バグ報告 > 管理機能 > SSLやバーチャホストの設定次第で動かない |
管理機能
フラット表示 | 前のトピック | 次のトピック |
投稿者 | スレッド |
---|---|
kuippa |
投稿日時: 2010/3/7 18:31
対応状況: −−−
|
新米 登録日: 2010/3/6 居住地: 投稿: 3 |
Re: SSLやバーチャホストの設定次第で動かない ------------------------------------------------------------------------------------------
[EC-CUBE] 2.4.3正式版 [レンタルサーバ] xrea.com [OS] [PHP] PHP 5.2.5 [データベース] MySQL 5.1.11 [WEBサーバ] apache1.3.37 [ブラウザ] [現象] SSLでアクセスすると動かない ------------------------------------------------------------------------------------------ いちおう書いておきます。 あちこちのサーバーに入れて検証していますが、まだ検討をはじめたばかりなので理解不足のところがあるかもしれません。 掲題の問題にはxreaに入れたときに遭遇したのですが、xreaでは共用SSLで、実際の階層とサーバ変数でとれる階層が異なります。 一番最初の設定でSSLとHTTPで階層が違う設定ができないとのことだったので(これもこれで困りますが)、SSLをつかわないぐらいなら全部SSLのほうがいいとおもって最初のインストールでHTTPとSSLを同じSSLのほうのURLを指定しました。 xreaでは、SSLは次のようなドメインで与えられます。 https://ss1.xrea.com/www.example.com/ec-cube/html/ この状態で管理画面にアクセスすると、一部挙動がおかしいものが混じっていました。 内容をみてみると「$smarty.server.PHP_SELF」にてリンクを設定しているものでした。挙動がおかしいのではなくリンクがおかしいことになっていました。 この場合は、$smarty.server.PHP_SELFはこの場合/ec-cube以下のパスを返してきます。 たとえば、このようなパスは https://ss1.xrea.com/www.example.com/ec-cube/html/admin/products/category.php このように返されます。 /ec-cube/html/admin/products/category.php 結果として↓にアクセスすることになります。 https://ss1.xrea.com/ec-cube/html/admin/products/category.php 当然そのようなパスのファイルはないのでエラーとなります。 上記はあくまで例です。 ベースファイル名をつかって./でつなげてくれるか、$smarty.const.URL_DIRで書いてくれればまだ動いたのですが、これだと動きません。xreaのような共用SSLは階層がずれてくるので若干特殊ですが、同様の問題はWEBサーバー側の設定ではなく、DNSやhostsでリダイレクトしてるときなどでも発生すると思います。 サーバー変数で取得できるパスと動作ドメインのパスは必ずしも一致するものではないのではないか、ということをいいたかったのですが分かりにくかったようなので例を交えました。 階層がずれることには対応していないということなのかもしれませんが、何かポリシーがあってそのように統一されているのなら対応もしやすいのですが、混在していたので、そもそもあまり想定されていないのかなと思った次第です。 できるならどちらかに統一したほうがいいのではないかと思いました。 (もしかしたらGETのescape処理を導入されたタイミングで各所に導入されたのかな…) セキュリティ的にどうかと思ったというのは、漠然とした感想です。ここまでいじった印象にすぎません。 実際にクラックを試みたわけでもありません。既に他に根源的な対策がされているのかもしれませんが、たとえば/admin/のパスを変更したいと言った場合にも、このように実装方法がばらばらだと、ディレクトリパスを動かすだけでもしんどそうです。 /admin/を別の名前にするだけで、管理ユーザーへのフィッシングやCSRFに対して、OSSでディレクトリ構成やデータ構成がばれているOSSではある程度効果があるんじゃないかと思います。 特に、パスワードに英数字しかつかえなかったので、なにか手当をしておかなきゃダメかなと思ったのですが、管理ディレクトリのパスを動かすのも手数が多くなりそうだったので残念だなと思いました。 SSLを使わないという選択肢ですが、環境によってはありだとは思いますが… 無線LANとかが混じるような環境だったり、乗り入れだと、パケットモニタされたり、MACをごにょごにょされたりしたらダダ漏れる危険性もあるので、毎回でなくともSSLを使える状態ぐらいにはしておきたいなとおもう次第です。 うちは喫茶業務もやっているので…、出店ショップの立場からすると、お店を利用されたお客様の情報をHTTPでいじるのは抵抗があります。 万が一のときの被害は最小限におさえられるようにしたいです。 >(正式版のページ編集で、若干不自然な挙動は耳にしていますが。) ちなみにxreaだと、デザイン編集のページ詳細設定、編集可能ページの個別画面へのアクセスも同じ理由から動きません。上記で指摘したようなリンクの貼られ方がなされています。 問題だなあと思うのは、これが混在していることです。 デザインのメイン編集は動くけど、個別画面へのアクセスは動かないとか、そういう事態になっています。 環境にあわせて手をいれれば動きそうですが、そもそも、なんでこうことになっているのか疑問におもったので書きこみました。 |
フラット表示 | 前のトピック | 次のトピック |
題名 | 投稿者 | 日時 |
---|---|---|
SSLやバーチャホストの設定次第で動かない | kuippa | 2010/3/6 19:52 |
Re: SSLやバーチャホストの設定次第で動かない | ramrun | 2010/3/6 20:25 |
Re: SSLやバーチャホストの設定次第で動かない | seasoft | 2010/3/6 20:29 |
» Re: SSLやバーチャホストの設定次第で動かない | kuippa | 2010/3/7 18:31 |
Re: SSLやバーチャホストの設定次第で動かない | seasoft | 2010/3/7 19:36 |
Re: SSLやバーチャホストの設定次第で動かない | ramrun | 2010/3/8 9:55 |
Re: SSLやバーチャホストの設定次第で動かない | kuippa | 2010/3/9 0:23 |
Re: SSLやバーチャホストの設定次第で動かない | ramrun | 2010/3/9 1:20 |