Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

2FAのCOOKIE有無の条件分岐が逆だったので修正 #5715

Merged
merged 1 commit into from
Aug 31, 2022
Merged

2FAのCOOKIE有無の条件分岐が逆だったので修正 #5715

merged 1 commit into from
Aug 31, 2022

Conversation

riki-develop
Copy link
Contributor

@riki-develop riki-develop commented Aug 31, 2022
edited
Loading

概要(Overview・Refs Issue)

二要素認証の設定画面にアクセスできない #5689

twoFactorAuthService->isAuth で2FAのCOOKIEが有効かどうか検証しており、
(isAuth == true) の場合、admin_homepageにリダイレクトという処理になっているようです。

そのため、2段階認証が無効のユーザーは編集画面のURLを直接叩くと表示できて、
逆に、2段階認証が有効でCookieが付与されたユーザーは、管理画面トップにリダイレクトされる状況。

方針(Policy)

条件分岐の判定を逆にする事で解消

- if ($this->twoFactorAuthService->isAuth($Member)) {
+ if (!$this->twoFactorAuthService->isAuth($Member)) {

テスト(Test)

管理画面にて動作確認

admin → システム管理 → メンバー管理 から【2段階認証】有効
admin右上のアイコン → 【2段階認証 設定】

▼開発環境(M1 Mac:Docker)

EC-CUBE:4.2.0-beta2
DB:MySQL 5.7.39
Apache/2.4.54 (Debian)
PHP:7.4.30

マイナーバージョン互換性保持のための制限事項チェックリスト

  • 既存機能の仕様変更はありません
  • フックポイントの呼び出しタイミングの変更はありません
  • フックポイントのパラメータの削除・データ型の変更はありません
  • twigファイルに渡しているパラメータの削除・データ型の変更はありません
  • Serviceクラスの公開関数の、引数の削除・データ型の変更はありません
  • 入出力ファイル(CSVなど)のフォーマット変更はありません

レビュワー確認項目

  • 動作確認
  • コードレビュー
  • E2E/Unit テスト確認(テストの追加・変更が必要かどうか)
  • 互換性が保持されているか
  • セキュリティ上の問題がないか
    • 権限を超えた操作が可能にならないか
    • 不要なファイルアップロードがないか
    • 外部へ公開されるファイルや機能の追加ではないか
    • テンプレートでのエスケープ漏れがないか

@chihiro-adachi chihiro-adachi added this to the 4.2.0 milestone Aug 31, 2022
@chihiro-adachi
Copy link
Contributor

@riki-develop
ありがとうございます。修正確認しました。

@chihiro-adachi chihiro-adachi merged commit 0eabc94 into EC-CUBE:4.2 Aug 31, 2022
@chihiro-adachi chihiro-adachi added bugbounty2022:pr:entry バグバウンティ2022 バグ登録 PR登録 bugbounty2022:pr:recognition バグバウンティ2022 バグ登録 PR取込 labels Sep 1, 2022
@chihiro-adachi chihiro-adachi mentioned this pull request Sep 2, 2022
Closed
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Reviewers
No reviews
Assignees
No one assigned
Labels
bug:Low bugbounty2022:pr:entry バグバウンティ2022 バグ登録 PR登録 bugbounty2022:pr:recognition バグバウンティ2022 バグ登録 PR取込 Status: ready-for-merge
Projects
None yet
Milestone
4.2.0
Development

Successfully merging this pull request may close these issues.
2 participants
@riki-develop @chihiro-adachi