先日、テストでEC-CUBEを入れたのですが、アクセスログに
インストール先のディレクトリの【/rss/product.php】にアクセスしてきいるみたいでアクセス元は210.188.195.158からアクセスがありました。まだ自分しか知らないはずのこのテストディレクトリにアクセスがあったので不思議に思い調べたら
http://whois.nic.ad.jp/cgi-bin/whois_gw?key=210.188.195.158
株式会社ロックオンさんからでした。

なぜアクセスしに来たのでしょうか？
皆さんのところにもアクセスありますか？

なぜアクセスしに来たのかはわからないですが、
インストールすると通知、
または管理画面に入るとニュース取得のために
自動で株式会社ロックオンさんにアクセスするので、
まだ公開したつもりはなくても、
外部からアクセスできる状態なら
アクセスされても不思議はないですかね。。


-----
カスタマイズ承ります
http://ec-cube-mall.jp/
http://ec-cube.ec-orange2.jp/
http://wiki.ec-orange2.jp/

非公開の /rss/product.php にアクセスって、色々と疑われても仕方が無いですね・・・

ちなみに、EC-CUBEコミュニティ(eccube-comu) では、積極的な情報漏洩を行わないように改訂してあります。
http://svn.ec-cube.net/open_trac/changeset/17353

これで全面的に安心かは確信ありませんが、少なくとも正式版よりは安心な状態になっていると思っています。

その辺を気にする場合、サイト公開前は .htaccess でアクセスコントロールを行うなども検討すると良いのかもしれません。なお、全面URLを蹴ってしまうと、オーナーズストアの利用に支障が出たと思いますので、留意が必要かと思います。

----------------
Seasoft
こちらでの投稿は、アイディア程度に留めさせていただいております。
個別案件の作業は有償で承っております。お気軽にご相談ください。

問題のアクセスの発生タイミングにもよるとは思いますが、ちょっと気色悪いですねぇ。

このままだと「EC-CUBEを使用していると株式会社ロックオンから謎のアクセスが入る」なんて事になってしまうと思いますが、どういう事なのか説明しておいたほうが良いと思います＞株式会社ロックオンさん

----------------
pantacle
http://pantacle.net/

kishikさん　mahalo_cさん　seasoftさん
回答ありがとうございます。

mahalo_cさんのおっしゃるとおり私もそれが気になってまして。

いい意味で考えるともしかすると今後、
収集した商品データをショッピングフィード（Eストアー）みたいな形で再発信するサービスなんかに展開されたり。これだとどんどん覗いてもらってもいいんですが、それでも勝手に覗かれているのが気になったりします。

覗いている言い訳としては
「違法な商品を販売していないかどうかの確認をランダムにしている」とか？

気持ちが悪いというのは分かります。
ただ、サーバが外部からアクセスできる状況にあるようなので、
「覗いている」という表現は適切でないような気がします。

一応。


-----
カスタマイズ承ります
http://ec-cube-mall.jp/
http://ec-cube.ec-orange2.jp/
http://wiki.ec-orange2.jp/

現状は主にマーケティング的なデータに利用しているのではないかと思いますが、インストール数や実稼働数は実際にリリースとかで使っているのは公知ですし、そこからもデータ収集していることは既にわかり切っていた事ですよね。

さらにソースは全部見えていてアクセスできるようになっていることは分かっていますし、管理画面の最初にニュースが表示されているところからも、管理画面の稼働状況も収集されている事は分かり切っている事ですよね。

今さら公式にコメントをすることや要求することでも無いとは思いますが・・・

個人的意見としては、こういう数による看板がユーザを増やしコミュニティの活発さを呼でいるのも事実ですから、否定するものではないと思います。EC-CUBEの名前が広がる事で大なり小なり恩恵を受けている人も多いでしょうし。

また管理画面のニュース取得＆表示は脆弱性などの告知などに非常に役に立っているのも事実ですよね。脆弱性が放置されたままの製品じゃないという評判を作る意味でも大事でしょう。

むしろ株式会社ロックオンが情報を集約するシステム（とニュース配信するシステム）を無償で運用している、という好意的な見方も出来ると思います。（集約するサーバを置くだけでも金はかかるわけで）

ただデータは、もっと積極的に公開すべきかと思いますけどね。
ここらへんの公開がされれば、個人的にはコミュニティ版とかも情報に関しての通信を止める機能は必要ないと思うぐらいです。

オープンソースである以上、標準の機能を変えて知られるのを止めたいなら自己責任でカスタマイズして通信しないようにすれば良いだけですから。例えば、私はBtoB向けECサイト構築等に使うときはコードから削っています。

どちらにしろ、外部から見える状況にしている時点で全く問題は無いんじゃないですかね？

ブラウザもユーザがアクセスした実績を収集して、未知のアドレスだとクローラーがアクセスしに来る時代ですし、覗かれると思うようなら自己防衛が必要かと思います。

ちなみに、実際の挙動を見ると管理画面のアクセス時のニュース取得の実績に基づいて自動でデータ収集のアクセスをしているのではないかな？と思います。

----------------
EC-CUBE公式エヴァンジェリスト
EC-CUBEインテグレートパートナー (株)スピリット・オブ
移転・拡張・高速化・問題解決
各種カスタマイズ・支援依頼承ります。
[url=h

> ただデータは、もっと積極的に公開すべきかと思いますけどね。

まずは、プライバシーポリシーのような形で、利用用途を明確にしてもらった方が良い気がします。(既に、どこかにあったり?)


> ここらへんの公開がされれば、個人的にはコミュニティ版とかも情報に関しての通信を止める機能は必要ないと思うぐらいです。

通信を止められるパラメータは用意されていますが、初期では止まっていなかったと思います。
【追記】UPDATE_HTTP (アップデート管理用ファイル格納場所) これを空文字にすると通信を止められます。

サイトURLは、初期で送出されないようになっており、パラメータの変更で送出可能な状態だったと思います。
【追記】UPDATE_SEND_SITE_INFO (アップデート時にサイト情報を送出するか) 初期値=false

----------------
Seasoft
こちらでの投稿は、アイディア程度に留めさせていただいております。
個別案件の作業は有償で承っております。お気軽にご相談ください。

kyoto-d様

株式会社ロックオンの梶原です。

特に、株式会社ロックオンからの正式な回答ではありませんが以下、知っている範囲で。

アクセスしているファイルから察すると、EC-CUBEの実店舗稼働数の自動集計処理からのアクセスだと思います。

一応、株式会社ロックオンではEC-CUBEの市場を把握するために、ダウンロード数、インストール数、そして予測ベースでの実店舗稼働数　等々を集計しています。
上記、実稼働店舗数の集計においてアクセスがあったのではないかと思います。

おそらくそれ以外の意図はありません。



そこまでのいい意味はないと思います。
すみません。
ともかく、開発元とは言え、具体的な情報の中身を吸い取って、勝手に2次利用するということはないと思います。
あくまでも集計のためのアクセスとご理解いただければと思います。

引用：
↑今個人的に作ってます。
このスレを見る前から作っていたのですが、偶然にもproduct.rssを利用する予定です。

http://d.hatena.ne.jp/xross-cube/20090708/1247030395

----------------
EC-CUBEカスタマイズ相談してください。
緊急のEC-CUBEの障害対応
EC-CUBEカスタマイズブログ