/** Geminiが自動生成した概要 **/
SOY Inquiryで、削除したはずの問い合わせ内容が管理画面から検索できてしまうという個人情報保護の観点からの指摘に対し、以下の改善策を講じた。1. 論理削除後30日でデータベースから完全に削除される「自動削除機能」を追加2. 過去の問い合わせを一括で論理削除しやすくするため、「問い合わせ一覧の件数指定」機能を追加3. 誤って削除した場合も復元できるよう、「論理削除したレコードの確認・解除機能」を追加これらの機能はSOY Inquiry 2.8以降で利用可能。SOY Shopでも同様の要望があれば、問い合わせページから連絡を。
/** Geminiが自動生成した概要 **/
SOY CMSの管理画面に、IPアドレス制限機能が追加されました。従来の.htaccessによる制限だと、出張先などIPアドレスが異なる場所からアクセスする際に、都度設定変更が必要でした。新機能では、管理画面から一時的に制限を解除する「アンロック」が可能になり、利便性が向上しました。解除方法は、セキュリティに配慮し、URLを手動で作成する方式を採用しています。今回のアップデートにより、柔軟かつ安全な管理画面へのアクセス制限が可能になりました。ダウンロードは公式サイトからどうぞ。
/** Geminiが自動生成した概要 **/
ChromebookでOpenVPN Connectを使ってVPN接続する手順のメモ。必要な証明書ファイル等をPlayファイル内のAndroidディレクトリに作成したフォルダに配置し、OpenVPN ConnectアプリでOVPNファイルを読み込むことで接続できた。Playファイルはアプリから参照できるディレクトリがダウンロードのみのため、誤操作防止のためAndroidディレクトリ内にフォルダを作成して証明書を配置した。
/** Geminiが自動生成した概要 **/
SOY CMS/SOY ShopでクッキーとセッションのSameSite属性を変更する方法について解説されています。標準ではLaxに設定されていますが、Strictに変更したり、SameSite=None; Secure=true;にすることができます。設定は /CMSインストールディレクトリ/common/config/session.config.php 内の $sessCnf["samesite"] の値を編集することで行います。例えば、Strictに変更する場合は "Strict" を設定します。この変更はSOY CMSとSOY Shop全体に反映されます。変更後のパッケージはsaitodev.co/soycms/からダウンロード可能です。
/** Geminiが自動生成した概要 **/
Let's Encryptを用いて、wwwあり(www.example.com)なし(example.com)両方のドメインでhttpsアクセスを実現する方法。Ubuntu 18.04、Apache2環境を前提とする。まず、certbotをsnapでインストールし、example.comのhttps化を行う。その後、www.example.comの証明書取得のため、`certbot certonly --webroot`コマンドを実行(webroot-pathはドキュメントルート)。最後に、Apacheの設定ファイル(000-default-le-ssl.conf)にwww.example.comのVirtualHost設定を追加し、example.comへのリダイレクトを設定、Apacheを再起動する。
/** Geminiが自動生成した概要 **/
SOY Shopのカートで、Android Chrome利用時にセッションが突然切れ、カートの中身が消える問題が発生した。原因はCSRF対策で毎回`session_regenerate_id()`を実行していたこと。モバイルネットワークは不安定なため、`session_regenerate_id()`実行でセッション消失が起こる可能性があることがPHPマニュアルに記載されていた。対処として、スマホからのアクセス時は`session_regenerate_id()`を実行しないように変更した。関連記事「SOY CMSでSameSite cookiesの対応を追加しました」では、SameSite属性を設定することで、クロスサイトリクエストフォージェリ(CSRF)攻撃への対策を強化している。具体的には、CookieにSameSite=Lax属性を設定することで、クロスサイトでのCookie送信を制限し、セキュリティを向上させている。これにより、SOY CMSを利用するサイトのセキュリティが強化され、ユーザーの情報がより安全に保護される。
