EC-CUBE4.1をリリース候補版であるEC-CUBE4.1 RC。
EC-CUBE4.1 RCを使ってEC-CUBE4.1正式リリースへ向けて最終動作試験が実施されています。
今回はEC-CUBE 4.1 RCの機能についてご紹介していきます。
管理画面のログイン履歴
EC-CUBE4.1では、機能確定版である EC-CUBE4.1 β3から試験と不具合修正を行い、EC-CUBE 4.1 RCをリリース。最終動作試験を実施した後にEC-CUBE 4.1 がリリースされるようです。
まず、管理画面のログイン履歴のアカウントの乗っ取りなどで、管理画面への不正なアクセスがあったかを知れるように日時、IPアドレス、ブラウザなどの履歴を残したいとの要望があったことから、管理画面のログイン履歴が残るように改修されたようです。
- 管理画面ログイン画面で入力したログインID、ログイン成否、IPアドレス、該当するMember、試行日時をテーブルに記録
- 上で保存した記録を一覧画面で表示、検索できる
- 管理画面へのアクセスを拒否するIPリストを指定できる (セキュリティ管理で登録)
https://github.com/EC-CUBE/ec-cube/pull/4978
htmlディレクトリ以下では、PHPを実行できないように修正
元々の使用では、ファイル管理などからPHPファイルをアップロードできるようになっており、他の脆弱性を組み合わせてwebシェル等のファイルを設置されるなどの攻撃手法が報告されていました。
そのため、htmlディレクトリ以下ではPHPを実行できないように修正が行われています。
フロント入力項目のサニタイズを追加・強化
フロント画面からの入力が明らかに不適切で、攻撃の可能性がある入力はそもそも入力できないようにしたいとの要望が上がっていました。
- 特定文字、文字列に対してバリデーション化、サニタイズの処理を追加。
できればデフォルトで有効な機能とし、必要な場合に明示的に外せるようにすることで、改善したようです。
管理画面へのログインで二段階認証を導入
セキュリティーの観点から、管理画面へのログインはID/パスワード方式だけでなく、二段階認証も導入できるようにしたいとの要望が上がっていました。
- comporserで2段階認証用のパッケージを追加しています。
上記のような方法で2段階認証を導入し、セキュリティ強化を図りました。
このほかにも、標準時のSEO強化なども進んでおります。
まとめ
今回はEC-CUBE 4.1 RCの機能についてご紹介していきました。
EC-CUBE4.1 RCを使ってEC-CUBE4.1正式リリースへ向けて最終動作試験が実施されています。
EC-CUBEで運営されている方、これから構築しようと思っている方はぜひご確認ください!
RefineはECのチカラで 『時間を作り出す価値』を提供します。
様々なカスタマイズにも対応しておりますので、お気軽にお問い合わせください。
制作実績はこちら
SNSもやっているので、フォローよろしくおねがいします!
【Twitter】
https://twitter.com/Refinecorp
【Instagram】
https://www.instagram.com/refine.coltd
