mattintosh note

どこかのエンジニアモドキの備忘録

Apache

特定のWebサーバーのEC-CUBE 4系で.htaccessが漏洩する可能性について

前回、下記のような記事を書いたのですが他にも問題がありました。 mattintosh-note.jp 今回の原因も以前から問題になっているこのブロックです。(本当にこのブロックはさっさと削除した方がいいと思う) <FilesMatch "(?<!\.gif|\.png|\.jpg|\.jpeg|\.css|\.ico|\.js|\.svg|\.map)$"> SetEnvIf Request_URI "/vendor/" deny_dir Order </filesmatch>…

特定の環境下でEC-CUBE 4系の.envなどへのアクセス制限が効かない問題

現状の EC-CUBE の .htaccess ではアクセス制限に大小文字の考慮がされていないため特定の環境下でアクセス制限が適切に効かないことがありました。 「特定の環境下」というのがかなり限定的なのですがいまのところ確認しているのは下記の環境です。 Docker …

Apache 2.4とEC-CUBE 3系で管理画面にBasic認証を設定した場合に.htaccessや.htpasswd他が外部に漏洩する可能性

既に配布も終了している EC-CUBE 3 系ですが、たまに触る機会があって設定に問題ないかなとか見るのですが、とあることが気になって色々調べている最中に下記の記事を読ませていただきました。 qiita.com EC-CUBE 3 系の .htaccess ですが、まさにこの記事通…

EC-CUBE 4系のディレクトリ構造を3系の構造にしてセキュリティを高める

なぜこんなことをしようと思ったのか index.php .htaccess と html/.htaccess composer.json framework.yaml なぜこんなことをしようと思ったのか EC-CUBE 4 系から index.php がルートディレクトリに配置されるようになり、3 系と比べるとファイルやディレ…

EC-CUBE 4.1の.htaccessに関する考察

※本記事は2021 年 10 月 22 日に note に投稿した内容を移設したものです 所用で .htaccess 関連のドキュメントを作成することになったので EC-CUBE の .htaccess を見て気になったことをツラツラと書きます。(issue 立てるのが苦手なので) 本記事に記載の…

EC-CUBE 4系の.envの扱いについての話

この記事については推測・憶測が多分に含まれていることにご注意ください。 「.env ファイルは(中略)本番環境での使用は推奨されません。 」についての話です。 EC-CUBE 4 系では環境ごとの設定を行うために .env というファイルが使われるようになりまし…

サイト全体にBasic認証をかけて特定のURLだけ認証を無効にしたい

WordPress や EC-CUBE とかそういうの使ってると .htaccess にこんな風に書いてある。 WordPress: .htaccess RewriteEngine On RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d Rew…

Apacheの画像拡張子指定の正規表現

Apache のコンフィグで画像に対して何かをしたいとき <FilesMatch "\.jpeg$"> なんて書いたりするんだけど、先日とんでもない正規表現の書き方を見かけてしまった。 んで、何が正しいのかわからなくなってしまい(それくらい衝撃的だった)、落ち着いて自分用のテンプレート的なも</filesmatch>…

PHP-FPM 環境で .htaccess に php_value は書ける?

「.htacess に php_value を書くとエラーになる」という事象があったのでちょっと調べた。 エラーはこんな感じ。 /var/www/html/.htaccess: Invalid command 'php_value', perhaps misspelled or defined by a module not included in the server configurat…

ApacheでELB-HealthCheckerのログ振り分けについて考える

User-Agent による振り分けの問題点 ベストプラクティスを考える Location ディレクティブを使う SetEnvIf で複数条件を組み合わせて AND 条件を作る IF ディレクティブを使う ALB で UA 偽装を弾いてみる User-Agent による振り分けの問題点 AWS で Applica…