カテゴリー: コンピューター

Linux の悪戦苦闘記、プログラミング、WordPress、ウェブサービス、Windows、Mac などの話題ですの。

カテゴリー
コンピューター

EC-CUBE 2.12.6 のセッション管理の不備対策、 CSRF 対策を確認しました♪★勉強★

セッション管理の不備、つまりセッション・ハイジャック、セッション・フィクセーションの脆弱性と、クロスサイト・リクエスト・フォージェリ(CSRF)の脆弱性について、EC-CUBE 2.12.6 を対象に見てみました。

結論をまず申し上げますと、「対策はなされていますけれども、わたくしのレベルが低くて充分なセキュリティ強度があるかどうかは結局わからなかった」です。

ウェブ健康診断仕様の 18 ページ、 (K) セッション管理の不備の検出パターン、「1 ログインの前後でセッションID が変化するか」で「セッションID が変わらない場合」に脆弱性ありとしています。

EC-CUBE 2.12.6 を調べてみましたら、会員ログイン時も、店舗管理者ログイン時も、ログイン前後でセッション ID は不変でございました。脆弱性がありますわ!まあ!どういたしましょう!

そう思いつつ、安全なウェブサイトの作り方の対応セクション、16 ページからの「1.4 セッション管理の不備」を拝見いたしますと、■ 根本的解決の部分に次のようにありました。

  • ■ 根本的解決「4-(iv)-a ログイン成功後に、新しくセッションを開始する。」

あら、やっぱり EC-CUBE 2.12.6 には脆弱性があるのでしょうか?もう少し読み込んでみますと、次の対策でも良いとのこと。

  • ■ 根本的解決「4-(iv)-b ログイン成功後に、既存のセッションIDとは別に秘密情報を発行し、ページの遷移ごとにその値を確認する。」

また、同様のことが書籍『体系的に学ぶ安全なWebアプリケーションの作り方』にも記載されております。

  • P181 に、認証後に「セッションIDの変更ができない場合はトークンにより対策する」ことで、「トークンによりセッションIDの固定化攻撃を防御できます」とのこと。

この対策は、EC-CUBE 2.12.6 のログイン機能に施されているでしょうか?調べましたので記録を残しておきます。

なお、セッション管理の不備について調べていくうちに、トークンをページ遷移ごとに確認する方法はクロスサイト・リクエスト・フォージェリ対策にもなることに気が付きましたのでまとめてノートです♪

続きを読む “EC-CUBE 2.12.6 のセッション管理の不備対策、 CSRF 対策を確認しました♪★勉強★”
カテゴリー
Microsoft

エクセル 2003 で読み取り専用オン・オフをファイルを開いてからワンクリックで可能にする設定方法♪

読み取り専用ボタンの表示方法

  1. 表示 → ツールバー → ユーザー設定
  2. 「コマンド」タブ
  3. 「読み取り専用の設定/解除」をドラッグして、エクセルのツールバーの配置したい位置にドロップ

手元が狂ってエクセルファイルを編集してしまい、ぼうっとしていてさらに保存してしまうと大変困ったことになるファイル、というのは結構ございます。エクセル表計算が、お金の管理をするのに相性が良いからですね。

ですので、読み取り専用にして、うっかり弄ってしまったとしてもセーブできないようにいたしますと実際安心ですの♪

おわりに

ちなみに、「設定方法」と打とうとして、「設定ホッホ」とタイプしてしまったことはヒミツですの♪なんだかかわいい♪。。。どうでもいいですの。

以上です。

カテゴリー
コンピューター

Cookie を削除してからセキュア属性を確認しなさいな!★慌てるな★

ポイント

  • Cookies はウェブブラウザに一定期間保存される。
  • php.ini で session.cookie_secure = 1 と設定してを再起動するとウェブサーバに反映される。
  • よって、サーバのクッキー設定をウェブブラウザから確認するためには Cookie をまず削除することが肝心

大変初歩的なことでございますの!どうして気が付かなかったのかしら><。

続きを読む “Cookie を削除してからセキュア属性を確認しなさいな!★慌てるな★”
カテゴリー
コンピューター

Cookie のセキュア属性を確認する方法★Chrome★

スクリーンショット 2013-10-15 22.35.08.png

Chrome のデベロッパーツールでの Cookie のセキュア属性確認方法

  1. Chrome を起ち上げ、右クリック「要素の検証」または「command + option + i」または「commando + option j」でディベロッパーツールを起動する。
  2. 上部メニュー「Resources」を選択する。
  3. 左メニュー「Cookies」の欄からクッキーを選択する。
  4. 右側の項目「Secure」を確認する。

一言で言えば、「デベロッパーツール > Resources > Cookies > Secure でクッキーのセキュア属性を確認」ですの。

これで、チェックがついていればセキュア属性が有効と判断できると考えています。

続きを読む “Cookie のセキュア属性を確認する方法★Chrome★”
カテゴリー
ゲーム

【MH4】モンスターハンター4。毒の片手剣最終形のデッドリィタバルジンを作る♪

前提

  • 集★3までをクリア。ハンターランクを4にする。

集会所クエスト3をクリアし、自分自身のハンターランクを4にすることがデッドリィタバルジンを作る上の必須条件でございます。一緒に「近くの人と遊ぶ(ローカル通信)」で遊んでいただいた方に集会所のキークエストに連れて行ってもらい、キークエストだけわたくしたちが受けて効率よくハンターランクを4にいたしました。

なお、村クエスト4の緊急クエストである「黒く蝕み地を染めん」ゴア・マガラ討伐まですすめておりました。こちらの条件は必須ではありません。ただ単に、デッドリィタバルジンを作る時の状況を確認したまでです。

毒の片手剣最終形のデッドリィタバルジンを作るまでの記録♪

続きを読む “【MH4】モンスターハンター4。毒の片手剣最終形のデッドリィタバルジンを作る♪”
カテゴリー
コンピューター

XSS を確認するなら Chrome 30.0.1599.69 は避けたほうがよいです!

