質問 > その他 > EC-CUBE 2.1.2正式版 共有SSLについて |
その他
フラット表示 | 前のトピック | 次のトピック |
投稿者 | スレッド |
---|---|
halmax |
投稿日時: 2008/8/23 16:26
対応状況: −−−
|
新米 登録日: 2008/5/13 居住地: 投稿: 1 |
Re: EC-CUBE 2.1.2正式版 共有SSLについて 現在coreserverで構築テストを行っています。
問題点は既に上がってますが、 1.共有SSLの場合のドメインにつないだ場合リバースプロクシが 本来のサーバにHTTPで繋ぎにいく為、各サーバ変数が HTTPの場合のものと同じになってしまって画像やリンクのパスが 正しくないもので出力される 2.セッションIDをクッキーで持たせる場合共有SSLのページと ドメインが違う為注文完了ページへ遷移する時に かごの中身がカラになる といったところです。1.についてはinstall.phpの中に リモートアドレスがリバースプロクシのIPだった場合に サーバ変数、環境変数を書き換える処理を組み込むことで対応できます。 今のところREMOTE_ADDR,REQUEST_URI,SCRIPT_NAME,PHP_SELF,SERVER_PORT,HTTPS,SERVER_NAME,HTTP_HOST を書き換えてやればこの問題は解消されています。 (書き換える権限を設定する為にphp.iniにsafe_mode_allowed_env_varsという設定を追記しておく必要があります) 2.についてはHTTPからHTTPSへ遷移する際に一時的にセッションIDを GETやPOSTのパラメータで持たせて遷移先で受け取ったらセッションIDを書き換えて、 GETならばリクエストされたURIからセッションIDのパラメータだけを削って、 すぐに同じページにリダイレクトしなおすという処理で HTTPとHTTPSのセッションを共有させることで動作しています。 (この処理はSC_SessionFactory_UseCookie.phpに組み込んでいます) しかし、ここにきてセッションハイジャックの脆弱性の可能性がある事が分かり、 ログイン時にセッションを作り直してから再度クッキー共有する方法を考えている状態です。 すべて問題なく動けば、手順を整理して公開したいと思っています。 |
フラット表示 | 前のトピック | 次のトピック |