Kentaro Ohkouchi
Kentaro Ohkouchi
### 概要(Overview) セキュリティ管理画面や、テンプレート管理画面は、 .env を書き換えることで機能を実現している。 しかし、 docker-compose の環境や、本番環境など、 .env を使用していない場面ではこれらの機能が動作しない。 セキュリティ設定や、テンプレートの変更をしようとして、初めて変更できないことに気がつくので、困惑するユーザーが多い 例) https://xoops.ec-cube.net/modules/newbb/viewtopic.php?viewmode=flat&order=ASC&topic_id=28229&forum=11 ### 期待する内容(Expect) or 要望(Requirement) 以下のような場合は、セキュリティ管理画面、テンプレート管理画面を開いた時点で警告メッセージを表示したり、登録ボタンを disable にしたい - .env を使用していない場合 - .env から環境変数を取得していない場合 - .env に書き込みができない場合
### 概要(Overview) おそらく3系の名残り。4系に config.yml は存在しない https://github.com/EC-CUBE/ec-cube/blob/e9edc3bbcc3183c52c07108023382f591d759c5b/src/Eccube/Service/PluginService.php#L418-L444 ### 再現手順(Procedure) コードレビューで発見 ### 環境(Environment) EC-CUBE 4.2
MAILER_URL の設定例が欲しい。 特に SSL over SMTP や、 STARTTLS での設定例 開発コミュニティの質問より https://xoops.ec-cube.net/modules/newbb/viewtopic.php?topic_id=24232&forum=9&post_id=98717#forumpost98717 Symfony のドキュメント https://symfony.com/doc/current/email.html#configuration
admin/products/product_class_confirm.tpl で array_key_exists が使われてます。 _Originally posted by @bbkids in https://github.com/EC-CUBE/ec-cube2/issues/911#issuecomment-2078700829_
GDPR 対応
- 対応内容は要検討 - 会員情報を物理削除するとか - Myページから履歴をダウンロードできるようにするとか
SC_Query などのコンポーネントを Packagist で公開し、 Composer 経由で利用できるようにする。 そうすることで、 3系でも 2系の資産を活用することができる可能性がある。 また、メンテナンス性も向上する
HttpSession での認証と比較して、以下のような利点がある - CSRF の脆弱性が無い - Web API などにも応用可能 - サーバー側でのセッション管理不要(ステートレス) 特に、EC-CUBE2.4以下のバージョンの CSRF 対策として有効であると思われるが、 Authorization ヘッダで JWT を送る場合は JavaScript でハンドリングする必要がある https://github.com/lcobucci/jwt/tree/3.2 https://github.com/firebase/php-jwt https://www.sitepoint.com/php-authorization-jwt-json-web-tokens/