正直に書くブログ

2012年9月からフリーランス活動開始しました。
今後もマニアックでも有用な情報を提供出来るように頑張ります。

EC-CUBE

EC-CUBE脆弱性対応

EC-CUBEの顧客情報漏洩に関する脆弱性情報が入ってきましたので、弊社が対応したクライアントさんのサイトについて対応しました。

今回の脆弱性は「極めて緊急度の高い深刻な脆弱性」とされており、早急に対応が必要かと思われます。

対処方法はいたって簡単で、ファイルを一個だけ差し替えるか、カスタマイズしている場合は対象ファイルを編集するだけでOKだそうです。リンク先から対象ファイルをDL出来るのでそのまま差し替えるのが一番手軽でしょう。

カスタマイズかけている場合は差し替えでカスタマイズ内容が書き換わってしまうことも考えられるので、指示通りに対象ファイルを編集することになるでしょうね。

php

脆弱性そのものは
/data/class/pages/admin/customer/LC_Page_Admin_Customer_SearchCustomer.php
というファイルの該当ソースコードの修正、または上書きにより、すぐに解決するものです。

一緒に仕事している人達のmixiコミュニティとか、身の回りの関係者にメール送ったりで喚起してます。こういう情報は案外見落とされますので。

ネット上にEC-CUBEの設置ミスが結構あるなぁ

デザイナーさんが苦戦しているEC-CUBEのカスタマイズの件で、事例が無いかなとソースの一部分(なんていう検索ワードかは記さない)をGoogleで検索してみたところ、tplファイルが丸見えになっているサイトが結構あることが判明した。

もちろんURL的にトップまで上がるとショップとして運営されているのが分かるけれど、ダイレクトに下層のURLを叩くとファイルがリスト表示される。Webサーバの設定ミスもあるだろう(IndexesがOnになっていると思われる)。

EC-CUBEの場合は、phpファイルが殆どなので直接phpファイルを覗くことは出来ないが、tplファイルや、logファイルなども丸見えでこりゃ設置に気をつけないといけないなと、過去に設置したサイトが気になって確認してみた。

とりあえず問題なかった。
続きを読む

EC-CUBEのディレクトリ構造を変更

最近の私の仕事の一つとして、CMSの設定やらカスタマイズなどがあります。カスタマイズについてはプログラマーじゃないので今はまだ凝ったことは出来ませんが、サーバーでの配置変更など、インフラ系エンジニアならではのお仕事も結構あります。

デザイナーさんにはデザインに集中して欲しいという考えもあります。本来そういうものだと思うのですが、規模的にCMSの設置からカスタマイズ、そしてデザイン変更がキョービのデザイナーさんに課せられていると言うのは事実でしょう。その辺の負荷を軽くしてあげられたらいいなというのが私の考えです。

さて、EC-CUBEをWADAXの共用サーバーに設置していたのですが、今日は、ディレクトリ構造の変更の必要性が生じたのです。デザイナーさんはCMSに詳しい人ばかりではないのでそういう時は私がフォローします。

EC-CUBEの場合、公開ディレクトリに配置するhtmlフォルダと、非公開ディレクトリに配置するdataフォルダがあります。それぞれの位置関係を記してある「define.php」と言うファイルにはそれぞれのディレクトリの位置を相対パスで記してあるので、それをまず編集しなくてはなりません。

これだけでOK?と思ったらダメでした。Smartyエラーが多発しました。変更したはずのディレクトリ構造が反映されていません。これは他にも定義しているファイルがあるなと調べてみたところ下記のファイルがありました。「install.php」 というファイルです。

このファイルには絶対パス、URL、データベース接続情報などが記載されており、これ非常に重要なファイルだなって感じです。URL情報はインストールした時点の情報が書かれているので、レンタルサーバ等でインストールした後からドメインを取得した場合など、ドメイン設定をする場合はこのファイルを編集しなくてはなりません。

こういう仕組みはCMSによって違うのでそれぞれ覚えるしかないのですが、数触っているとなんとなく雰囲気でこのファイルじゃないかな?と分かるようになってくるものです。もちろんPHPなりPerlなり読めるなら直ぐに追跡できるのでしょうが。

とにかくインフラ系のエンジニアとしては、こういう作業も大切なので、社内のWikiに情報として残します。次回同じ作業があったら直ぐ調べられるように。記録を残すということは本当に大切だと思います。そういう努力が時間を節約し、しいてはコスト削減につながると思うのです。個人で取り組む企業努力って奴ですね。

EC-CUBEカンファレンス2009

ちょっと迷ってます。EC-CUBEカンファレンス2009が9月11日に大阪梅田で行われるのですが、参加したい気がするけど、果たして参加しても意味あるのかなとか・・色々と。

ce2009_banner_340_84


セミナーの後で懇親会があるのでそれの費用も含めて5000円の参加費が必要なのも一つの理由かな。業務的には私の範疇に無い部分も多いから仕事としては参加出来ないだろうし、個人的に参加するとしても休み取ってかつ5000円はちょいと痛い。

業務の絡む人脈作りという目的であれば、こういう機会と場の提供はおいしい話かも知れませんが、私は今は人脈を作る必要性のある立場にないし。結局参加しても独りよがりで終わってしまう可能性が高いのではないかと・・・