/** Geminiが自動生成した概要 **/
SOY Inquiryで構築したお問い合わせフォームの管理者宛通知メールが突如届かなくなった。調査の結果、送信テストの繰り返しにより、さくらのメールボックスで迷惑メールと判定されていたことが判明。対応として、メールボックスのコントロールパネルで管理者メールアドレスをホワイトリストに登録した。転送設定を利用しているため、転送先メールアドレスのホワイトリストにも同様の登録が必要。通知メールにお問い合わせ番号を含めることで迷惑メール判定を回避できる可能性も検討中。
/** Geminiが自動生成した概要 **/
Android版ChromeでPHPセッションが突然切れる問題への対応についての記事を要約します。問題は、特定のAndroid版ChromeのバージョンでSameSite属性のないcookieがアクセス拒否されることに起因していました。解決策として、PHPで`session_set_cookie_params`関数を使用し、`SameSite=None`と`Secure`属性をcookieに設定することで、HTTPS通信時にのみcookieが送信されるようにしました。この変更により、Android版Chromeでのセッション維持が可能になりました。さらに、データベーススキーマの見直しやマイページの処理最適化を行い、表示速度の向上も実現しました。関連情報として、Webブラウザセキュリティに関する書籍の紹介や、cookie属性の詳細を解説するMDNのドキュメントへのリンクが掲載されています。
/** Geminiが自動生成した概要 **/
記事では、SOY2HTMLでセキュアなフォームを作成する方法を解説しています。具体的には、CSRF対策としてトークンを埋め込んだフォームを生成するHTMLFormクラスの使い方を紹介しています。 buildHiddenToken()でトークンを生成し、isValidToken()で検証することで、悪意のある外部サイトからのリクエストを無効化できます。また、トークンの有効期限を設定することでセキュリティを強化できます。記事では、具体的なコード例を交えながら、これらの機能の使い方を分かりやすく説明しています。 さらに、HTMLFormクラス以外の方法として、独自にトークンを生成・検証する方法についても触れています。
/** Geminiが自動生成した概要 **/
この記事では、PHPにおけるSQLインジェクション対策としてプリペアードステートメントの有効性を検証しています。まず、脆弱なコード例を示し、攻撃者がSQL文を操作して意図しないデータを取得できることを実演。次に、プリペアードステートメントを用いた修正版を紹介し、SQL文と入力データを分離することで攻撃を防ぐ仕組みを解説しています。具体的には、プレースホルダを用いてSQL文を準備し、executeメソッドでパラメータをバインドすることで、入力データがSQL文として解釈されることを防いでいます。結果、同じ攻撃を試みてもデータが取得できず、プリペアードステートメントの有効性が確認されました。関連記事として、SOY2DAOでのプリペアードステートメントの利用方法も紹介されています。
/** Geminiが自動生成した概要 **/
SOY2では、XSS対策としてhtmlspecialcharsを簡便に利用できるHTMLLabelを提供している。記事では、HTMLLabelの基本的な使い方と、soy:idを用いた動的な値の表示方法を解説。HTMLLabelはHTMLタグを自動的にエスケープし、安全に値を表示。例として、ブログ記事のタイトルを表示するコードを紹介し、HTMLLabelを用いることで、タイトルに含まれるHTMLタグがエスケープされ、XSS脆弱性を防ぐ様子を示している。また、HTMLLabelの子要素としてHTMLタグを記述することで、特定のタグを許可することも可能。記事は、HTMLLabelがSOY2でのXSS対策に効果的であることを示唆。
/** Geminiが自動生成した概要 **/
SOY Inquiry 2.0.0.3以前のバージョンにリモートコード実行(RCE)の脆弱性が見つかりました。これは非常に危険な脆弱性であり、全ての旧バージョンが影響を受けます。早急に最新版へアップデートしてください。対応版は下記URLからダウンロード可能です。https://saitodev.co/soycms/soyinquiry/
/** Geminiが自動生成した概要 **/
