EC-CUBE 開発コミュニティ

その他 > バージョンアップ > 【総合】2.11.0へのバージョンアップについて

バージョンアップ

投稿者	スレッド
homan	投稿日時: 2011/3/23 19:46 対応状況: −−−
仙人登録日: 2007/7/2 居住地: 宮崎県宮崎市投稿: 633	Re: 【総合】2.11.0へのバージョンアップについて引用： 2.11では、HMAC方式を採用されているんですね。上記のようにハッシュアルゴリズムを変更しても、 2.4系 sha1($password . ":" . AUTH_MAGIC); 2.11系 hash_hmac('sha1', $password . ":" . AUTH_MAGIC, $salt); となって、同じハッシュ値になりませんね。パスワードに関してはこのままではデータ移行できそうにないですね。なるほど、、ありがとうございます基本的にセキュリティレベルが下がる方向にはしたくないのが本音ですが、万一移行したい！というお客様がいらっしゃる場合は、その辺の仕様をグレードダウンさせないといけないということですね。もしくは、EC-CUBEとは違うパッケージをご利用でパスワードが暗号化されている場合、パスワードだけ振り直して差し込みメールで飛ばす（顧客数が多いとやりたくないですが・・・）という手法をとることもあると思いますが、それと同様の対応になるかもしれませんね。ということは本当に似て非なるというよりも、違うパッケージだと思った方が良いのかもしれませんね ---------------- このコミュニティでの投稿はボランティアの範囲に留めさせていただいています。個別の相談やカスタマイズは有償にて承っておりますのでご相談下さい。 [url=http://www.eccube-school.jp/]EC-CUBE

shutta	投稿日時: 2011/3/23 19:33 対応状況: −−−
仙人登録日: 2010/2/4 居住地: 関西投稿: 835	Re: 【総合】2.11.0へのバージョンアップについて引用：新規インストール時に暗号化アルゴリズムが環境に合わせて決定されるようですね。新規にインストールした際には、利用可能であれば通常はsha256になるようですが、移行ということであればconfig.phpのPASSWORD_HASH_ALGOSを2.4系と同じsha1に設定を上書きして、DBを移行してくればいけそうな気がしそうですが、どうでしょうかね。 2.11では、HMAC方式を採用されているんですね。上記のようにハッシュアルゴリズムを変更しても、 2.4系 sha1($password . ":" . AUTH_MAGIC); 2.11系 hash_hmac('sha1', $password . ":" . AUTH_MAGIC, $salt); となって、同じハッシュ値になりませんね。パスワードに関してはこのままではデータ移行できそうにないですね。 ---------------- リゾート会員権(エクシブ等)の売買・仲介

shutta	投稿日時: 2011/3/23 18:44 対応状況: −−−
仙人登録日: 2010/2/4 居住地: 関西投稿: 835	Re: 【総合】2.11.0へのバージョンアップについて引用： AMUAMUさんは書きました：はい、まさにそれらチケットです。修正してコミットしたのは私なので・・・（汗あぁ、ご本人様でいらっしゃいましたね。(^^; チケットの担当者まで確認しておりませんでした。引用：デフォルト暗号化をHMAC sha256にしましたが環境によって変わる場合があります。詳しくはインストール処理を参考に。同じスレッドの http://xoops.ec-cube.net/modules/newbb/viewtopic.php?topic_id=7662&post_id=37141&forum=15 にも記載しましたが、新規インストール時に暗号化アルゴリズムが環境に合わせて決定されるようですね。新規にインストールした際には、利用可能であれば通常はsha256になるようですが、移行ということであればconfig.phpのPASSWORD_HASH_ALGOSを2.4系と同じsha1に設定を上書きして、DBを移行してくればいけそうな気がしそうですが、どうでしょうかね。 ---------------- リゾート会員権(エクシブ等)の売買・仲介

shutta	投稿日時: 2011/3/23 18:32 対応状況: −−−
仙人登録日: 2010/2/4 居住地: 関西投稿: 835	Re: 【総合】2.11.0へのバージョンアップについて引用： shuttaさんは書きました：ハッシュアルゴリズムは、2.4系では、sha1 で、 2.11からは利用可能であれば sha256 を使うようになったようですね。 /html/install/index.php 中で、 `//パスワード暗号化方式決定 $arrAlgos = hash_algos(); if(array_search('sha256', $arrAlgos) !== FALSE) { $algos = 'sha256'; }elseif(array_search('sha1', $arrAlgos) !== FALSE) { $algos = 'sha1'; }elseif(array_search('md5', $arrAlgos) !== FALSE) { $algos = 'md5'; }else{ $algos = ''; }` となっているので、インストール時に方式が決定されるように変更になっていますね。移行するのであれば、2.4系と同一になるように /data/config/config.php で、 `define ('PASSWORD_HASH_ALGOS', 'sha1');` のように、sha1を設定してやれば良さそうですね。 ---------------- リゾート会員権(エクシブ等)の売買・仲介

