【EC-CUBE】Q&A・・・
>>303
本家サイトからはダウンロードできなくなっているからねえ 下記の記事の件、アーカイブで調べてみたらやっぱり EC-CUBE 2 だったっぽい
>>272辺りからずっと注目してたけど、結局何が原因だったのか分からず仕舞いか
セキュリティチェックプラグインとか出てたけど、あんな程度の話・原因だったとは
到底思えないんだけど…
東映子会社のECサイトに不正アクセス カード情報1万件に流出の可能性
ttps://www.itmedia.co.jp/news/articles/2010/01/news108.html コード読むのがオレオレ実装のものより辛いんだけどECCUBE使うメリットってなに? >>305
記事の内容からすると、カード番号を保持していたということだと思うけど、
だとしたら、相当古いEC-CUBEなのかね? サーバー会社から注意喚起が!!
2020/12/03
この度、EC-CUBEのバージョン3.0系にて2件の脆弱性が確認されました。
該当のバージョンのEC-CUBEをご利用のお客様は、以下対策をお願いいたします。
(以下略) EC-CUBEってクレジットカード情報保存してたっけ? そもそもプラグイン入れないとカード決済の機能なくない?
プラグインによっては保存するのか PCI DSSの要件があるからEC-CUBEを設置するレベルのサイトには
まず間違いなくクレジットカード情報は保存されない
クレジットカード情報を入力するページは決済代行会社側のページ
決済代行会社へのリダイレクト先を書き換えられて
クレジットカード情報を収集する攻撃者のページに遷移されられる これも共にEC-CUBE
複数ペットフード販売サイトに不正アクセス - クレカ情報が流出
https://www.security-next.com/123517 これもEC-CUBEだったっぽい
麦茶の石垣食品で個人情報流出 不正アクセス、224人分
https://www.okinawatimes.co.jp/articles/-/712622
公式サイトに最新の技術と環境を用いたリニューアルサイトに切り替えた
って書いてるけど、結局EC-CUBEなのね… これもEC-CUBE
和装店のオンラインショップに不正アクセス - 顧客情報流出の可能性
https://www.security-next.com/124105 どの決済プラグインがやばいとか、何か情報ないのかよ
何でやられたんや これも、公開ディレクトリ内にdataディレクトリを置いて、アクセス権設定がザルだったとかなのかなあ 2.17.1rev.X PHP8対応したね
Warning(E_WARNING): A non-numeric value encountered
Warning(E_WARNING): Undefined array key "xxxx"
出まくりだけど、とりあえず動く感じですな。
地味にWarning潰していけば、まだまだ戦える!有志には感謝です。
2.17.2リリースもそろそろなのかな。
レンタルサーバー側が MySQL5.7 → MariaDB10.5 近日移行を宣言してきやがった。
そのまま2.17系動くだろうか? MySQL5.7 → MariaDB10.4で切り替えて常用してるけど特に問題はない安定して使えてるよ
MariaDB10.5はわからんけど、多分大丈夫
ただmdb2_driver_mysqliにmicrotimeとmt_randを直接加算しちゃってるコードがあって
PHP7だと問題ないけど、PHP8だと途方もない桁違いのWarning出まくるからコードの修正は必須
このモジュール4年も更新されてないし、自力で修正が必要になる EC-CUBE使ってる人って、ただだから使ってるん?
それとも、他に移行先が無いから使ってるだけで、
良い移行先が有れば値段次第では移りたいん?
どっちなん? 聞いてどうするっていうか…、どうしてほしい?
