その他 > バージョンアップ > 【総合】2.11.0へのバージョンアップについて |
バージョンアップ
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
AMUAMU |
投稿日時: 2011/3/23 18:26
対応状況: −−−
|
神 登録日: 2009/5/2 居住地: 東京都 投稿: 2712 |
Re: 【総合】2.11.0へのバージョンアップについて はい、まさにそれらチケットです。
修正してコミットしたのは私なので・・・(汗 デフォルト暗号化をHMAC sha256にしましたが環境によって変わる場合があります。 詳しくはインストール処理を参考に。
|
shutta |
投稿日時: 2011/3/23 18:32
対応状況: −−−
|
仙人 登録日: 2010/2/4 居住地: 関西 投稿: 835 |
Re: 【総合】2.11.0へのバージョンアップについて 引用:
/html/install/index.php 中で、
となっているので、インストール時に方式が決定されるように変更になっていますね。 移行するのであれば、2.4系と同一になるように /data/config/config.php で、
のように、sha1を設定してやれば良さそうですね。
|
shutta |
投稿日時: 2011/3/23 18:44
対応状況: −−−
|
仙人 登録日: 2010/2/4 居住地: 関西 投稿: 835 |
Re: 【総合】2.11.0へのバージョンアップについて 引用:
あぁ、ご本人様でいらっしゃいましたね。(^^; チケットの担当者まで確認しておりませんでした。 引用:
同じスレッドの http://xoops.ec-cube.net/modules/newbb/viewtopic.php?topic_id=7662&post_id=37141&forum=15 にも記載しましたが、 新規インストール時に暗号化アルゴリズムが環境に合わせて決定されるようですね。 新規にインストールした際には、利用可能であれば通常はsha256になるようですが、移行ということであればconfig.phpのPASSWORD_HASH_ALGOSを2.4系と同じsha1に設定を上書きして、DBを移行してくればいけそうな気がしそうですが、どうでしょうかね。
|
shutta |
投稿日時: 2011/3/23 19:33
対応状況: −−−
|
仙人 登録日: 2010/2/4 居住地: 関西 投稿: 835 |
Re: 【総合】2.11.0へのバージョンアップについて 引用:
2.11では、HMAC方式を採用されているんですね。 上記のようにハッシュアルゴリズムを変更しても、 2.4系 sha1($password . ":" . AUTH_MAGIC); 2.11系 hash_hmac('sha1', $password . ":" . AUTH_MAGIC, $salt); となって、同じハッシュ値になりませんね。 パスワードに関してはこのままではデータ移行できそうにないですね。
|
homan |
投稿日時: 2011/3/23 19:46
対応状況: −−−
|
仙人 登録日: 2007/7/2 居住地: 宮崎県宮崎市 投稿: 633 |
Re: 【総合】2.11.0へのバージョンアップについて 引用:
なるほど、、ありがとうございます 基本的にセキュリティレベルが下がる方向にはしたくないのが本音ですが、万一移行したい!というお客様がいらっしゃる場合は、その辺の仕様をグレードダウンさせないといけないということですね。 もしくは、EC-CUBEとは違うパッケージをご利用でパスワードが暗号化されている場合、パスワードだけ振り直して差し込みメールで飛ばす(顧客数が多いとやりたくないですが・・・)という手法をとることもあると思いますが、それと同様の対応になるかもしれませんね。 ということは本当に似て非なるというよりも、違うパッケージだと思った方が良いのかもしれませんね
|
shutta |
投稿日時: 2011/3/23 21:33
対応状況: −−−
|
仙人 登録日: 2010/2/4 居住地: 関西 投稿: 835 |
Re: 【総合】2.11.0へのバージョンアップについて 引用:
セキュリティレベルはできるだけ避けないように、2.4(旧2.x)系からの移行も考慮した方法を検討していければと思います。 今、これでいけるんじゃないかと思っているのが、 2.11.0のSC_Utils.phpのsfIsMatchHashPasswordを、
から、
に変更すればどうかなぁと思いますがどうでしょうか? 通常saltが空になることは無いと思うので、空だった場合は旧バージョンから移行されたデータと見做してしまう感じです。 旧バージョンからデータ移行する場合は、パスワードハッシュはそのままで、saltを空にして移行します。 その際、旧バージョンのmtb_constants_init.phpにあるAUTH_MAGICの値を、2.11.0のconfig.phpに上書きも必要です。 これで、パスワードは移行できると思います。 移行後にパスワードを変更した際には、salt値が入力されHMAC方式のハッシュに更新されるはずですので、暗号化強化の実装も生きるかと思います。 どうでしょうか?
|
shutta |
投稿日時: 2011/3/23 21:39
対応状況: −−−
|
仙人 登録日: 2010/2/4 居住地: 関西 投稿: 835 |
Re: 【総合】2.11.0へのバージョンアップについて 引用:
自己訂正です。 上記は不正確で、AUTH_MAGICの値を変更することはあまり無いと思いますが、 キャッシュ(/data/cache/mtb_constants.php)の方の値が正ですね。
|
Yammy |
投稿日時: 2011/3/24 13:26
対応状況: −−−
|
半人前 登録日: 2008/2/18 居住地: 大阪 投稿: 30 |
Re: 【総合】2.11.0へのバージョンアップについて DB の移行機能ですが、移行専用ではなく、CSV で商品規格情報、会員情報、受注情報を取り込める汎用機能を追加しようと思います。
2.4系からは、上記機能の CSV レイアウトにあった形式でデータが出力できるようにします。
|
Yammy |
投稿日時: 2011/3/24 13:33
対応状況: −−−
|
半人前 登録日: 2008/2/18 居住地: 大阪 投稿: 30 |
Re: 【総合】2.11.0へのバージョンアップについて 書き忘れていましたのが、関連するチケットを登録しました。
#1195 【2.11系DB移行機能】商品情報 http://svn.ec-cube.net/open_trac/ticket/1195 #1196 【2.11系DB移行機能】顧客情報 http://svn.ec-cube.net/open_trac/ticket/1196 #1197 【2.11系DB移行機能】受注情報 http://svn.ec-cube.net/open_trac/ticket/1197
|
AMUAMU |
投稿日時: 2011/3/25 15:30
対応状況: −−−
|
神 登録日: 2009/5/2 居住地: 東京都 投稿: 2712 |
Re: 【総合】2.11.0へのバージョンアップについて バージョンアップ関連で、当方はデザインテンプレート上における変数変更など、影響範囲をあまり把握していないのですが、どなたかデザインテンプレートにおける変化点について、ざっくりでも良いので違いの大きさについて分かる人いませんかね・・・?
|
« 1 (2) 3 » |
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | トップ |