【脆弱性？】「パスワードをお忘れですか？」の件

[sumio36]

いつもお世話になっております。
この度、はじめてWelcartをカスタマイズする機会があり、
まったくの初心者ですので、トンチンカンな指摘または質問でしたら
すみませんが、お教えいただけましたら幸いです。

当方は、まだ、 Welcartカスタマイズ中でshopを開設してないのですが、
カスタマイズ中にWelcartの「パスワードをお忘れですか？」の動作について気になる点が
ありましたので投稿させていただきました。
※バグ報告か否か微妙で、ひょっとして、当方のWelcartの設定ミスかもしれませんので
　質問になってしまうかもです。

「パスワードをお忘れですか？」の動作は、下記のとおりと思われます。
(1) 新パスワード取得で、メルアドを入力する
　　【新パスワード取得】ページ
　　http://www.sample.jp/usces-member.html?page=lostmemberpassword
(2) そのメルアドにパスワード変更のメールが着く
(3) 上記(2)のメール本文に書かれている下記のURLにブラウザでアクセスし、
　　新しいパスワードを設定
　　【パスワード変更】ページ
　　http://www.sample.jp/usces-member.html?uscesmode=changepassword

下記の方法を行えば、既存shop会員に【なりすまし】ログインできてしまわないでしょうか。
(1)　第三者が【新パスワード取得】ページで、あてずっぽうにメールアドレスを入れて、
　　　メッセージ「メールを送信いたしました。」がでるまで、トライする。
　　　※もしくは、そのショップを使っている知人のメルアドを入れる

(2)【パスワード変更】ページは、
　　http://www.sample.jp/usces-member.html?uscesmode=changepassword
　　というふうに固定のURLなので、そのURLにアクセスし、新しいパスワードを入れる。

(3) 上記(1)(2)で得られたメールアドレス・パスワードでログインし
　　 他人になりすまして買い物をする。

または、【パスワード変更】ページのURLが、ワンタイムのキー付きにできる設定等が
あるのでしょうか。

お手数ですが、お教えいただけましたら幸いです。
——————————————-
WordPress のバージョン：3.9.1
Welcart のバージョン： 1.4.3
ご利用のテーマ： 全般
症状を確認したブラウザ： 全般
サーバー（会社名、サービス名）：　カスタマイズ中
SSLの利用：　カスタマイズ中
WordPress のパーマリンク設定：　/archives/%post_id%.html
——————————————–

[mamekichi]

こんにちは
システム設定で、[SSLを使用する]にチェックが入っていないのではないですか？

[welcart]

こんにちは。

ご報告ありがとうございます。
ご指摘の症状を確認いたしました。
至急、修正版をリリースしたいと思います。
どうぞよろしくお願いいたします。

[mamekichi]

こんにちは

どういうバグかよくわからないのですが、
1)「SSLを使用する」にチェックを入れない場合に不具合が生じるバグ
2)「SSLを使用する」とは関係のないバグ
のどちらでしょう？

「SSLを使用する」にチェックをいれてあると、セッションIDらしき文字列が追加されて【パスワード変更】ページのURLは固定とならないように見えます。
1)であれば、とりあえずチェックを入れておけば回避できるのではないかと思うのです。

[nanbu]

SSLがかかっていてもなくても同じ結果となるようです。
修正版（1.4.6）をリリースいたしましたので会員システムをご利用の方はアップグレードをお願いいたします。

[sumio36]

迅速なご対応、感謝です。
ありがとうございました。

さっそく、バージョンアップして試してみます。

[ponponmarcks]

緊急性がありそうなのでヨコから失礼します。

バージョンアップがすぐに出来ない（カスタマイズ多い）場合などの為に、パッチ？などがあればイイナーと思います。旧バージョンとの差分とか、、

当方もカスタマイズ多で本格稼動、緊急性があってもなかなかすぐにはアップデートが出来ません、、、orz

以外とすぐにアップデートできないサイトが多かったりするような気がします。（私見です。）それか、メンバーシステムをとりあえず停止するしかない。とりあえずの応急処置として付け足すみたいな「差分」が有れば早いのではと思います。

ここで、【脆弱性】のつき方が記されているわけですから、アップデート出来ないサイトでメンバーシステムを使用中のサイトは困ります。

************
例）welcart脆弱性はこちら

ひとつの提案としまして、【脆弱性】は、welcartお問い合わせから（バックエンドで対応）で、バージョンアップをしてから公式にアナウンスする。
************

[nanbu]

ponponmarcks さん

旧バージョンからのパッチや差分をと仰いますが、今までに数知れないバージョンがあります。それらに対して一つ一つパッチを作るのは不可能です。何れにいたしましても、本体を改変してしまっては、その差分も意味がありません。お分かりになりますでしょうか。差分は正式バージョンからの差分となります。ponponmarcks さんオリジナルのバージョンの差分ではないのです。

ここ開発フォーラムでも私は繰り返して申し上げています。本体は改変しないようにと。その為にWordPress や Welcart にはたくさんのフックが用意されているのです。

弊社も数えきれないほどのカスタマイズ案件をご依頼いただいておりますが、基本的にアップグレードが可能なようにフックを使用して行っております。どうしてもオリジナルバージョンを作らなくてはいけない案件の場合は、アップグレードの際は費用がかかる事も含めてお客様に十分納得していただき、お取引させていただいております。

とは言え、何とか改善したいというponponmarcks さんの意向も御尤もです。そこで、差分の確認方法についてご説明したいと思います。Welcart はWordPress の公式プラグインですので、wordpress.org より、変更の差分を確認することができるのをご存知でしょうか。

こちらのページからDevelopment Log をクリックしますとプログラム変更の差分を確認することができるページが表示されます。
http://wordpress.org/plugins/usc-e-shop/developers/

Diff というラジオボタンの左側が古いリビジョン、右側が新しいりびっジョンとなり、
View Change をクリックするとその差分が表示されます。緑色が新たに追加されたコード行、赤色が削除された行です。

脆弱性の修正が行われたリビジョンは957257 ですので、左側のラジオは957194 を選択、右側は957257 を選択して差分を確認してください。

リビジョン957194 はバージョン1.4.5 のものですので、ご利用のバージョンが低い場合は修正箇所を特定するのに苦労するかもしれませんが、恐らくこの様にして手作業で修正するしか方法は無いかと思います。

脆弱性には細心の注意を払っておりますが、まだ気が付かないところに潜んでいる可能性は、無いとは言い切れません。今後もWordPress 同様、新機能の追加や脆弱性の修正のためのアップグレードと言うのは有ると思っていただくのが賢明かと思います。

[ponponmarcks]

おはようございます。

旧バージョンからのパッチや差分を要求してしまい、すみませんでした。すぐに書き出せるほど簡単なことではないですね。

長くwelcartを使っていると、ついつい本体を改変してしまいます。（改変が上手に出来て思い通りに動作すると楽しいですし、これがサイトの実益にもなるわけです。）

本来なら、本体を改変することなくフックを使いカスタマイズすればいいのですが、勉強不足とサイトの運営に時間を費やしてしまうのが現状です。（私はなんとかバージョンアップ出来ております）

[nanbu]

WordPress のフックの原理がわかるようになると、ここにフックがあればこんなカスタマイズができるという事が分かるようになります。Welcart にフックが欲しくなった時はこのフォーラムでご相談ください。高いカスタマイズ性が Welcart のメリットでもありますので、フック追加のご要望は歓迎します。

[投稿者]

投稿