サイバー攻撃の増加は深刻な問題であり、特にCMSを狙った攻撃は増加傾向にある。記事ではSOY CMSへの攻撃事例を通して、その脅威を具体的に示している。攻撃者は管理画面へのログインを試みたり、脆弱性を突いて不正アクセスを試みる。対策としては、管理画面のURLを変更したり、.htaccessでアクセス制限をかけることが有効である。また、WAFの導入やセキュリティプラグインの活用も推奨されている。常に最新の情報に注意し、適切なセキュリティ対策を実施することで、被害を最小限に抑えることが重要である。
/** Geminiが自動生成した概要 **/
SOY InquiryがGoogle reCAPTCHA v3に対応しました。reCAPTCHA v3は、ユーザーの行動を分析してボットを判別する仕組みで、従来の文字入力やチェックボックス操作は不要です。SOY CMSのプラグインとして提供され、有効化するとサイト右下にreCAPTCHAロゴが表示されます。v3は学習ベースで精度が向上するため、初期は精度が低い可能性があります. 現時点ではJavaScript無効環境への対策は未対応です。最新版は公式サイトからダウンロード可能です。関連記事では、同一IPからの連続問い合わせをブロックする方法を紹介しています。
/** Geminiが自動生成した概要 **/
Let's Encryptの証明書更新を自動化するため、CertBotを導入した。以前設定したcronでの自動更新が機能せず期限切れメールが届いたため、新しい仕組みに切り替えた。CertBot公式サイトの手順でインストール後、Ubuntu 18.04環境でcronを設定し、毎日2時半に`certbot renew --force-renew`を実行するようにした。Apacheの停止と起動を更新前後に行うように設定し、起動は少し遅らせて実行するようにした。
/** Geminiが自動生成した概要 **/
SOY Shopでクレジットカード番号の不正取得を試みる「クレジットマスター」への対策が強化されました。クレジットマスターは短時間で大量のカード番号を試し、有効な番号を盗み出す攻撃です。対策として、クレジットカード入力画面にreCAPTCHA v3を導入し、ボットによるアクセスを検知します。また、一定回数以上の決済失敗時にアカウントをロックする機能を追加し、不正アクセスの被害を最小限に抑えます。さらに管理画面へのログインにもreCAPTCHA v3を適用し、セキュリティを向上させました。これらの対策により、クレジットマスターからの攻撃を効果的に防ぎ、安全なECサイト運営を支援します。
/** Geminiが自動生成した概要 **/
SOY Shopがクレジットカード情報の不正取得攻撃対策を強化。クレジットカード入力画面への不自然なリダイレクトを検知した場合、該当IPアドレスからのアクセスを遮断する機能を追加。さらに、PAY.JPクレジットモジュールでは、モジュール内でカード情報送信の試行回数を記録し、一定回数を超えるとカート利用を禁止する。これらの対策により、ネットショップが不正利用の踏み台となるリスクを大幅に低減。今後もセキュリティ強化を継続していく。最新版は公式サイトからダウンロード可能。
/** Geminiが自動生成した概要 **/
SOY ShopのPAY.JPクレジットカード支払いモジュールがカード情報非通過化に対応しました。2018年8月1日以降、加盟店はカード情報を直接扱うことが禁止され、トークン化が必須となりました。 そのため、モジュールはカード情報をPAY.JPサーバーに送信し、トークンを受け取って処理するように改修されました。既存モジュール利用者は、サイトのセキュリティ維持のため早急にバージョンアップが必要です。最新版はサイト(https://saitodev.co/soycms/soyshop/)からダウンロード可能です。詳細は「SOY CMSのバージョンアップについて」を参照ください。
/** Geminiが自動生成した概要 **/
旧サーバーでLet's Encrypt証明書の失効、新サーバーで新規発行の手順を解説。旧サーバーでは、`certbot`を使わず、`/opt/letsencrypt/letsencrypt-auto revoke`コマンドで証明書を失効、`delete`コマンドで関連ファイルを削除。ドメイン名(saitodev.co)を指定して実行。新サーバーでの証明書発行手順は別記事を参照。
さくらインターネットから共有サーバでLet's Encryptが使用できるようになったという旨のメールが届いたので、スタンダードプランで運営しているサイトで早速試してみた。今回の文章を読む前に、Let's Encryptと常時SSL化の記事のリンクを載せておきます。Goで運営しているサイトでLet's Encryptを利用してみた当サイトをHTTP/2対応して表示の爆速化してみた常時SSL化はSEO上効果はあるか?それでは早速、Let's Encryptを設定してみます。
