mattintosh note

どこかのエンジニアモドキの備忘録

EC-CUBE

特定のWebサーバーのEC-CUBE 4系で.htaccessが漏洩する可能性について

前回、下記のような記事を書いたのですが他にも問題がありました。 mattintosh-note.jp 今回の原因も以前から問題になっているこのブロックです。(本当にこのブロックはさっさと削除した方がいいと思う) <FilesMatch "(?<!\.gif|\.png|\.jpg|\.jpeg|\.css|\.ico|\.js|\.svg|\.map)$"> SetEnvIf Request_URI "/vendor/" deny_dir Order </filesmatch>…

EC-CUBE 4.1のhtmlpurifierキャッシュのパーミッション調整

EC-CUBE 4.1 から execise/htmlpurifier-bundle パッケージが追加されたようです。 フロント入力項目のサニタイズ · EC-CUBE/ec-cube@871ba01 · GitHub 2021 年 6 月だから最近というわけでも無いのですが、これによってキャッシュ削除処理でパーミッション…

特定の環境下でEC-CUBE 4系の.envなどへのアクセス制限が効かない問題

現状の EC-CUBE の .htaccess ではアクセス制限に大小文字の考慮がされていないため特定の環境下でアクセス制限が適切に効かないことがありました。 「特定の環境下」というのがかなり限定的なのですがいまのところ確認しているのは下記の環境です。 Docker …

Apache 2.4とEC-CUBE 3系で管理画面にBasic認証を設定した場合に.htaccessや.htpasswd他が外部に漏洩する可能性

既に配布も終了している EC-CUBE 3 系ですが、たまに触る機会があって設定に問題ないかなとか見るのですが、とあることが気になって色々調べている最中に下記の記事を読ませていただきました。 qiita.com EC-CUBE 3 系の .htaccess ですが、まさにこの記事通…

EC-CUBE 4系のディレクトリ構造を3系の構造にしてセキュリティを高める

なぜこんなことをしようと思ったのか index.php .htaccess と html/.htaccess composer.json framework.yaml なぜこんなことをしようと思ったのか EC-CUBE 4 系から index.php がルートディレクトリに配置されるようになり、3 系と比べるとファイルやディレ…

EC-CUBE 4.1の.htaccessに関する考察

※本記事は2021 年 10 月 22 日に note に投稿した内容を移設したものです 所用で .htaccess 関連のドキュメントを作成することになったので EC-CUBE の .htaccess を見て気になったことをツラツラと書きます。(issue 立てるのが苦手なので) 本記事に記載の…

EC-CUBE 4系の.envの扱いについての話

この記事については推測・憶測が多分に含まれていることにご注意ください。 「.env ファイルは(中略)本番環境での使用は推奨されません。 」についての話です。 EC-CUBE 4 系では環境ごとの設定を行うために .env というファイルが使われるようになりまし…