その他 > その他 > 管理者ページのアクセス制御について【注意喚起】 |
その他
スレッド表示 | 古いものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
nanasess |
投稿日時: 2010/12/11 17:18
対応状況: −−−
|
神 登録日: 2006/9/9 居住地: 投稿: 2313 |
Re: 管理者ページのアクセス制御について【注意喚起】 r19717 で meta タグを追加しておきました
|
seasoft |
投稿日時: 2010/12/11 11:51
対応状況: −−−
|
神 登録日: 2008/6/4 居住地: 投稿: 7367 |
Re: 管理者ページのアクセス制御について【注意喚起】 私も、追加での認証の要否などは、利用者(運営者)が判断していく事だと思います。
EC-CUBE の開発プロジェクト・コミュニティとしては、むしろそういった追加設定を必要とせずに、アプリケーションのみでも一定のセキュリティを確保できる方向を目指して行きたいですね。 patapata 様の提起されている、セキュリティ対策に関しまして、技術的な観点では賛同ですが。 なお、脆弱性に関わる告知は、いきなり個人的に発信するのではなく、開発元や適切な第三者機関(独立行政法人 情報処理推進機構 セキュリティセンター (IPA/ISEC) など)と連携して、手順を踏んで公開していく方が効果的な場合も多いです。今後はそういった方法も検討すると良いのではないかと感じました。
|
patapata |
投稿日時: 2010/12/10 23:30
対応状況: −−−
|
仙人 登録日: 2010/7/7 居住地: 神奈川県 投稿: 502 |
Re: 管理者ページのアクセス制御について【注意喚起】 教えるのもなかなか難しいですね。
株式会社ロックオン様 or コミッター様 最低限metaタグ記入によるクローラ排除ぐらいは、入れてあげてください。 正直気づいていて、黙っているのは忍びなかったので。 |
AMUAMU |
投稿日時: 2010/12/10 19:15
対応状況: −−−
|
神 登録日: 2009/5/2 居住地: 東京都 投稿: 2712 |
Re: 管理者ページのアクセス制御について【注意喚起】 重要な部分は2.5でチケットがいくつか上がっていますので、良くなるようにしたいですね
一応、セキュリティ関係のチケットを担当して消化しようかなとは考えています。
|
AMUAMU |
投稿日時: 2010/12/10 19:13
対応状況: −−−
|
神 登録日: 2009/5/2 居住地: 東京都 投稿: 2712 |
Re: 管理者ページのアクセス制御について【注意喚起】 >そういった会社がどのくらいあるのかはわかりませんが、
>脆弱性を放置されているサイトは結構あるんじゃないか >と思います。多分、そういうトコが先に狙われるんじゃ >ないかなぁと。そういうサイトの方はココ見てない気も >しますが…。 そういうEC-CUBEのサイトを探して直接アプローチを片っ端からしている業者さんがいる話も聞いたことあります 半分脅しのような文言があったりするらしく、嫌な感じですが・・・(苦笑 >あと、「アクセス制限」は「Basic認証」のことかな?と >感じたんですが、Basic認証は強度的に弱かった気がします。 Basic認証は信頼に足らないです。固定IPアドレスでの制限が現実的な範囲かと思います。 テンプレートへのrobots文の追加は2.5でしたいですね
|
KAJI |
投稿日時: 2010/12/10 18:02
対応状況: −−−
|
一人前 登録日: 2008/1/24 居住地: 投稿: 121 |
Re: 管理者ページのアクセス制御について【注意喚起】 株式会社ロックオンの梶原でございます。
毎度、EC-CUBEをご利用いただき、ありがとうございます。 本件につきまして、一部、不正アクセスを助長する 可能性 のある 記載がございましたので、 その部分のみ削除させていただきました。 話の腰を折るようで大変申し訳ございませんが、掲示板管理者 として、EC-CUBEユーザ様へのリスクヘッジを行うのも役目で ございますので、何卒ご容赦くださいませ。 是非、管理画面のより強固なセキュリティを実現できるような、 建設的なご意見にて進めていただけますと助かります! それでは、今後ともEC-CUBEをどうぞよろしくお願い致します。 |
popo |
投稿日時: 2010/12/10 15:08
対応状況: −−−
|
長老 登録日: 2008/10/1 居住地: 投稿: 189 |
Re: 管理者ページのアクセス制御について【注意喚起】 問題提起(指摘)だけでは不正アクセスを助長させるだけになる可能性があるので、もっと具体的に対策の提案なんかもしておいた方が良いのでは?