Socket.IOで個別チャットを作りたい後編今までSocket.IOでチャットアプリを作ってきたけれども、誰かが気軽に入力できて、他のブラウザで誰かから送信されたメッセージを表示できる。送信時にHTMLタグを入れたらどうなるのだろう?そこらへんはSocket.IOはどういう対応になるのだろう?と気になったので、<strong>で囲った文字列を投稿してみた。※<strong>で囲まれた文字列は強調文字(太文字)で表示され
公式のパッケージの更新が再開して、それと連動して当サイトのお問い合わせが、多い週で週5回と格段に増え、開発しやすい状態となりました。お問い合わせの中で時々不具合の報告も入り、不具合の報告自体は大変ありがたいのですが、PHPのバージョンが低い環境での不具合の報告も多々あります。PHPのバージョンが低いというのはPHPのセキュリティのサポートが終了しており、重大な脆弱性が発見されても一切修正されないバージョンを指します。※この記事の投稿時点では、PHP5.5系
人は価値の象徴として鉱物から金を取り出したお金、すなわち貨幣の信用についての話題が出てきたら、必ずといって良い程触れておきたいのがもちろんそう!ビットコイン!というわけで、NTT出版のビットコインとブロックチェーンを何度も読んでみた。これはコンピュータ関連に触れている人なら有名なオライリーという海外の出版社から発売されたMastering Bitcoinの翻訳版。何故か、オライリーではなく、NTT出版から発売されている。なに
どこのサイトとはここでは言いませんが、知人のサイトが総当り攻撃を受けていた。管理画面のURLは下記の方法を用いて、わかりにくいものにしたにも関わらず、ログイン画面を表示出来た時点でプロの仕業か?SOY CMSであれば、管理画面のURLを特定したいSOY CMSでは総当り攻撃らしきアクセスがあった場合、SOY CMSで総当たり攻撃に対応してみたこんな感じで接続元のIPアドレスが記録されます。接続元IPアドレスが身内でないか調べていたところ、京都市内のとある
少し前に、接続元IPアドレスを知られたくない時にすることでブラウザからどこかのサイトにアクセスする時、自身のIPアドレス(住所みたいなもの)を送ることを記載した。IPアドレスで接続元の情報がどれだけわかるか調べてみたで、実際にサイトにアクセスした時、運営側はどれくらいの情報がわかるのか?を調べてみた。固定の回線であれば、地図情報である程度まで絞ることができ、WiFiであれば全然違うところを指していたけど、プロバイダ情報は常に知られているので、おそらく足が付く。巷にはIP偽装
接続元IPアドレスを知られたくない時にすることで、SNSのアカウントを乗っ取ることでどこから誰が接続しているかを隠すことが出来た。そもそも、接続元の情報ってどこまでわかるの?ということで、What Is My IP Address? IP Address Tools and MoreというWebサービスでサイトにアクセスがあったIPアドレスを調べてみた。※接続があったと記載しているけど、自身でサイトにアクセスしています。結果は、どのプロバイダと契約している回線であるかがわ
インターネット内に流れているパケットを傍受してみるでネットワーク内でやりとりされているパケットを傍受することが出来た。傍受する際に利用したソフトをWiresharkという。このWiresharkだけど、データを取得した際、こんな感じで、SourceとDestinationにIPアドレスという住所みたいなものがやり取りの都度表示されている。Sourceはこの画面を表示したり、入力して送信したりしている、いわゆる閲覧者側の位置情報(契約しているネット回線)D
Webサイトのフォームではhttpsにしないと大変なことになるよという話をする機会が連日続いたので、なぜ大変か?を実際に見てもらうことにした。※httpsは暗号化して通信する仕組み。httpの通信は暗号化していない。SOY CMSの常時SSL化で対応したことちなみに今回の記事はOhmshaの基礎からわかるTCP/IP ネットワークコンピューティング入門を参考にしてる。はじめにネットワークを監視するためにWireshark · Go
