その他のセキュリティ機能強化

このリリースのセキュリティの強化により、最新のセキュリティのベストプラクティスへのコンプライアンスが向上します。

  • 生成されないキャッシュキーの動作の変更:

    • ブロックの生成されないキャッシュキーに、自動的に生成されるキーのプレフィックスとは異なるプレフィックスが含まれるようになりました。 (生成されないキャッシュキーは、テンプレートディレクティブ構文または setCacheKey または setData メソッドで設定されるキーです)。
    • ブロックの生成されないキャッシュキーには、文字、数字、ハイフン(–)、アンダースコア(_)のみを含める必要があります。
  • 自動生成されたクーポンコード数の制限。 Commerceでは、自動生成されるクーポンコードの数を制限するようになりました。 デフォルトの最大値は 250,000 です。 マーチャントは、新しい Code Quantity Limit 設定オプション(Stores/Settings:Configuration/Customers/Promotions)を使用して、多くのクーポンでシステムが圧倒される可能性を防ぐことができます。

  • デフォルトの管理者 URL 生成プロセスの最適化。 デフォルトの管理者 URL の生成が最適化されて、ランダム性が向上し、生成された URL を予測しにくくなりました。

  • 支払いページでのスクリプトの整合性の検証に関する PCI 4.0 要件に準拠するために、Subresource Integrity (SRI)のサポートを追加 しました。 サブリソースの整合性(SRI)のサポートは、ローカルファイルシステムに存在するすべてのJavaScript アセットの整合性ハッシュを提供します。 デフォルトの SRI 機能は、管理エリアとストアフロントエリアの支払いページにのみ実装されています。 ただし、マーチャントは、デフォルトの設定を他のページに拡張できます。 詳しくは、Commerce PHP 開発者ガイドの サブリソースの整合性を参照してください.

  • コンテンツセキュリティポリシー(CSP)の変更 - PCI 4.0 の要件に準拠するためのAdobe Commerce コンテンツセキュリティポリシー(CSP)の設定の更新と機能強化。 詳しくは、Commerce PHP 開発者ガイドの コンテンツセキュリティポリシーを参照してください。

    • Commerce管理エリアとストアフロントエリアの支払いページ用のデフォルトの CSP 設定が restrict モードになりました。 その他のすべてのページでは、デフォルト設定は report-only モードです。 2.4.7 より前のリリースでは、CSP はすべてのページに対して report-only モードで設定されていました。

    • CSP でインラインスクリプトの実行を許可する nonce プロバイダーを追加しました。 nonce プロバイダーは、各リクエストに対して一意の nonce 文字列を容易に生成できるようにします。 その後、文字列が CSP ヘッダーにアタッチされます。

    • 管理の注文を作成ページとストアフロントのチェックアウトページの CSP 違反をレポートするカスタム URI を設定するオプションを追加しました。 設定を追加するには、管理者から、または URI を config.xml ファイルに追加します。

      NOTE
      CSP 設定を restrict モードに更新すると、管理およびストアフロントの支払いページで既存のインラインスクリプトがブロックされる可能性があり、ページの読み込み時に次のブラウザーエラーが発生します。Refused to execute inline script because it violates the following Content Security Policy directive: "script-src。 許可リスト設定を更新して、必要なスクリプトを許可することで、これらのエラーを修正します。 2}Commerce PHP 開発者ガイドトラブルシューティング を参照してください。
  • 新しいフルページキャッシュ設定は、HTTP {BASE-URL}/page_cache/block/esi エンドポイントに関連するリスクを軽減するのに役立ちます。 このエンドポイントは、Commerceのレイアウトハンドルおよびブロック構造から無制限で動的に読み込まれるコンテンツフラグメントをサポートしています。 新しい Handles params size 設定では、このエンドポイントの handles パラメーターの値を設定します。このパラメーターによって、API あたりの最大ハンドル数が決定されます。 このプロパティのデフォルト値は 100 です。 マーチャントは、管理者(Stores/Settings:Configuration/System/Full Page Cache/Handles params size)からこの値を変更できます。 Varnish を使用するようにCommerce アプリケーションを設定するを参照してください。

  • REST およびGraphQL API を通じて送信される支払い情報のネイティブレート制限。 マーチャントは、REST およびGraphQLを使用して送信される支払い情報に対して、 レート制限を設定できるようになりました。 この保護レイヤーの追加により、カード攻撃の防止がサポートされ、多くのクレジットカード番号を一度にテストするカード攻撃の量が減少する可能性があります。 これは、既存の REST エンドポイントのデフォルト動作の変更です。 レート制限を参照してください。

  • isEmailAvailable GraphQL クエリと(V1/customers/isEmailAvailable) REST エンドポイントのデフォルトの動作が変更されました。 デフォルトでは、API は常に true を返すようになりました。 マーチャントは、管理で「ゲストチェックアウトログインを有効にする」オプションを yes に設定することで元の動作を有効にすることができますが、これにより、顧客情報が認証されていないユーザーに公開される可能性があります。