管理のセキュリティーの向上
新着情報/WEBインベンター

バージョンUP、最新情報、キャンペーン情報などを、月1回ほど配信 - WEBインベンター

新着情報/WEBインベンター 新着情報/WEBインベンター

管理プログラムのセキュリティーの向上 2010年04月07日

管理プログラムのセキュリティーの向上

※セキュリティー強化版の進行状況⇒修正履歴

WEBインベンターのご利用に心から感謝いたします。ショッピングカートの管理プログラムのセキュリティーを一層向上させましたのでお知らせいたします。

追加された機能は、次の4つです。
(1)クッキーによるログイン方式。
(2)指定したIPアドレスからのみ管理プログラムにアクセスできる。
(3)パスワードの暗号化。
(4)メールフォームのスパム対策など。

それで、追加された管理プログラムの機能とバージョンUPの方法をお知らせいたします。
1.追加された管理プログラムの機能
2.バージョンUPの方法

━━━━━━━━━━━━━━━━━━━━━━━━━━━
1.追加された管理プログラムの機能
━━━━━━━━━━━━━━━━━━━━━━━━━━━
管理画面に入る方法をクッキーによるログイン方式にしました。それで、クッキーの有効期間をブラウザーを閉じるまでにしてありますが(ブラウザーをすべて閉じなければなりません)、忘れずログアウトしてください。ログアウトは管理メニュー画面からできます。

【注意】管理画面をSSLで呼び出すときには一貫してすべての管理プログラムをSSLで呼び出してください。admin.htmlもSSLで呼び出してください。(admin.htmlの中のパスを書き換えても良い。)

また、指定したIPアドレスからのみ管理画面に入れるようにしました。IPアドレスは複数指定できます。1つも指定しない場合は、IPアドレスに関係なくログインできます。また、IPアドレスは変化する場合があります。その場合、変化しない部分だけを設定できます。

IPアドレスは、set_class_pl/login_ip.plファイルに下記のように記述します。

#複数登録するときは、カンマで区切って追加。
$login_check_ip ='220.122.95.169,200.142.97.169';

1←←必要

※管理メニュー画面の下の方にアクセスしているPCのIPアドレスが表示されるようにしました。

さらに、ログインパスワードを暗号化しました。それで、もし、クッキーが盗まれたり、パスワードを含む設定ファイルが見られるようなことがあっても、簡単にはパスワードを特定することができません。また、この機会に管理のログインパスワードを1つに統一しましたので、管理しやすくなりました。システム設定【1】のパスワードが全体のパスワードになります。(パスワードを1234以外の値に設定して更新すると暗号化されます。)

※パスワードを忘れてしまった場合には当社にお問い合わせください。再設定の方法をお知らせいたします。

また、メールフォーム等のスパム対策を強化しました。

━━━━━━━━━━━━━━━━━━━━━━━━━━━
2.バージョンUPの方法
━━━━━━━━━━━━━━━━━━━━━━━━━━━
バージョン番号が1増えています。それがまた、ダウンロードプログラムの名称になります。
たとえば、PCtoMobile13.LZH→→PCtoMobile14.zip となります。

今回のこのバージョンUPは下記のショッピングカートが対象です。
SP-Final Ver.10
SP-Final NE Ver.10
reserve Ver.11
epsilon-NPZ Ver.12
Multi-AFF Ver.12
PCtoMobile Ver.14
PCtoMobile2 Ver.14
PCtoMobile-Unicode Ver.14
Contents-Cart Ver.14

※Contents-Mallに関しましては、近日中に大幅なバージョンUPを予定しています。また、他のショッピングカートでIPアドレスによるアクセス制限をかけたいときは、IPアドレスのチェックプログラムip_check.plを使って簡単にアクセス制限ができます。⇒IPアドレスのチェックプログラム

ショッピングカート内の変更したプログラムは下記のものです。ショッピングカートにより含まれているものやフォルダが多少異なるかもしれませんが、ここに示されたファイルが今回変更追加されたファイルのすべてです。追加されたファイルは←で示されています。含まれるファイルを変更し、追加されたファイルを追加してください。