そういうの覚悟で仕事休んで自費で参加するかどうか・・・うーん迷います。お金あったらもちろん仕事休ませて貰ってでも自己負担で参加しますけどね。東京ならしょっちゅうこういうの開催されているのですが、大阪は案外少ないんですよね。

EC-CUBE公式ガイド

先週発注してもらった「オープンソースECサイト構築ソフトEC‐CUBE(Ver2.4.0対応)公式ガイドブック カスタマイズ編」が届いた。一言で言うと機能的なカスタマイズのノウハウが集められた本で、デザイナー視点よりもプログラマー視点の方が強いかなと思われます。

オープンソースECサイト構築ソフトEC‐CUBE(Ver2.4.0対応)公式ガイドブック カスタマイズ編オープンソースECサイト構築ソフトEC‐CUBE(Ver2.4.0対応)公式ガイドブック カスタマイズ編
著者:オレンジ 岸本
販売元:秀和システム
発売日:2009-07
クチコミを見る

ただ、キョービのクリエーターは大きな組織に属していなければ、CMSを使う以上マルチクリエータ的な要素を求められるので、phpコードをいじったりするの苦手だよ~って言いながらもいじらなくてはならない。そんな人はこの本(とサンプルコードをダウンロードして)を頼りにカスタマイズしていくと、EC-CUBE標準機能だけでは満たされない要件をクリアしていける可能性は増えてくると思う。(訳わかんなくても結果が得られたらOKってノリですね)

もちろんゴリゴリPHP書けるプログラマーがこの本を読めば、EC-CUBE流のカスタマイズ手順が読み取れるので、あっさりとEC-CUBEのカスタマイズ位は任せろよって言えるようになるかも知れません。プログラマーじゃないので保障できませんが・・

私はPHPはさっぱりこ分からないので、これ見て書かれている通りにカスタマイズして、「やったぜ機能が増えた」というのを喜ぶ程度です。やっぱり専門家にはかなわないですからね。

望むとしたら 黄本->青本->赤本

みたいな感じで、今度はデザイナー向けの公式ガイドブックが発売されるといいなと思います。カンファレンスに参加したデザイナーさんから聞いたのですが、プログラマー路線の人がほとんどでデザイナーはほとんど居なかったとか。カンファレンスの内容もデザイナー視点が少なかったのが残念だったとか。

もしかしたらEC-CUBE案件はEC-CUBEをいじれるデザイナーさんの需要が多いのかも知れませんね。それともわざわざ解説する必要無いってか?Smartyの知識があればそこそこ行けるとは思うけど・・やっぱ必要じゃない?

EC-CUBEのデザインカスタマイズは、ロックオンが「カスタマイズ」のお仕事として確保しておきたい分野なのかも知れませんが、EC-CUBEを普及させることも重要だと思います。そうすればカード決済連携モジュールとかも売れるだろうし、EC-CUBEに特化(連携)したショッピングモールを作ることも可能かと。その為には色々なセンスを持ち合わせたデザイナーにも参加してもらうことが必須かと思います。
さて蛇足です。

弊社「正直堂」は母体の会社(株式会社キャピタルスポーツ)がテニスやバドミントンなどの用品全般を取り扱っており、物販系、ネット販売のノウハウが有ります。そういうノウハウも生かしたサイト構築をして行きたいとスタッフで話し合い、ECサイトに力を入れる方向で考えています。プログラマーもいますがWebアプリケーション、特にPHPで書けるのでEC系のWebアプリには強いです。うちのプログラマーはスクラッチから書き起こすのが好きらしく、EC-CUBEにはあんまり興味もってくれないんですけどね。

今まではコーポレートサイトやら、プロモーションサイト、楽天ショップ、Yahoo!ショップの案件が多かったのですが、ECサイトを自前で持ちたいと言うご要望も多いので、なるだけ安く上げる為にEC-CUBEをベースとしてカスタマイズしていく方法でご提案できたらと考えています。プログラマーを巻き込むのも私の役割なのかも。

既にEC-CUBEの見栄えをいじった程度の事例はあるのですが、内部的にもガリガリにカスタマイズするというニーズには遭遇してなく、まだそこまで多くのノウハウを保有していません(結局私がいじれる程度で済んでしまうからプログラマーを巻き込んでいません)。しかしこの後確実に増えるだろうなと予測して、今のうちにノウハウを蓄積しておこうと思っています。そうすれば依頼料も大きくなるので一つの仕事で利益も増えるかなと。

s-200908141024私自身もスキル上げていかないといけないので、ぼちぼち本読みながらEC-CUBEカスタマイズ(PHP+Smarty)のお勉強していこうと思います。

黄色いのが公式本ガイドブックで、インストール手順とか、機能の概要とかざっくりと説明してある本です。

青い方が今回買った本で、カスタマイズの方法が具体的に色々書いてあり、コードをDLできるURLが記載されているのでそこからDLしてこれます。(もうDLしてファイルサーバに保存しました。)

画面の壁紙は完全に趣味入ってます。だって仕事が終わってウィンドウを閉じた時に癒されたいじゃん(w
記事検索
月別アーカイブ
SEO的な実験
RSS

ブログランキング

track feed 正直に書くブログ
最新コメント
スポンサードリンク
QRコード
QRコード
  • ライブドアブログ