Issue #1301: ログインエラー表示改善 + ブルートフォース攻撃対策 + AJAX統一対応

[nobuhiko]

概要

Issue #1301 の実装です。ログイン失敗時のエラーを別画面ではなくログインフォーム上に直接表示するよう改善し、データベースベースのレート制限によるブルートフォース攻撃対策を追加しました。

さらに、全デバイス（PC/スマートフォン/モバイル）でログイン処理をAJAXに統一し、一貫したユーザー体験を提供します。

主な変更内容

1. エラー表示の改善

• ログイン失敗時に別画面（LC_Page_Error）へ遷移していた仕様を変更
• エラーメッセージをログインフォーム上に直接表示
• AJAX統一対応: 全デバイスでAJAXログインに統一（デバイス判定を削除）
• ヘッダー・サイドバーログインブロック: alertで表示（省スペース化）
• マイページ・ショッピングカートログイン: ページ内に表示
• UX（ユーザー体験）の大幅な向上

2. ブルートフォース攻撃対策

• データベーステーブル dtb_login_attempt を新規作成し、ログイン試行を記録
• レート制限ヘルパークラス SC_Helper_LoginRateLimit を実装
• 制限ルール:
  • 同一メールアドレス: 1時間に5回まで失敗を許可（6回目でブロック）
  • 同一IPアドレス: 1時間に10回まで失敗を許可（11回目でブロック）
• Issue パスワードの再発行機能の改善 #368 のパスワードリセット機能と同様の実装パターンを採用

3. セキュリティ強化

• ✅ アカウント列挙攻撃対策: エラーメッセージを統一
• ✅ XSS対策: テンプレートで |h|nl2br フィルタを適用
• ✅ SQLインジェクション対策: プリペアドステートメント使用
• ✅ ログイン試行の記録による監査証跡の確保
• ✅ 既存のSession Fixation対策・CSRF対策を維持

4. AJAX統一対応とHTTP/HTTPS両対応

• サーバー側: デバイス判定を削除し、常にJSON応答を返却
• テンプレート: HTTPS_URL → ROOT_URLPATH に変更（HTTP/HTTPS両対応）
• レート制限: デバイス判定を削除し、すべてJSON応答
• エラー表示方針:
  • ヘッダーログインブロック: alert表示
  • サイドバーログインブロック: alert表示
  • マイページログイン: ページ内表示
  • ショッピングカートログイン: ページ内表示
  • スマートフォン: AJAX（既存の動作を維持）

変更ファイル

追加

• data/class/helper/SC_Helper_LoginRateLimit.php (新規ヘルパークラス)
• data/class_extends/helper/SC_Helper_LoginRateLimit_Ex.php (拡張クラス)
• tests/class/helper/SC_Helper_LoginRateLimit/SC_Helper_LoginRateLimitTest.php (単体テスト)

修正（サーバー側）

• data/class/pages/frontparts/LC_Page_FrontParts_LoginCheck.php - デバイス判定削除、AJAX統一
• data/class/pages/shopping/LC_Page_Shopping.php - デバイス判定削除、AJAX統一

修正（テンプレート）

• data/Smarty/templates/default/mypage/login.tpl - AJAX対応、詳細ログ追加
• data/Smarty/templates/default/shopping/index.tpl - AJAX対応
• data/Smarty/templates/default/frontparts/bloc/login.tpl - AJAX対応、alert表示
• data/Smarty/templates/default/frontparts/bloc/login_header.tpl - URL修正、alert表示
• data/Smarty/templates/sphone/shopping/index.tpl - バグ修正（login_error→error）
• data/Smarty/templates/mobile/mypage/login.tpl - エラー表示追加
• data/Smarty/templates/mobile/shopping/index.tpl - エラー表示追加

修正（データベース・インストール）

• html/install/sql/create_table_mysqli.sql - dtb_login_attemptテーブル追加
• html/install/sql/create_table_pgsql.sql - dtb_login_attemptテーブル追加
• eccube_install.sh - PostgreSQLシーケンス追加

修正（テスト）

• tests/require.php - TEST_MAILCATCHER_URL定義追加
• e2e-tests/test/front_guest/login_error.test.ts - AJAX対応、セレクタ修正、alert対応

テスト

単体テスト

• ✅ 全12テスト、33アサーションが成功
• ✅ レート制限の動作確認済み
• ✅ XSS対策の検証済み

E2Eテスト

• ✅ 7 passed (1 skipped) - 全テスト成功
• ✅ マイページログインエラー表示
• ✅ マイページバリデーションエラー表示
• ✅ ショッピングカートログインエラー表示
• ✅ マイページログインレート制限
• ✅ ヘッダーログインブロックエラー表示（alert）
• ✅ サイドバーログインブロックエラー表示（alert）
• ✅ 正常ログイン動作確認

