今回、EC-CUBEの管理画面にパスワードを弾かれてログイン出来なかった問題。
結果として、パスワードチェックのプログラムを無効化してしまい、フリー状態にしてログインをしたのですが、これって「パスワードクラック」じゃない?
と、ふと思ったのでした。
と、ふと思ったのでした。
自分のウェブサイトですから、FTPもデータベースも自分で管理しているからいいようなもの、これを他人のサイトでやればクラックしたことになります。
意外と簡単にできちゃうもんだなぁ…というのが、率直な感想。
意外と簡単にできちゃうもんだなぁ…というのが、率直な感想。
つまるところは、FTPパスワードさえ知ってしまえば他人のEC-CUBEに入り込むことが可能ということになります。
ある意味、怖いですよね。
ある意味、怖いですよね。
手口を知ってしまったので、少しでもセキュリティを厚くするために、部分的にBasic認証をかけておこうと思うのでした。
逆に、オープンソースだからこそ今回の解決策が容易に見つかったとも言えます。
逆に、オープンソースだからこそ今回の解決策が容易に見つかったとも言えます。