「admin」以下をhtaccessでIP制限させた方が良いとか。 URL変更する場合は、どこを変更すれば良いとか。 (直接フォルダ名を変更するだけで良かったかな?) 知識や技術がある人は簡単にできるのですが、あまり知識がなかったりEC-CUBEを触り始めた人は、どこを触った方が良いのか分からない事もありますので。 |
patapata |
投稿日時: 2010/12/10 14:24
対応状況: −−−
|
仙人 登録日: 2010/7/7 居住地: 神奈川県 投稿: 502 |
Re: 管理者ページのアクセス制御について【注意喚起】 設置の簡易さを謳った結果がコレなのであれば、その末路も想像できます。
このような状態では、EC-CUBEサイトは悪意を持ったユーザにとってはタダの餌場です。 管理者ページをオープンにするのは、しょうがない場合もあります。しかし最低限、デフォルトのままで使用せず、URLを変更して入り口は隠しましょうね。 |
Masashige |
投稿日時: 2010/12/10 13:48
対応状況: −−−
|
長老 登録日: 2009/4/1 居住地: 投稿: 200 |
Re: 管理者ページのアクセス制御について【注意喚起】 以前お話をいただいたお客様が、構築した制作会社から
「バージョンアップしないでください」と言われたという ことでした(ちなみにVer.1の頃)。 そういった会社がどのくらいあるのかはわかりませんが、 脆弱性を放置されているサイトは結構あるんじゃないか と思います。多分、そういうトコが先に狙われるんじゃ ないかなぁと。そういうサイトの方はココ見てない気も しますが…。 あと、「アクセス制限」は「Basic認証」のことかな?と 感じたんですが、Basic認証は強度的に弱かった気がします。 EC-CUBEへのログインID・パスワードと同じものをBasic認証にも 設定した場合、総合的に見てどうなるのかなぁ、と少し 思いました。Basic認証はほとんど使ったことないので あんまり自信ないですが。アクセスされる前に蹴るのは 賛成です、念の為。 セキュリティは「これだけやっとけばOK」というのがないかと 思いますが、取り急ぎ、管理画面のテンプレートにはデフォルトで <meta name='robots' content='noindex,nofollow' /> あたり入れといた方がいいのかな、と思いました。 |
AMUAMU |
投稿日時: 2010/12/10 12:12
対応状況: −−−
|
神 登録日: 2009/5/2 居住地: 東京都 投稿: 2712 |
Re: 管理者ページのアクセス制御について【注意喚起】 個人的には喚起を大袈裟にすることなのかな・・・?という気もします。
もちろんセキュリティ向上としてはアクセス制限などを掛けるのが好ましいのは間違いありません。 ですが、『「制限が掛かっていない」=「ID・パスワードは、既にばれているものと考え(以下略」』のような正しくない過剰な喧伝もよくないと思います(注意喚起を謳うため過剰な表現を使っているのは分かりますが・・・)。 色々なスキルレベルの方、利用方法の方が多数いるコミュニティでの必要以上の煽動は慎むと良いと思います。 またIDS、IPS、WAF等が導入されていてパスワード総当たりアタックなどの攻撃対策をしているサイトもあると思います。 そのようなサイトの場合、必ずしも管理画面をオープンにしているからといって危険とは言えないと思います。 ご指摘のことより、別のもっと危険な利用をされているサイトは多く、以前より問題になっています。 過去のコミュニティでも話題に上がっているのでご存知の方も多いと思いますが、例えば非公開ディレクトリへの設置を推奨しているdataディレクトリの公開や、セキュリティ脆弱性を放置した古いバージョン利用のままのサイト等です。 一つ一つを取り上げて煽動を行うのではなく、色々な意味(技術、セキュリティ、マーケティング、評判、etc)でのトータルでのバランスを考慮していくことが必要かと思います。
|
(1) 2 » |
スレッド表示 | 古いものから | 前のトピック | 次のトピック | トップ |