コード品質

• ✅ php-cs-fixer適用済み

セキュリティレビュー結果

包括的なセキュリティレビューを実施しました。

✅ セキュリティ強化ポイント

1. SQLインジェクション対策: プリペアドステートメントの使用
2. XSS対策: エスケープ処理（|h|nl2brフィルタ）
3. レート制限: メールアドレス・IP双方の制限
4. 監査証跡: すべてのログイン試行を記録
5. Session Fixation対策: SC_Session_Ex::regenerateSID() の維持
6. CSRF対策: トランザクションIDの維持
7. アカウント列挙攻撃への部分的対策: エラーメッセージの統一

📋 推奨される将来的改善（本PRには含まれません）

以下は別Issueとして起票することを推奨します:

1. タイミング攻撃対策: アカウントが存在しない場合もダミーのパスワード検証を実行
2. ログの個人情報保護: メールアドレスのハッシュ化
3. データベース最適化: TEXT型をVARCHAR型に変更（パフォーマンス向上）
4. IPアドレス取得の改善: プロキシ環境への対応

技術的詳細

AJAX統一化の実装

従来はスマートフォンのみAJAXでログイン処理していましたが、今回の変更で全デバイスでAJAXに統一しました。

Before:

// デバイス判定して処理を分岐
if (SC_Display_Ex::detectDevice() === DEVICE_TYPE_SMARTPHONE) {
    echo SC_Utils_Ex::jsonEncode(['error' => $this->arrErr['login']]);
} else {
    $_SESSION['login_error'] = $this->arrErr['login'];
    SC_Response_Ex::sendRedirect($url);
}

After:

// 常にJSON返却（デバイス判定なし）
echo SC_Utils_Ex::jsonEncode(['error' => $this->arrErr['login']]);
SC_Response_Ex::actionExit();

HTTP/HTTPS両対応

テンプレートのURL指定を修正し、HTTP（localhost:8080）とHTTPS（localhost:4430）の両方で動作するようにしました。

Before: url: "<!--{$smarty.const.HTTPS_URL}-->frontparts/login_check.php"
After: url: "<!--{$smarty.const.ROOT_URLPATH}-->frontparts/login_check.php"

統計

• 15ファイル変更
• 985行追加、234行削除

参考

• Issue パスワードの再発行機能の改善 #368: パスワード再発行機能の改善 (PR Issue #368: パスワード再発行機能の改善 - トークンベース認証へ移行 #1299)
• CLAUDE.md: テストメソッド名は英語で記述（文字化け対策）

動作確認チェックリスト

PC版

• マイページログイン成功
• マイページログイン失敗（エラーが同一ページに表示）
• ショッピング画面ログイン成功
• ショッピング画面ログイン失敗（エラーが同一ページに表示）
• ヘッダーログインブロック失敗（alertで表示）
• サイドバーログインブロック失敗（alertで表示）
• レート制限動作確認（7回目の失敗でブロック）
• 仮登録会員への専用メッセージ表示

スマートフォン版

• ショッピング画面ログイン失敗（alertで表示）
• バグ修正確認（login_error→error）

環境

• HTTP環境（localhost:8080）
• HTTPS環境（localhost:4430）

🤖 Generated with Claude Code

Summary by CodeRabbit

• 新機能
  • ログインセキュリティを強化しました。一定時間内の連続失敗を検知して一時的にブロックし、不正なアクセス試行から保護します。試行の記録・集計・削除機能も追加。
• Chores
  • 開発環境向けの無視設定を追加（パッケージ管理・一時ファイル・スクリプト・スクリーンショット・データベースダンプ等）。

_{✏️ Tip: You can customize this high-level summary in your review settings.}

[codecov]

Codecov Report

❌ Patch coverage is 93.45794% with 7 lines in your changes missing coverage. Please review.
✅ Project coverage is 55.09%. Comparing base (a695fd4) to head (36e0d73).

Files with missing lines	Patch %	Lines
data/class/helper/SC_Helper_LoginRateLimit.php	93.45%	7 Missing ⚠️

Additional details and impacted files

@@            Coverage Diff             @@
##           master    #1302      +/-   ##
==========================================
+ Coverage   54.72%   55.09%   +0.37%     
==========================================
  Files          84       85       +1     
  Lines       10815    10922     +107     
==========================================
+ Hits         5918     6018     +100     
- Misses       4897     4904       +7     

Flag	Coverage Δ
tests	55.09% <93.45%> (+0.37%)	⬆️

Flags with carried forward coverage won't be shown. Click here to find out more.