AMUAMU	投稿日時: 2011/3/23 18:26 対応状況: −−−
神登録日: 2009/5/2 居住地: 東京都投稿: 2712	Re: 【総合】2.11.0へのバージョンアップについてはい、まさにそれらチケットです。修正してコミットしたのは私なので・・・（汗デフォルト暗号化をHMAC sha256にしましたが環境によって変わる場合があります。詳しくはインストール処理を参考に。 ---------------- EC-CUBE公式エヴァンジェリスト EC-CUBEインテグレートパートナー (株)スピリット・オブ移転・拡張・高速化・問題解決各種カスタマイズ・支援依頼承ります。 [url=h

shutta	投稿日時: 2011/3/23 18:24 対応状況: −−−
仙人登録日: 2010/2/4 居住地: 関西投稿: 835	Re: 【総合】2.11.0へのバージョンアップについて引用： Yammyさんは書きました：そういえば、sha に変更になってましたね。検討する必要ありますね。ハッシュアルゴリズムは、2.4系では、sha1 で、 2.11からは利用可能であれば sha256 を使うようになったようですね。 ---------------- リゾート会員権(エクシブ等)の売買・仲介

shutta	投稿日時: 2011/3/23 18:16 対応状況: −−−
仙人登録日: 2010/2/4 居住地: 関西投稿: 835	Re: 【総合】2.11.0へのバージョンアップについて引用： AMUAMUさんは書きました：パスワードの暗号化強化、リマインダーパスワードの暗号化あたりのセキュリティ強化部分が影響ありそうです #818 パスワードリマインダの答えのハッシュ暗号化 http://svn.ec-cube.net/open_trac/ticket/818 #819 パスワードのハッシュ暗号化の強化 http://svn.ec-cube.net/open_trac/ticket/819 あたりのチケットが関連しそうですね。 ---------------- リゾート会員権(エクシブ等)の売買・仲介

Yammy	投稿日時: 2011/3/23 18:15 対応状況: −−−
半人前登録日: 2008/2/18 居住地: 大阪投稿: 30	Re: 【総合】2.11.0へのバージョンアップについて引用： AMUAMUさんは書きました：パスワードの暗号化強化、リマインダーパスワードの暗号化あたりのセキュリティ強化部分が影響ありそうですそういえば、sha に変更になってましたね。検討する必要ありますね。 ---------------- -- 株式会社サイバーウィル <Cyber-Will Inc.> EC-CUBE構築サービス VERANDA　あったらうれしい、が見つかる。

AMUAMU	投稿日時: 2011/3/23 17:15 対応状況: −−−
神登録日: 2009/5/2 居住地: 東京都投稿: 2712	Re: 【総合】2.11.0へのバージョンアップについてパスワードの暗号化強化、リマインダーパスワードの暗号化あたりのセキュリティ強化部分が影響ありそうです ---------------- EC-CUBE公式エヴァンジェリスト EC-CUBEインテグレートパートナー (株)スピリット・オブ移転・拡張・高速化・問題解決各種カスタマイズ・支援依頼承ります。 [url=h

homan	投稿日時: 2011/3/23 17:12 対応状況: −−−
仙人登録日: 2007/7/2 居住地: 宮崎県宮崎市投稿: 633	Re: 【総合】2.11.0へのバージョンアップについて顧客情報も必要ですよね。顧客管理周りがあまり把握できていませんが、基本的に構造は変わっていませんでしたっけ・・・？そうすれば顧客情報の移動は結構楽（CSVインポートレベル）でしょうか。 ---------------- このコミュニティでの投稿はボランティアの範囲に留めさせていただいています。個別の相談やカスタマイズは有償にて承っておりますのでご相談下さい。 [url=http://www.eccube-school.jp/]EC-CUBE

« 1 (2) 3 »