SOY CMSでインストーラを削除せずにいたらどうなるか?でサーバに残っているインストーラを呼び出して再インストールしたら出来てしまった。再インストールしたCMSにログインしてみると、当然のことながら、サイトは存在していないが、サイトを簡単に復元する方法があるので復元してみる。インストーラで再インストールする時、インストール先ディレクトリを_cms_の様な感じで、前の管理画面URLとぶつからない様な値に変更する。変更後にインストールを実行し、速攻で初
SOY CMSのフォーラムにインストーラを利用した方はインストール後にインストーラを削除してくださいと投稿されていたので、インストーラを削除しなかった場合はどうなるのかを調べてみた。SOY CMS フォーラム • トピックの表示 - インストーラー削除のお願いとりあえず、MySQL版のインストーラをダウンロードしてきて試す。インストーラは/ルートディレクトリ/cms_installerとなるように配置し、ブラウザで、http://example.com/cms_in
CMSに不正にログインした後、何をする?の最後で、SOY ShopのテンプレートエディタとSOY CMS/Shop両方のPHPモジュールで攻撃を仕掛けることが可能という内容を記載しました。これは由々しい問題なので、SOY ShopのテンプレートエディタにはSOY CMSのPHP許可モードを反映させ、SOY CMSのPHPの記述を許可にしなければ、PHPは実行されない様に変更しました。他にPHPモジュールも特別な設定をしなければ、使用出来ないようにしました。SOY CMSでは
SOY CMSに総当り攻撃を仕掛けてみる。その4前回までで総当り攻撃でログイン用のアカウントを特定することが出来た。ログインできる様になったら何をする?これから記載することは世界中で使われているWから始まるなんちゃらプレスというCMSで起こったことをSOY CMSで再現してみる。対象サイトにログインできるようになったら何をする?顧客情報を除いて、顧客のメールアドレスを盗む?それとも公開しているサイトの改変してみる?いやいや、もっとす
SOY CMSに総当り攻撃を仕掛けてみる。その3では、コード内にパスワードリストを作って、そのリストに従ってログインのチェックを行った。これだと、試したいものが膨大になるとその時点でコードの可読性が落ちる。ということで、IDとパスワードはCSVファイルにまとめて、総当たり攻撃を実行した時にCSVファイルを読み込んでログインのチェックを行うという処理に変更してみる。※CSVファイルのエンコードはUTF-8での話です前回のコードに太文字のコードを追加してみた。
SOY CMSに総当り攻撃を仕掛けてみる。その2前回、トークンがあろうが、シェルからSOY CMSのログインを試みる様にコードを改変した。今回は、簡単な辞書を用意して繰り返し実行してみる。※試すアカウントのIDはadminで固定で話を進める。まずはパスワードの配列を用意する。pws := []string{"password","aaaaaaaa","bbbbbbbb","cccccccc","hogehuga","******
EC CUBEからSOY Shopにデータベースを引っ越すEC CUBEインポートプラグインで下記の様なご要望がありました。EC CUBEのマイページで登録した顧客のパスワードを、SOY Shopに移行した後も利用したい。会員制サイトとなると、パスワードの変更通知を送っただけで離脱されるお客様が多いのではないか?という懸念がありました。パスワードというものは、データベースを悪意のある人に見られても良いように平文では保管しないという運営のルールみたい
SOY CMSに総当り攻撃を仕掛けてみる。その1前回、Go言語でSOY CMSに対して総当り攻撃の初期段階のコードを書いてみた。※初期段階:ログインを一度試すだけのコードしかし、ログインフォームにトークンのチェックを実装したことにより、あっけなく無効化した。ということで、今回は前回実装したトークンのチェックを通過するように書いてみる。まずトークンのチェックは何かだけど、SOY CMSであれば、管理画面のURLを特定したい
SOY CMSの記事投稿画面で絵文字を使いたいSOY CMSのブログで投稿されたコメントを編集したい先日、SOY CMSで絵文字を使用する方法を記載した。ふとね、絵文字の画像のパスってどうなっているんだろう?って気になったので、ソースコードを見てみたのよ。そうしたら、<img src="ドメイン/cms/soycms/js/tinymce/plugins/emoticons/img/smiley-cool.gif" alt="cool">こうだった。っ
