タグ付けされた質問 「security」

数日前にニュースが出た後、私は最新の脆弱性についてあまり（そして公式声明も）聞いていません。Sucuriは、クレジットカード情報、または$_POST管理者パスワードなどを含むすべてのデータを受信することが可能であると述べています。 クライアントがハッキングされたケースはまだありませんが、これが実行されるまで待たないでください。誰かがパッチを見たことはありますか？

11 security  magento-ce 

いくつかのページを含むモジュールを作成しましたが、このページで、顧客のログインページのように、URLでSSLを強制的に使用する方法を知りたいと思います。すべてのページで必要なわけではありませんが、必要なページもあります。 （私は試していませんが）頭に浮かぶのは、アクションコントローラーでURLを評価し、https://magento configでSSLが有効になっていて、現在のURLがそれを使用していない場合にリダイレクトすることです。 このアプローチは正しいですか？または、この種の設定は構成ファイルに含まれますか？

11 url  controllers  module  security  ssl 

Magentoの最新バージョン（現在は2.1.1）で正常に動作しているストアがあり、Apache 2.4.7（Ubuntu 14.04）のコンテンツセキュリティポリシーを通じてセキュリティを向上させようとしています。コンテンツページからすべての「<script>」タグを削除して、分離されたfiles.jsを作成しました。 Apacheのセキュリティについて、私は次のように設定しました。 ヘッダーセットContent-Security-Policy "default-src 'self'" ただし、機能していません。Magento自体が「<スクリプト>」タグを追加したようです。最初のソース行の例： <！doctype html> <html lang = "pt-BR"> <head> <スクリプト> var require = { "baseUrl"： " http://example.com/pub/static/frontend/Magento/luma/pt_BR " }; </スクリプト> したがって、CSPを構成するには、「安全でないインライン」を有効にする必要があるように思われますが、これは実際には安全ではありません。 ヘッダーセットContent-Security-Policy "default-src 'self' script-src 'self' 'unsafe-inline' 'unsafe-eval'"。 MagentoにCSPを適切に設定する方法を知っている人はいますか？ありがとうございました！

10 magento-2.1  security  apache2 

MagentoでIPによる管理領域へのアクセスを制限する最良の方法は何ですか？管理者はから、/adminまたはindex.php/admin

10 admin  security  htaccess 

私は好奇心が強いので、これは知的目的だけのためです。 グーグルを検索すると、これに対する明確な答えが見つからないので、件名が言うように、なぜそれが推奨されないのですか？何がうまくいかないのですか？ 私が得る唯一の参照は、ここに投稿されたセキュリティ警告に関するものです：http : //www.magentocommerce.com/blog/comments/security-update-for-magento-base-url-configuration-value/ これは非常に初期のバージョンのものですマゼントの。 非常に特殊な状況下で、Magento 1.0〜1.0.19870にセキュリティ上の問題があり、ブロックキャッシュに無効なリンクが入力される可能性があることが判明しました。 誰かが多分/これがどのように機能したかを明確にすることができますか、そしてそれはまだ問題ですか？ TIA

10 security  base-url 

magento 1.9の新しいリリースのセキュリティパッチをインストールしようとしています。私はウィンドウシステムに取り組んでいます。 次のエラーが発生します。 D:\xampp\htdocs\magento>sh PATCH_SUPEE-1533_EE_1.13.x_v1-2015-02-10-08-18-32.sh ERROR: "/app/etc/" must exist for proper tool work. 私はCMDによってコマンドを実行しており、SH正常に動作しています 私もGitで試しました。しかし同じエラーが出る Linuxでも動作しない 正確な問題は何か、それをどのように修正できるかを誰かに教えてください ありがとう

9 magento-1.9  upgrade  security  patches  shell 

Magento 2に適用されたパッチのステータスを確認する方法はありますか？ Magento 1のMagereportでパッチのステータスを確認できるのと同じように？

8 magento2  patches  security  version 

vendor/magento/framework/Escaper.php（主に）テンプレート内で使用されるいくつかの便利なセキュリティメソッドを含むクラスに気づきました。それらのいくつかは非常に一般的ですが（escapeHtml()）、それらのいくつかは遭遇するのが難しいです。 どのような方法でescapeXssInUrl()実際に行うのですか？ メソッドの場合escapeJsQuote()-これらの引用が見つかる場所はどこですか？jsテンプレート内のみインライン？ すべての方法を使用する必要があるときに、誰かが明確な説明をしていますか（実際の例）？ 違いは何であるescapeUrl()とescapeXssInUrl()優れたセキュリティ及び第二の1つの助成金私たちの場合は、なぜ常にだけではなく、HTML文字をエスケープ秒1を使わないのでしょうか？ escapeQuote()たとえば、このような状況で変数をエコーするために使用する必要が<div value="<?php echoあります[ここ？] $value?>"></div>？

8 magento2  template  security 

magentoのウェブサイトをセットアップしていますが、httpsはログインページやアカウントの詳細などの安全なコンテンツにしか使用できないことに気付きました。 つまり、製品ページでは通常のhttpが使用されます。 これは、http経由で送信されたCookieが、Cookieスニッフィングプログラムによって盗まれる脆弱性を備えているのではないですか？ または、MagentoはCookieを送信せずにデフォルトのページを取得し、ローカルのCookieを使用してヘッダーを変更してカスタム名やプロフィール写真などを含めることで、これらのページを処理しますか？