スクリーンショット 2013-10-11 22.30.04.png

XSS(クロスサイトスクリプティング)脆弱性をウェブブラウザで確認するなら Google Chrome 30.0.1599.69 は避けたほうが良い理由♪

  • エスケープされているかどうか HTML ソースを表示して確認しようとするとページがリロードされてしまい、入力した値が消えてしまうから。

ちなみに、バージョン 30.0.1599.69 を明記しておりますが、他のバージョンでならできるのかい?と問われますと、わかりません!が答えです。

実際にページの HTML ソースが確認できない様子

続きを読む “XSS を確認するなら Chrome 30.0.1599.69 は避けたほうがよいです!”
カテゴリー
コンピューター

対応レスポンスコードがApache バージョンによって違うがために、Webサイトメンテナンス画面を出すための .htaccess でハマったのを解決♪

こちらを参考に、サイトのどのページにアクセスされても、メンテナンスページを表示するよう .htaccess ファイルを編集しておりましたけれども、ハマってしまいました。

解決いたしましたのでメモです♪

  • mod_rewrite の R フラグのレスポンスコード指定を削除した。
  • つまり、[R=503,L] → [R,L] でエラー解消した♪
  • [R=503,L] のときは URL は同じで置換されなかったが、[R,L] のときは URL がメンテナンスページの URL へと書き換わった
  • Apache のバージョンが 2.0.64 の環境で起きた。参考ページのバージョンは2.2。これが原因!

対応レスポンスコードは Apache 2.0 なら 300 〜 400 が指定可能で、Apache 2.2 以降はすべてが指定可能

原因を探るべくドキュメントをあさりましたら、確かにございました!ポイントは次です。

続きを読む “対応レスポンスコードがApache バージョンによって違うがために、Webサイトメンテナンス画面を出すための .htaccess でハマったのを解決♪”
カテゴリー
コンピューター

EC-CUBE で全ページ HTTPS にするのに mod_rewrite を使いました★YA★TTA★!

Apache の mod_rewrite を使用するので EC-CUBE でなくとも WordPress などのサイトでも SSL に統一することができる設定方法

eccube/html/.htaccess の末尾に次を追加します。

# HTTPS に統一
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R,L]
  1. RewriteEngine On → mod_rewrite を使えるようにする
  2. RewriteCond %{HTTPS} off → 条件式に相当。HTTPS がオフだったら次を実行
  3. RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R,L] → 実行する内容。
    「^(.*)$」を「https://%{HTTP_HOST}%{REQUEST_URI}」に置き換える。
    ^ 行頭、. 任意の一文字、* 直前の文字の 0 回以上の繰り返し、$ 行末。
    [R,L] はリダイレクトした後、変換処理をここで終了する、という意味らしい。。。

ドキュメントは次です。日本語ですけれども(ヤッター)、Apache 1.3 のドキュメントと古いです。新しいバージョンのものももちろんございますけれども、英語でニュービーには辛いですの><。

そもそもなぜ HTTPS に統一しようと思ったかと申しますと、、、

続きを読む “EC-CUBE で全ページ HTTPS にするのに mod_rewrite を使いました★YA★TTA★!”
カテゴリー
コンピューター

EC-CUBE で全ページ HTTPS にする簡単な方法を見つけたと思ったけれども DA★ME★DA♪

次の方法で EC-CUBE 2.12.6 の全ページを HTTPS にきると思っていましたが違ったみたいです。。。

  • インストール中であれば、「WEBサーバーの設定」ブロックの「URL(通常)※」「URL(セキュア)※」に指定する URL をどちらも「http」→「https」と修正する。
  • インストール後であれば、data/config/config.php の HTTP_URL および HTTPS_URL の値を「http」→「https」と修正する。

HTTPS_URL に https と入力しますと URL は必ず https になりますけれども、HTTP_URL に https と修正しましても、リンクは https に変更されません。

テンプレートでは HTTP_URL を使用していないのですね。。。たとえばヘッダーのテンプレートを見ますと

<!--{$smarty.const.TOP_URLPATH}-->

となっております。HTTP_URL 使ってませんの!

続きを読む “EC-CUBE で全ページ HTTPS にする簡単な方法を見つけたと思ったけれども DA★ME★DA♪”
カテゴリー
Google

Google データエクスポートを使って Google+ の無料の保存容量の制限を超えていないか確認する方法メモ♪

スクリーンショット 2013-10-06 9.51.46.png

Picasa ウェブアルバムのオンライン容量を確認してみますと、「使用容量: 50 MB」です。

????ナンデ?

写真のサイズが大きすぎたでしょうか。。。下記で確認したように、縦横のサイズは最大 2048 px となるように調整しておりますのに。。。

確認いたしましょう!でもでも!です><。Picasa ウェブアルバムは一覧のページで確認することができません。一枚一枚、詳細ページから確認することはできますけれども、面倒です。そこで、一手間かかりますけれども、サイズ確認のストレスを軽くするために次のような方法を取りました。ノートいたしますの。

Google の無料の保存容量の制限を超えていないか確認する流れ

  1. 写真データを入手する
  2. Mac の Finder で写真の縦横サイズを確認できるように設定する
  3. 写真の縦横サイズを確認する
続きを読む “Google データエクスポートを使って Google+ の無料の保存容量の制限を超えていないか確認する方法メモ♪”