SSHで外部のネットワークからログインできるようにするで外部のネットワークからログインできる様にした。外部からのログインを可能にするのは結構緊張する。できる限りアクセスできる穴みたいなものを封じておきたい。ポート番号を推測しにくいものにして、ファイヤウォールの設定もしたけど、総当り攻撃をされたらいつかはログインされてしまう。サイバー攻撃が何と多いことかSOY CMSで総当たり攻撃に対応してみた更には、sshでログインする際に入力するパスワードは暗号化されず平文
使わなくなったパソコンにSambaを入れて、ファイル共有用のサーバを構築してみた先日、Sambaを入れたマシンですが、家から少し離れた場所にあるので、ふと操作したいなと思っても、マシンの場所に行かなければ操作できないといろいろと面倒だ。脆弱性が報告された場合、関係ないといえど、修正バッチはすぐに対応しておきたいのが心情というものだし…ということで、遠隔操作できるようにSSHを入れたので、今回はその時行った操作のメモを残す。Secure Shell - Wik
さくらのVPSにGoの環境を構築してみた先日、さくらのVPSを借りて、Goで書いたWebアプリを公開してみたのですが、Goといえば、httpsから始まるURLを開くだけでHTTP/2になるという超素敵な仕様があり、(GoでHTTP/2が標準実装になったのはバージョン1.6からです)HTTP/2 - Wikipedia是非ともHTTP/2で運営してみたいということで、ちょうど先日正式公開となったMozillaのLet's Encryptを利用してみた。Mozilla Ja
さくらのVPSにApache2.4をインストールしたサイトをSSL対応したので、その時の作業をメモとして残す。さくらのVPSでSOY CMSを動かした時のメモの続き今回はhttp://example.comというサイトで、京都市内にあるという仮定で話を進めます。ちなみにApacheのバージョンは2.4.7CSRを使用して認証局から証明証を発行してもらう場合です。Apache HTTP Server - Wikipedia予備知識として、CSRとは、
最近、Googleが常時SSL化を奨めているでしょ。httpsをランキングシグナルに使用すると明示しているので、このサイトも常時SSLにしてみた。Google ウェブマスター向け公式ブログ: HTTPS をランキング シグナルに使用しますと言うわけで、このsaitodev.co、さくらインターネットの共有サーバとSOY CMSで常時SSL化をする為に行ったことを書きます。因みに常時SSL化とは、どのページを開いても、URLがhttpsで始まることを言い、このhttps
サイバー攻撃の中で有名なものとして、総当たり攻撃(ブルートフォースアタック)というものがある。すごくシンプルに言うとSOY CMSであれば、管理画面のURLを特定したい攻撃したいサイトのログイン画面を発見したら、思いつく限りIDとパスワードの組み合わせを試してみる攻撃のことを言う。サイバー攻撃が何と多いことかSOY CMSに総当り攻撃を仕掛けてみる。その4IDは特定されにくいものを用意し、パスワードが半端なく強固だとして、突破されることはないとしても、
SOY CMSであれば、管理画面のURLを特定したいでSOY CMSの管理画面のURLは分からない様にできた。でも、使用しているCMSがSOY CMSとわかった時点で、攻撃者は管理画面のURLを躍起になって探す可能性がある。その間に意味不明なアクセスが多発するかもしれない。それってDoS攻撃っぽいものまで発展する可能性すらある。DoS攻撃 - Wikipediaというわけで、サイトがSOY CMSで運営されていることを隠す方法についてを記載します。
運営しているサイトがSOY CMSであるか調べてみるで、表示しているサイトがSOY CMSで運営しているか調べる方法を記載した。SOY CMSで運営していることが分かった場合、管理画面のURLを探って、侵入(ログイン)を試みたいと思うよね?ということで、今回は管理画面のURLに付いて記載します。SOY CMSのログインページというのがこれ。URLの規則は、http://ドメイン/cms/admin/もしくはhttps://ドメイン/cms/
サイバー攻撃が何と多いことかであるサイトが何のCMSで運営されているか知る方法としてWordPressを例に記載した。前から使用しているCMSがSOY CMSだと特定する手段ってありませんか?ということをよく聞かれる。SOY CMSはHTMLそのままで運営することが可能という仕様のため、ページのソースを表示するで暴くことはできません。よくやることとして、WordPressで構築したサイトをそのままSOY CMSへ移行することもあるため、ページのソースを表示するでWordP
