Kentaro Ohkouchi

@sw-shigeyoshi-koyama phpinfo() の情報をいただけますでしょうか。PHPがCGIモードで動作してませんでしょうか？

@sw-shigeyoshi-koyama ありがとうございます。 phpinfo() の session の項目を見せていただけますでしょうか。 また、 php.ini の設定は何か変更されていませんでしょうか？

@sw-shigeyoshi-koyama php.ini の設定は問題なさそうですね。 以下の修正を元に戻してみるとどうなりますでしょうか？ https://github.com/EC-CUBE/ec-cube/commit/1ff28cc7a30ee7ab98b78957d08c6474fd452b46

@sw-shigeyoshi-koyama mcrypt extension は PHP7.2 以降削除されています。 phpinfo() の情報をみると、 mcrypt.ini が読み込まれているようです。 こちらを削除してみていただくことは可能でしょうか？

以下の設定が必要そう https://docs.github.com/ja/packages/learn-github-packages/configuring-a-packages-access-control-and-visibility#organization%E3%81%8C%E6%89%80%E6%9C%89%E3%81%99%E3%82%8B%E3%82%B3%E3%83%B3%E3%83%86%E3%83%8A%E3%82%A4%E3%83%A1%E3%83%BC%E3%82%B8%E3%81%B8%E3%81%AEgithub-actions%E3%81%AE%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9

https://github.com/actions/runner/issues/1039 ~~デフォルトブランチからでないとイメージを push できないっぽい？~~ デフォルトブランチにマージされた場合のみ、 push するよう変更しました。

WordPress では以下のような定数が設定できます https://ja.wordpress.org/support/article/editing-wp-config-php/#wordpress-アップグレード用の定数

> FTP、SSHのアカウント情報をWebのIFから入力させることは、その漏洩の危険性が増えることになる 保存せずに毎回入力させれば問題は少ないかと思います > Web、FTP、SSHでユーザ分けてる意味がなくなる 現状、 Webサーバー権限のパーミッションの範囲が広すぎて、本来 Webサーバーの書き込み権限が不要な箇所(JSファイル や テンプレートファイルなど)にも書き込みを許可を与えてしまっており、Webサーバーの権限を悪用して改竄する攻撃が確認されています。 Webサーバーの書き込み権限を最小限にすることで、このような攻撃をリスクを軽減できると考えています

@tao-s 画像のアップロードは、画像のみに制限することで安全にできますし、Webサーバーからのファイルの書き込み権限を最小限にすることは有効だと思われます。 また、他のCMSの脆弱性からEC-CUBEを攻撃されるリスクを考慮すると、EC-CUBE内部のサニタイズなどを頑張ってもあまり意味がありませんが、ファイルの書き込み範囲を最小限にしておくことで最近のクレジットカード画面を偽装するような攻撃は防ぎやすいかなと。 Apache が sudo するような実装になるのも否めないですし、実装が複雑になるのは否めませんが、テンプレートや PHP ファイルに Webサーバーからの書き込み権限が常にあるような状況は避けられるようにしたいです

以下の表示例のように、価格表示のフォーマットを選択できると良いですね > 例えば、次に掲げるような表示が総額表示として認められます（標準税率10パーセントが適用されるものとして記載しています。）。 > 11,000円 > 11,000円（税込） > 11,000円（税抜価格10,000円） > 11,000円（うち消費税額等1,000円） > 11,000円（税抜価格10,000円、消費税額等1,000円） > 11,000円（税抜価格10,000円、消費税率10％） > 10,000円（税込価格11,000円） https://www.nta.go.jp/taxes/shiraberu/taxanswer/shohi/6902.htm