] 2.3.3
[PHP] 5.2.9
[db] postgresql8.3.7
[WebServer] apache 2.2.14
********************************

最近の初級者の方々の増加ぶりを考えると、悪評が広がらないようにするためにも、こういう機能も必要かもしれませんね。

といっても、ちょっと面倒な部分ではありますが、忘れられないようにと新規機能として下記チケットを発行しました。
http://svn.ec-cube.net/open_trac/ticket/552

JavaScript等でクライアントのブラウザを経由させないとディレクトリ公開の有無ってわからないですよね？
何か良い方法ありますかね・・・？

ＤＢのポートオープンもその気になればJavascript等からチェック可能ですが、開発環境では開ける場合もあるでしょうし、さすがにEC-CUBE単体から考えはじめるとキリが無い気はします

----------------
EC-CUBE公式エヴァンジェリスト
EC-CUBEインテグレートパートナー (株)スピリット・オブ
移転・拡張・高速化・問題解決
各種カスタマイズ・支援依頼承ります。
[url=h

無理に/dataのアクセス権限をphpからチェックする必要は無いかと思います
例えば、インストール完了画面で

「Security Information
/dataがブラウザで確認できないことを確認してください
外部からデータベースを接続しない場合は、PORTを開かないで下さい」

等のメッセージを出すか
「マニュアルサイトにセキュリティに関する確認項目を盛り込む」等の対応でよいかと思います

/data,portオープンの件以外にも
今回のサイトではDBパスワードに電話番号を使用していました
ソフトウエアを生業としている方は、非常識であると理解していると思いますが、
EC-CUBEのオーナーの方はソフトウェアに精通していない方がほとんどだと思います
上記のパスワードが問題であることにも気づけないのが現状だと思いますので、
このような簡単なレベルもマニュアルのセキュリティチェック項目の確認事項として明記すべきでは？と思います

----------------
********************************
[OS]Linux (kernel 2.6.24 ubuntu)
[EC-CUBE] 2.3.3
[PHP] 5.2.9
[db] postgresql8.3.7
[WebServer] apache 2.2.14
********************************