セキュリティー向上対策

2010 年 8 月 24 日

同じドメインの中で複数のWelcart を動かすなんて想定していませんでした。でもWordPress3.0 になってネットワーク機能が手軽に使えるようになったお陰で対策を取る必要がでてきました。ネットワーク機能での動作検証を今後行っていこうと思います。

とりあえずは、同じドメインでWPを複数登録し、それに一つずつWelcart をインストールした場合、v0.6 はカートの表示がおかしくなります。これをv0.7 では改善する予定です。

また、SSLを通した際にセッションIDが露出しますが、これを独自に隠蔽します。将来モバイル対応になった際にはセッションIDが露出しまくりますのでその前準備として改善しました。

Welcart ではいろいろソフト的にセキュリティーを考えてはいるのですが、どうしようもない問題が一つ有ります。

利用するプラグインに注意!

WordPress は全てを公開していますので、誰でもプラグインを作る事ができます。Welcart もオープンソースなので、仕組みはソースを見れば一目瞭然です。これは良いプラグインを作る上ではとても重要なことですが、悪意のあるプラグインも作れてしまうという弱点も有ります。

例えば、ある便利そうなプラグインを見つけたとします。そのプラグインはWelcart を狙った悪意あるものだったとすると、最悪の場合Welcart が保存している個人情報を全て盗まれてしまうかもしれません。

このような事を防ぐには、ユーザーが同居させるプラグインを精査しなくてはいけません。とは言うもののプログラムがわからない方には安全かどうかを判断するのは難しいですよね。せめてプラグインを選ぶときはできるだけたくさんの人が使っているものを選びましょう。WordPress でショップをするのであれば、決して素性のわからないプラグインは使ってはいけません。これはショップ管理者の責任となります。
Welcart も今後注意事項としてこういった事を喚起していきたいと思います。


カテゴリー: お知らせ, 技術資料
関連記事