EC-CUBE 開発コミュニティ

その他 > バージョンアップ > 【総合】2.11.0へのバージョンアップについて

バージョンアップ

投稿者	スレッド
shutta	投稿日時: 2011/3/23 21:33 対応状況: −−−
仙人登録日: 2010/2/4 居住地: 関西投稿: 835	Re: 【総合】2.11.0へのバージョンアップについて引用： homanさんは書きました：基本的にセキュリティレベルが下がる方向にはしたくないのが本音ですが、万一移行したい！というお客様がいらっしゃる場合は、その辺の仕様をグレードダウンさせないといけないということですね。セキュリティレベルはできるだけ避けないように、2.4(旧2.x)系からの移行も考慮した方法を検討していければと思います。今、これでいけるんじゃないかと思っているのが、 2.11.0のSC_Utils.phpのsfIsMatchHashPasswordを、 `function sfIsMatchHashPassword($pass, $hashpass, $salt) { $res = false; if ($hashpass != '') { if (AUTH_TYPE == 'PLAIN') { if($pass === $hashpass) { $res = true; } } else { $hash = SC_Utils_Ex::sfGetHashString($pass, $salt); if($hash === $hashpass) { $res = true; } } } return $res; }` から、 `function sfIsMatchHashPassword($pass, $hashpass, $salt) { $res = false; if ($hashpass != '') { if (AUTH_TYPE == 'PLAIN') { if($pass === $hashpass) { $res = true; } } else { if (empty($salt)) { // 旧バージョンからの移行を考慮 $hash = sha1($pass . ":" . AUTH_MAGIC); } else { $hash = SC_Utils_Ex::sfGetHashString($pass, $salt); } if($hash === $hashpass) { $res = true; } } } return $res; }` に変更すればどうかなぁと思いますがどうでしょうか？通常saltが空になることは無いと思うので、空だった場合は旧バージョンから移行されたデータと見做してしまう感じです。旧バージョンからデータ移行する場合は、パスワードハッシュはそのままで、saltを空にして移行します。その際、旧バージョンのmtb_constants_init.phpにあるAUTH_MAGICの値を、2.11.0のconfig.phpに上書きも必要です。これで、パスワードは移行できると思います。移行後にパスワードを変更した際には、salt値が入力されHMAC方式のハッシュに更新されるはずですので、暗号化強化の実装も生きるかと思います。どうでしょうか？ ---------------- リゾート会員権(エクシブ等)の売買・仲介

フラット表示

前のトピック | 次のトピック

題名	投稿者	日時
【総合】2.11.0へのバージョンアップについて	AMUAMU	2011/3/23 15:34
Re: 【総合】2.11.0へのバージョンアップについて	homan	2011/3/23 16:24
Re: 【総合】2.11.0へのバージョンアップについて	AMUAMU	2011/3/23 16:51
Re: 【総合】2.11.0へのバージョンアップについて	Yammy	2011/3/23 16:31
Re: 【総合】2.11.0へのバージョンアップについて	AMUAMU	2011/3/23 16:59
Re: 【総合】2.11.0へのバージョンアップについて	homan	2011/3/23 17:12
Re: 【総合】2.11.0へのバージョンアップについて	AMUAMU	2011/3/23 17:15
Re: 【総合】2.11.0へのバージョンアップについて	Yammy	2011/3/23 18:15
Re: 【総合】2.11.0へのバージョンアップについて	shutta	2011/3/23 18:24
Re: 【総合】2.11.0へのバージョンアップについて	shutta	2011/3/23 18:32
Re: 【総合】2.11.0へのバージョンアップについて	shutta	2011/3/23 18:16
Re: 【総合】2.11.0へのバージョンアップについて	AMUAMU	2011/3/23 18:26
Re: 【総合】2.11.0へのバージョンアップについて	shutta	2011/3/23 18:44
Re: 【総合】2.11.0へのバージョンアップについて	shutta	2011/3/23 19:33
Re: 【総合】2.11.0へのバージョンアップについて	homan	2011/3/23 19:46
» Re: 【総合】2.11.0へのバージョンアップについて	shutta	2011/3/23 21:33
Re: 【総合】2.11.0へのバージョンアップについて	shutta	2011/3/23 21:39
Re: 【総合】2.11.0へのバージョンアップについて	shutta	2011/4/14 22:28
Re: 【総合】2.11.0へのバージョンアップについて	shutta	2011/4/15 14:17
Re: 【総合】2.11.0へのバージョンアップについて	Yammy	2011/3/24 13:26
Re: 【総合】2.11.0へのバージョンアップについて	Yammy	2011/3/24 13:33
Re: 【総合】2.11.0へのバージョンアップについて	AMUAMU	2011/3/25 15:30
Re: 【総合】2.11.0へのバージョンアップについて	rst	2011/3/30 12:20
Re: 【総合】2.11.0へのバージョンアップについて	shutta	2011/4/15 14:45
Re: 【総合】2.11.0へのバージョンアップについて	KAJI	2011/4/21 11:12

バージョン選択

フォーラム

メニュー

オンライン状況

サイト内検索

バージョンアップ

ログイン

統計情報

投稿数ランキング