自分で全部作れるオレから見ればなんの魅力も感じないけど、
作れない人達はなんかメリット感じてんのかなぁ?って。
EC-CUBE2の時にダウンロードしてコード見て『あ、こりゃダメだ』ってなって、
3になってSymfonyで組み替えるから良くなるのかな?と思ったら、
更に酷くなってました、って状況みたいじゃん。
で、クレカ情報まで漏らしまくってて、もう目も当てられないっていうか、
提供元から店舗の人達まで全員含めて『あなたたち、一体何してんすか?』が個人的な感想。 こんなん自分で作れる奴はそらたくさんいるだろ
アホらしくて誰もやらないだけだ お前さんが自分で全部作れるってことはだ、世の中のWebエンジニアの多くも同じように全部作れる訳だ。日本だけでもそれは相当な数の人がいるのはわかるな。
にも関わらず多くの企業や個人が1から全部作らずに、一定の需要があるという事は、あとはわかるな自分で考えような。
わからないならしっかりと義務教育からやり直そうよ。こんなん所で作れる自慢してる場合じゃぁないぞw
あとクレカ情報を漏らしまくってるのは、お前さんもWebエンジニアの端くれならわかるよな。
それを設置する側の知識が問題だって事くらい。 >>329
だったらなんで上の方で延々と設計の酷さの文句を言ってるん?w
それについてなんでお前、何も言わないん?w
実はおまえ『が』自分では作れないんじゃん?w
多分、お前が1から作ったら今のEC-CUBEよりも更にポンコツになりそうなんじゃん?w 煽る君、実はEC-サイトASPを作ったけど、EC-CUBEに太刀打ちできなかった
腹いせにやってきたのかもなw 【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性発覚と対応のお願い(2021/05/07)
EC-CUBE4系ご利用の一部サイトにおいて、クロスサイトスクリプティング(XSS)脆弱性の悪用によるクレジットカード情報の流出が確認されています。 これ、修正内容 mail_confirm.twig の差し替えのみでしょ。テンプレートの変更のみ。
これ {{ form.tpl_data.vars.data|trans|raw|nl2br }} が
コレ {{ form.tpl_data.vars.data|trans|nl2br }} になる
多分、HTML生成して表示するからタグが実体参照に置き換えられないようにrawフィルタ当ててたらXSSコード埋め込まれてた場合に発動しちゃった…、でしょ。
ほんと、何やってんだろ、この人達。
基本、フレームワークとかライブラリとか使ってる“だけ”の人達って、
意味考えないで使うから必ず崩壊するよね…。 ec-cube4.0.xのマイナーアップデート(4.0.4 => 4.0.5とか)って、アップデートプラグインでうまくいく? 最近EC-CUBEやめる所多くて儲からなくなってきた >>342
EC-CUBEやめて、どれに流れてるの? symfonyなんてマイナーフレームワークを努力しながら学習してこれ使うぐらいならdjangoでも社員にやらせて普通にサイト作ったほうがずっと楽そうだけど とうとう今年ECCUBEの案件が一個もなくなった
まあむしろ今までよく残ってたよ、さようなら ゴミみたいなカスタマイズされたEC-CUBE2系のメンテとか嫌すぎ。
んで4系にしたいとか、アホちゃうか。 そんな無知なところに金払ってメンテとか委託してる会社が本当気の毒だ。 これの改修案件とか地雷も良い所なのにどこも安いよなw
PHPだからって安いとかもう時代遅れも良い所だろ
おまけに改修案件が安いのも頭おかしい
新規より絶対メンドクサイのに まぁそうなんだけどね
ただこれを採用すれば安く済むみたいに思っているのがどうもね・・・
むしろ高く付く場合もありそうw >>351
ちょこっとカスタマイズしようとすると、結構バグが見つかって、何をやってるのか
わからなくなるんだよねー
あたしゃ、制作会社の下請けなので、言われたことだけをして金を貰うだけだけど
EC-CUBEのコミュニティに参加して、バグを報告すればいいんだろうけどw >>351
無料なんだからどう転んでも一番安上がりなはずだろ
と思われてる > 無料なんだからどう転んでも一番安上がりなはずだろ
> と思われてる
Wordpressといっしょ。
日本の経営者って、バカしかいないから。 wordpressもプログラムを修正するレベルのカスタマイズが必要なら
あんまり安い値段でやるのもどうかなと思うよねぇ 教えて欲しいです
netbeansでeccubeのソースをデバッグしたいのですが、ブレークポイントで止まってくれません。
他のプロジェクトは止まるんですが…。ずっと接続を待っていますになってます。 ec-cube4だけど、インストールはうまく院だけど、プラグインをインストールすると
どうも composer周りでエラーが起きてインストールできない。
UbuntuもAlmaLinuxもどちらでもダメ。
俺様に問題があるのか、ec-cube4がその程度なのか? >>358
自己レス
vagrant環境だと起きるみたいだった ec-cube4のCollectionTypeがうまく動かんぞ まだ使ってる所あるの?
さすがにうちは2021年で案件一つもなくなったわ なんで海外ではwoocommerceの方が人気があるのに
日本は、ec cube? ec-cube2.17.2 有志によってしっかりメンテ続いてる。
今日もリポ更新きた。本当ありがたい!
フロント側だけレスポンシブにして定期的にリニューアルさえしてやれば、PHP8だって対応してるし、まだまだ戦える。
とても安定してるので3系4系より安心だわ。 eccube4のプラグインデータ オーナーズストアからしかダウンロードできないのなんとかして欲しいなぁー
処理重すぎて、インストール失敗する場合のほうが多いし
一度インストールしてしまえば実ファイルあるんだから圧縮するかコマンドから別のecサイトにプラグインインストールできちゃうわけで... >>367
売り物プラグインがあるからねぇ
あぽーやぐぐーのストアみたいなことをやりたいのはわかるけども ec-cube4、管理画面トップだけが「安全でない」と表示される
その下の商品一覧などのページは表示される
why? ECCUBE2.17のpage_extendsのなかのファイルが読み込まれないんだが
LC_Page_xxxをカスタマイズする場合、page_extendsにおくだけじゃダメなの? ec-cube4のentityのカスタマイズで、
ProductTrait
は動くんだが、
OrderPdfTrait
は動かない
なんでだ??