【修正プログラムリスト】
set.pl
index.cgi
shop.cgi
shopssl.cgi
entry.cgi
histry.cgi
k_set.pl

k_shop.cgi
k_entry.cgi
form.cgi
formk.cgi
admin.html
setup.cgi
sale.cgi
member.cgi
goods.cgi
payment.cgi
fset.pl
fsetup.cgi
fsale.cgi
upload.cgi
set_class_pl/login_ip.pl
←追加
       /login_ip_check.pl
←追加
setup_pl/adm_menu.pl
←追加(shop_pl内のadm_menu.plとadm1.plは不要となります)
     /field00.pl
     /field17.pl
     /field18.pl
     /field25.pl
affiliate/aff_adm.cgi
     /aff_main.cgi
     /
aff_link.cgi
     /index.html
analyzer/analyzer.cgi
     /index.hyml
     /top.html
ror_sitemap.cgi
html_maker.cgi
address.cgi
zaiko_manager.cgi


新バージョンの管理プログラムのサンプル:
http://wb-i.kir.jp/sample/SPF910/setup.cgi
http://wb-i.kir.jp/sample/SPFne910/setup.cgi
http://wb-i.kir.jp/sample/reserve/setup.cgi
http://wb-i.kir.jp/sample/epsilon_NPZ/setup.cgi
http://wb-i.kir.jp/sample/Multi_AFF/setup.cgi
http://wb-i.kir.jp/sample/PCtoMobile/setup.cgi
http://wb-i.kir.jp/sample/PCtoMobile2/setup.cgi
http://wb-i.kir.jp/sample/PCtoMobile_Unicode/setup.cgi
http://wb-i.kir.jp/sample/contents_cart/setup.cgi


すべてのプログラムをバージョンUPしたいときには下記の手順を参考にしてください。使用中のものがかなり古い場合や可能な場合は、そうするようにお勧めいたします。これまでの細かな修正が取り入れられるだけでなく、追加された新機能も活用できます。
http://wb-i.net/advice.htm#up

※新バージョンのプログラムをダウンロードするために再注文する必要はありません(無料)。バージョン番号を1増やしたものがダウンロードファイル名です。ファイル名の確認はこちらです。⇒CGI一覧表


現在、プログラムの見直しを何度も繰り返しております。基本的な点は問題ないと思いますが、細かな修正点が出てくるものと思います。ついでに他の脆弱性がないかも調べております。そうした見直しが終了した時点で、新たな修正プログラムを含め、その旨を皆さんにメールでお知らせしたいと思います。ご理解のほどよろしくお願いいたします。

修正プログラム:
【2010/04/09】sale.cgi、fsale.cgi

【2010/04/15】セキュリティー強化版の見直しの終了。
全体の見直しを行いました。上記のsale.cgiのバグを含めいくつかのバグを修正いたしました。それに加え、この機会に可能な範囲で特殊文字「<」「>」「&」「"」「'」の扱い方を統一しました。それで、この見直しにおける修正の多くは特殊文字の扱い方の調整になります。上記の修正プログラムリストに4つだけ赤で示したプログラムが付け加わります。修正したプログラムは本日UP致しました。

※携帯カートでは携帯3キャリアからのみアクセスできるように設定できます。k_set.plとformk.cgiの最初のところで設定します。

【2010/04/16】バグの修正。-member.cgi、affiliate/aff_adm.cgi

【2010/04/17】改良。-member.cgi、affiliate/aff_adm.cgi、set_class_pl/login_ip_check.pl

【2010/04/22】改良。-entry.cgi、set.pl、shopssl.cgi、k_entry.cgi、address.cgi、affiliate/aff_main.cgi、aff_set.pl、aff_set2.pl、set_class_pl/login_ip_check.pl

【2010/04/22】上記の改良に伴うバグの修正。-set.pl、index.cgi、k_shop.cgi

※携帯カートでは携帯3キャリアからのみログインできるようにしました。

【2010/04/30】改良に伴うバグの修正と改良。-shopssl.cgi、k_shop.cgi、convert.cgi、entry.cgi、shopssl_pl/order_mail.pl、k_shop_pl/sure.pl、analyzer/analyzer.cgi、affiliate/aff_main.cgi、aff_link.cgi、convert.cgi

【2010/05/06】改良。-entry.cgi、sale.cgi、k_charm.cgi、shop_pl/common.pl、shopssl_pl/sure.pl、order_form.pl、affiliate/aff_main.cgi、shopssl.cgi、shop.cgi

※修正履歴の続き⇒セキュリティー強化版のすすめ


今回のバージョンUPにあたり、ある専門家の方や他の方々の貴重なご意見を参考にさせていただきました。心から感謝いたします。引き続き皆様のご意見を取り入れながら、さらに優れたシステムを開発して行きたいと思います。ご指導の程、よろしくお願いいたします。


Copyright (C) 2010  WEBインベンター All rights reserved.