Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

[4.2] パスワードの要件を PCI DSS ver4.0 に準拠させる #5474

Merged
merged 2 commits into from
Jul 28, 2022
Merged

[4.2] パスワードの要件を PCI DSS ver4.0 に準拠させる #5474

merged 2 commits into from
Jul 28, 2022

Conversation

nanasess
Copy link
Contributor

概要(Overview・Refs Issue)

パスワードの要件を PCI DSS ver4.0 に準拠させる

方針(Policy)

  • 12文字以上
  • 数字とアルファベットの両方が含まれること

実装に関する補足(Appendix)

  • パスワードフォーマットの正規表現は2系のものを移植
  • eccube_default_password も英数字混在12文字以上にする必要がある

テスト(Test)

ユニットテストを追加

相談(Discussion)

マイナーバージョン互換性保持のための制限事項チェックリスト

  • 既存機能の仕様変更はありません
  • フックポイントの呼び出しタイミングの変更はありません
  • フックポイントのパラメータの削除・データ型の変更はありません
  • twigファイルに渡しているパラメータの削除・データ型の変更はありません
  • Serviceクラスの公開関数の、引数の削除・データ型の変更はありません
  • 入出力ファイル(CSVなど)のフォーマット変更はありません

レビュワー確認項目

  • 動作確認
  • コードレビュー
  • E2E/Unit テスト確認(テストの追加・変更が必要かどうか)
  • 互換性が保持されているか
  • セキュリティ上の問題がないか
    • 権限を超えた操作が可能にならないか
    • 不要なファイルアップロードがないか
    • 外部へ公開されるファイルや機能の追加ではないか
    • テンプレートでのエスケープ漏れがないか

@nanasess
パスワードの要件を PCI DSS ver4.0 に準拠させる
7470100 
- 12文字以上
- 数字とアルファベットの両方が含まれること
@nanasess nanasess force-pushed the fix-password branch 3 times, most recently from 58d09ee to c8aa42d Compare July 26, 2022 07:52
@taguchimasahiro taguchimasahiro added this to the 4.2.0 milestone Jul 27, 2022
@taguchimasahiro taguchimasahiro added improvement 機能改善 security security labels Jul 27, 2022
kiy0taka
kiy0taka reviewed Jul 28, 2022
View reviewed changes
Copy link
Contributor

@kiy0taka kiy0taka left a comment

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

@nanasess こちらもついでに変えておいてもらえると助かります。

ec-cube/src/Eccube/Command/LoadDataFixturesEccubeCommand.php

Line 67 in 92b9393

$login_password = env('ECCUBE_ADMIN_PASS', 'password');

@nanasess
Copy link
Contributor Author

@kiy0taka テストが password に依存していたので、そのままにしておいたのですが、変更するとしたら password1234 とかでいいですかね?

@kiy0taka
Copy link
Contributor

@nanasess なるほど、ついでぐらいに思ってましたがテストも変えるのは面倒なだけだと思うのでこのままでいきましょう。

@kiy0taka kiy0taka merged commit 0c30664 into EC-CUBE:4.2 Jul 28, 2022
@chihiro-adachi chihiro-adachi mentioned this pull request Aug 1, 2022
Closed
@nanasess nanasess deleted the fix-password branch October 3, 2022 07:58
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Reviewers

@kiy0taka kiy0taka kiy0taka approved these changes

Assignees
No one assigned
Labels
improvement 機能改善 security security
Projects
None yet
Milestone
4.2.0
Development

Successfully merging this pull request may close these issues.
3 participants
@nanasess @kiy0taka @taguchimasahiro