Ryo Endo
Ryo Endo
## 概要(Overview) 基本設定にて以下の項目を入力できるが、初期状態のEC-CUBEではどこでも使われてなさそう。 とくに説明書きがないのでどこに反映されるのかを探してしまった。 - 会社名(カナ) - 店名(カナ) - 店名(英語表記) ## 期待する内容(Expect) or 要望 (Requirement) - 「当サイトについて」のページに表示する or - 初期状態ではどこにも表示されない旨をTooltipまたはマニュアルサイトに記載する ※テンプレートをカスタマイズしての利用や互換性もあるので、入力項目自体は残しておくほうが良さそう。 ## 再現手順(Procedure) 管理画面>基本設定 にて、該当する項目を入力。 ### 環境 (environment) + EC-CUBE:...
## 概要(Overview) 商品ごとに「発送日目安」が設定できるが、その情報が商品詳細や購入フローのどこにも表示されない。 購入者としていつごろ届くのかを知ることができない。 ## 期待する内容(Expect) or 要望 (Requirement) 発送目安の設定がある場合は、 商品詳細, 購入フロー, マイページの購入履歴, 購入確認メール など に発送目安の表示があること。 (発送目安の異なる商品を同時購入した場合は...とか考え出すと大変そうなので、まずは表示できれば一歩前進かと) ## 再現手順(Procedure) 「発送日目安」が設定された商品を購入する過程の画面を確認 ### 環境 (environment) + EC-CUBE: 4.2-beta2 ## 関連情報 (Ref) なし
**※あまり想定されないケースだなと思いつつIssue立ててます** ## 概要(Overview) ログイン成功/失敗時にログイン履歴を記録する機能がありますが、LoginHistoryStatusを取得できなかった場合には記録されないロジックになっていました。 https://github.com/EC-CUBE/ec-cube/blob/d5b681c4fbef38c313454110ddcb940c741efab2/src/Eccube/EventListener/LoginHistoryListener.php#L88-L91 https://github.com/EC-CUBE/ec-cube/blob/d5b681c4fbef38c313454110ddcb940c741efab2/src/Eccube/EventListener/LoginHistoryListener.php#L114-L117 ## 期待する内容(Expect) or 要望 (Requirement) ログイン履歴というセキュリティに関する履歴の性質上、LoginHistoryStatusが正常に取得できなかったとしてもログイン履歴は残るべきではないかと考えます。 ## 再現手順(Procedure) 1. マスターデータ管理で `mtb_login_history_status` を選択し、(0, 失敗) を (100, 失敗) に書き換える。 2. 別ブラウザから管理画面へのログインをわざと "失敗" する。 3. マスターデータ管理で `mtb_login_history_status`...
*セキュリティ向上の提案です。EC-CUBE運営チームからIssue起案で問題ない旨をご連絡いただきました。* ## 概要(Overview) - いまの仕様では、仮会員のメール認証のURLをクリック=会員ログイン状態になります。 - メールアドレスを誤って入力した場合に、メールアドレスを持つ第三者によってログインされ、マイページから個人情報を閲覧される可能性があります。 - またパスワードを変更してアカウントを乗っ取ることも可能です。(あまりメリット無い気がしますが) ## 期待する内容(Expect) or 要望 (Requirement) - 仮会員のメール認証後後に、再度ログインを要求する。 - ログインに認証しない限りはメール認証成功とはしない。(パスワードリセットで回避できてしまうため) ### デメリット 会員登録のステップが増えるのでかご落ちする可能性が増えます。 セキュリティのオプション機能としてON/OFFできるのが良いのかもしれません。 ## 再現手順(Procedure) 1. 会員登録を行う。 2. (他人に送られたと想定して) 別のブラウザで送られてきた仮会員メールのURLをクリックする。 3....
*セキュリティ向上の提案です。EC-CUBE運営チームからIssue起案で問題ない旨をご連絡いただきました。* ## 概要(Overview) - いまの仕様では、ログイン状態であれば再認証無しにマイページから「メールアドレス」や「パスワード」を変更できます。 - たとえば共用パソコンなどでセッションが残っていた場合に、容易にメールアドレスやパスワードを変更してアカウントの認証情報を変更することが可能です。 ## 期待する内容(Expect) or 要望 (Requirement) - 会員情報編集ページにアクセスする際に、パスワードの再入力を求める。 ## 再現手順(Procedure) 1. ログイン後、マイページの会員情報編集ページにアクセスする →再認証を求められないことを確認 ### 環境 (environment) + EC-CUBE: 4.2-beta2 ## 関連情報 (Ref) なし
*セキュリティ向上の提案です。EC-CUBE運営チームからIssue起案で問題ない旨をご連絡いただきました。* ## 概要(Overview) - いまの仕様では、管理画面から仮会員メールを再送した場合に、**毎回同じURL**を送信しています。 - 送信されるごとに、前回のURLは無効になって新しいURLが発行される方が、システムとしてよりセキュアだと考えています。 ## 期待する内容(Expect) or 要望 (Requirement) - 再送するたびに認証URLを再生成する。 ## 再現手順(Procedure) 1. 会員登録をして、仮会員メールを受信する。 2. 管理画面から仮会員メールを再送する。 3. 仮会員メールを再度受信する。→URLが同じことを確認 ### 環境 (environment) + EC-CUBE: 4.2-beta2 ## 関連情報...
## 概要(Overview) 管理画面で商品ごとに設定できる「発送日目安」の日数が、注文画面では「お届け日」の日数として扱われている。 その結果、店舗側が即日発送のつもりで「即日」と設定していても、注文画面ではお届け日に本日の日付が表示され、まるで当日配送のような見え方になってしまう。 #### とはいえ... ECサイトでよく見かけるのは「指定は一週間先からできます」みたいな表記。 実際は「発送日目安」を1週間とか設定して、指定がなければ最短で送るよという運用にはなっていそう。 ## 期待する内容(Expect) or 要望 (Requirement) 注文画面のお届け日には「+5日」した日付が表示される。 (決め打ちだし仕様がややこしくなるのでイマイチな感じだけど) ## 再現手順(Procedure) 商品に「発送日目安」を「即日」で設定。 その商品の注文を進めて「お届け日」に表示される日付を確認する。 ### 環境 (environment) + EC-CUBE: 4.2-beta2 ## 関連情報 (Ref) https://github.com/EC-CUBE/ec-cube/issues/4822 の対応もあるとより運用に乗りやすいかと。
From @nobuhiko on 5 Jul, 2017 Copied from original issue: nanasess/ec-cube-extended/issues/41 --- {include file='file:index.tpl'} という書き方に変更する必要がある @see http://www.smarty.net/docs/ja/template.resources.tpl
$app['config']['root_urlpath']は、環境によって異なる。 通常、サブディレクトリにインストールした場合は、 ``` /eccube/html ``` となるが、URLからhtmlを取り除いた環境では ``` /eccube/ ``` となる。 そのため、html配下へのパス(/html/plugin/xxx など)を取得するために$app['config']['root_urlpath']を使用していた場合、正常に取得できない可能性があるので、使用すべきではない。 参考: EC-CUBE本体コードでは、$app['config']['root_urlpath']はCookieのパスとして使用しているだけ。