8 magento-1.9  security  cookie  https 

だから私は最近の重要なパッチをインストールしましたSUPEE-5994 + SUPEE-5344 + SUPEE-1533-サーバー上のSSHを介して。 各パッチをインストールするには、次の手順を実行しました。 パッチをhttps://www.magentocommerce.com/products/downloads/magento/からダウンロードしました 各パッチをMagentoのルートフォルダーにアップロードしました SSHコマンドを実行： sh patch_name.sh コンソールから成功メッセージを受け取りました： Patch was applied/reverted successfully 私のウェブサイトは動作し、すべてが良好です。それはすべて即座にインストールされました。 パッチが実際にインストールされたかどうか疑わしいとしましょう-インストールされているパッチをどこかで確認することは可能ですか？-SSH、FTP、または同様のもののどちらか？

8 magento-1.9  upgrade  security  patches 

サードパーティのモジュール、特にMagento Connect（または無料のモジュール）から提供されるモジュールに悪意のあるコードが導入されることに非常に関心があるクライアントがいるハッカーがMagentoサイトのさまざまな部分にアクセスできるようにするコードを含まない。 私の質問はこれです：コードのコンテンツをスキャンするために使用できるツールはありますか？このようなものですが、おそらくもっと深いです。 function check($contents,$file) { $this->scanned_files[] = $file; if(preg_match('/eval\((base64|eval|\$_|\$\$|\$[A-Za-z_0-9\{]*(\(|\{|\[))/i',$contents)) { $this->infected_files[] = $file; } } Webサーバー上で実行できるサービスです。 理想的には、コードがレポに入る前に各コミットをスキャンするサービスがあれば理想的です。

8 php  magento-connect  extensions  security 

これは、カタログの保存/編集などの管理操作で開始されるようです。ログで見られるように。POSTのクライアントIPはサーバーの内部IPです。 302 2014-08-30T06:43:40+00:00 POST /index.php/admin/catalog_product/save/id/8830/key/ee3cb37b55e431ada508af992e88abbb/ HTTP/1.1 403 2014-08-30T06:43:40+00:00 POST /app/etc/local.xml HTTP/1.1 200 2014-08-30T06:48:39+00:00 GET /index.php/admin/catalog_product/edit/id/8830/key/e5c6b7e5d662d8b4c39be5b31b761f28/ HTTP/1.1 403 2014-08-30T06:48:39+00:00 POST /app/etc/local.xml HTTP/1.1

8 security 

ハッキングされたMagentoウェブサイトがアップデート1.9.2.4で入手されました。 ハッキングされるファイルは次のとおりです。 api.php indexs.php：hackscript postfix.php：hackscript skin/adminhtml/default/default/filesystem/css/loader.php js/editarea/plugins/charmap/jscripts/ajax.php ハッカーは、サーバーを使用してメールGmailサイトをバウンスし、既存のメールアドレスを見つけました。メールの添付ファイルでは、ハッキングされた別のMagentoサイトを使用して他のファイルをホストしていました。 更新されたMagentoサイトはどのようにハッキングされますか？それについて私たちは何ができますか？

7 security  bug  ce-1.9.2.4 

ストアを最新のMagento CE 1.9.2.2ソフトウェアバージョンに更新しました（パッチSUPEE-6788ではなく、Magento Downloaderを使用して完全なコア更新を行いました）。 更新後、私は行きました System > Configuration > Advanced > Admin > Security そして、Admin routing compatibility mode for extensionsオプションが有効に設定されていることを発見しました。 ただし、「有効/無効」セレクタのすぐ下には、短い説明があります この設定を有効にすると、管理機能に対する自動攻撃のリスクが高まります。 この設定を変更する必要があるかどうかわからなかったので、MagentoのWebサイトにアクセスすると、 デフォルト以外の管理URLを自動化された攻撃から保護するには、構成のルーティング互換モードを変更して、パッチを有効にする必要があります。[システム]> [構成]> [管理]> [セキュリティ]の[管理ルーティング互換モードを有効にする]を使用します。 バイトの人々は言う 最後に、セキュリティを強化するために、ここで「互換モード」を無効にします。 System > Config > Admin > Security > Admin routing compatibility mode for extensions そして、有効モードのオプションを示すスクリーンショットを表示します。 私はこれらすべてが非常に混乱しているので、私の質問は、このオプションのどのモードが最もセキュリティを提供するのですか？ 設定を保存した後、セレクターに「有効」または「無効」を表示する必要がありますか？

7 admin  security  supee-6788  ce-1.9.2.2 

Magento 1.9.1.0にパッチSUPEE-6285を適用した後、system.logに1日に数回次のエラーが表示されます。 未定義のインデックス：252行目の... downloader / Maged / Model / Session.phpのform_key 他の参考文献をオンラインで見つけていないので、この質問を投稿して、他の誰かがこのエラーメッセージを受け取っているかどうかを確認します。

7 magento-1.9  error  security  patches  form-key