1
/
5

「EC-CUBE4.1 RC」ってなに?

EC-CUBE4.1をリリース候補版であるEC-CUBE4.1 RC。
EC-CUBE4.1 RCを使ってEC-CUBE4.1正式リリースへ向けて最終動作試験が実施されています。
今回はEC-CUBE 4.1 RCの機能についてご紹介していきます。

開発SE /システムエンジニア
完全自社内開発!売れる✖️ワクワクするEC制作しませんか?開発SE募集
■完全自社内開発という強み 株式会社Refneは、EC-CUBEを利用したECサイトの制作がメインの会社です。ECサイト開発において国内シェアNo.1の【EC-CUBE】プラチナパートナーや【Shopify】エキスパートパートナーである当社。 それらを強みに、大手上場企業から中小企業までエンドユーザーとの直取引が9割以上のRefine。確かな実績のもと、大手企業やアーティストなど大規模な案件を完全自社内で手掛けています。 ≪事業内容≫ ●ECサイトの企画・制作 ●ECシステム開発 ●ECコンサルティング ●D2Cブランド アパレル・食品の企画・開発・運営 ●SNSコンサルティング ●WEBサイトの企画・制作 ●WEBシステム開発・AWSサーバ運用支援 ≪実績≫ ●国内シェアNo.1(※)「EC-CUBE」のプラチナパートナー ●Shopifyのエキスパートパートナー ●SNSエキスパート上級を取得 https://www.re-fine.jp/works
株式会社Refine

管理画面のログイン履歴

EC-CUBE4.1では、機能確定版である EC-CUBE4.1 β3から試験と不具合修正を行い、EC-CUBE 4.1 RCをリリース。最終動作試験を実施した後にEC-CUBE 4.1 がリリースされるようです。

まず、管理画面のログイン履歴のアカウントの乗っ取りなどで、管理画面への不正なアクセスがあったかを知れるように日時・IPアドレス・ブラウザなどの履歴を残したいとの要望があったことから、管理画面のログイン履歴が残るように改修されたようです。

  • 管理画面ログイン画面で入力したログインID、ログイン成否、IPアドレス、該当するMember、試行日時をテーブルに記録
  • 上で保存した記録を一覧画面で表示、検索できる
  • 管理画面へのアクセスを拒否するIPリストを指定できる (セキュリティ管理で登録)

https://github.com/EC-CUBE/ec-cube/pull/4978

htmlディレクトリ以下では、PHPを実行できないように修正

元々の使用では、ファイル管理などからPHPファイルをアップロードできるようになっており、他の脆弱性を組み合わせてwebシェル等のファイルを設置されるなどの攻撃手法が報告されていました。

そのため、htmlディレクトリ以下ではPHPを実行できないように修正が行われています。

フロント入力項目のサニタイズを追加・強化

フロント画面からの入力が明らかに不適切で、攻撃の可能性がある入力はそもそも入力できないようにしたいとの要望が上がっていました。

  • 特定文字、文字列に対してバリデーション化、サニタイズの処理を追加

できればデフォルトで有効な機能とし、必要な場合に明示的に外せるようにすることで、改善したようです。

管理画面へのログインで二段階認証を導入

セキュリティーの観点から、管理画面へのログインはID/パスワード方式だけでなく、二段階認証も導入できるようにしたいとの要望が上がっていました。

  • comporserで2段階認証用のパッケージを追加

上記のような方法で2段階認証を導入し、セキュリティ強化を図りました。このほかにも、標準時のSEO強化なども進んでおります。

まとめ

今回はEC-CUBE 4.1 RCの機能についてご紹介していきました。
EC-CUBE4.1 RCを使ってEC-CUBE4.1正式リリースへ向けて最終動作試験が実施されています。

株式会社Refine's job postings

Weekly ranking

Show other rankings