☔ View full report in Codecov by Sentry.
📢 Have feedback on the report? Share it here.

🚀 New features to boost your workflow:

• ❄️ Test Analytics: Detect flaky tests, report on failures, and find test suite problems.
• 📦 JS Bundle Analysis: Save yourself from yourself by tracking and limiting bundle sizes in JS merges.

[bbkids]

エラーページへ遷移せずに、ログインフォーム上に直接表示エラー表示できるようになるとすごく助かります。

細かな事をご指摘しているようで大変恐縮なのですが、
新規のSC_Helper_LoginRateLimit_Ex.php ファイルの配置ディレクトリですが、
data/class_extends/helper/ ではなく、
data/class_extends/helper_extends/ の間違いではないでしょうか？

[nobuhiko]

@bbkids
ありがとうございます！
そもそも data/class_extends が必要ないですね、削除しました

[bbkids]

このPR「ログインエラー表示改善 + ブルートフォース攻撃対策 + AJAX統一対応 #1302」と
「トークンベース認証へ移行 #1299」が正式にマージされる事を強く望みますが、実際にはどんな感じなんでしょう？

[nanasess]

@bbkids 個人的にはマージしてしまいたい気持ちです

[bbkids]

下位互換性のない変更なのかとは思いますが、今回の修正には重大なセキュリティ脆弱性の解消が含まれています。
メジャーアップデートによる対応が見込めない状況にある EC-CUBE2 系を現在も運用している店舗を不正アクセスから守るための、極めて貴重な防御手段となります。

そのため、このような修正については互換性破壊のリスクを十分に理解したうえで、例外的なマージを前向きにご検討いただきたく思います。
この種の修正こそが、長年コミュニティを支えてこられた有志開発者の皆さまによるメンテナンスの意義かと思います。
関係者様どうかご検討のほど、よろしくお願いいたします。

[bbkids]

このアカウントロック仕様は、
ログインに成功した後でも過去一時間内のログイン失敗回数を保持し引き継がれることでセキュリティ重視の設計になっており、この方針は非常に有意義だと思います。
一方で、正常なユーザが一度ログインに成功した後も、過去の失敗回数が残り続けることで、意図せずロックアウトされてしまうケースも想定されます。
運用ポリシーやサイト特性に応じて、セキュリティ重視の現行仕様、ログイン成功時に失敗回数をリセットする仕様へ切り替えられるオプションがあると、ユーザビリティとのバランスが取りやすくなるのではないかと思うのですがいかかでしょうか？

[bbkids]

気づいた点をこのまま書き続けてよいのか判断がついておりません。
もし今後マージされた際に、別途 issue を立てた方が望ましいようでしたら、そのように対応いたしますので、ご指摘いただけますと幸いです。

現在、ログイン失敗時でもページ遷移しなくなった影響で、ブラウザがログイン成功と誤認し、パスワードマネージャーが ID・パスワードの更新を促すメッセージを表示するようになっています。

ログイン失敗時には HTTP/1.1 401 Unauthorized を返す必要があると考えています。
そのため、PHP 側で 401 を返し、テンプレート側の Ajax で statusCode: 401、通信エラー、成功（200）をそれぞれ適切に処理できるようにする必要があるかと思われます。

[nobuhiko]

@bbkids 気にせず書いてもらえれば大丈夫です

[coderabbitai]

Actionable comments posted: 4

Caution

Some comments are outside the diff and can’t be posted inline due to platform limitations.

⚠️ Outside diff range comments (1)

data/class/pages/frontparts/LC_Page_FrontParts_LoginCheck.php (1)

81-81: オープンリダイレクト脆弱性の可能性

$_POST['url'] パラメータがそのままリダイレクト先として使用されています。htmlspecialchars はXSSを防ぎますが、オープンリダイレクトは防げません。攻撃者が url=https://malicious-site.com を設定した場合、ログイン成功後にユーザーが悪意のあるサイトへリダイレクトされる可能性があります。

🐛 修正案

-        $url = htmlspecialchars($_POST['url'], ENT_QUOTES);
+        $url = htmlspecialchars($_POST['url'] ?? '', ENT_QUOTES);
+        // オープンリダイレクト対策: 相対パスまたは同一ドメインのみ許可
+        if (!empty($url) && (strpos($url, '/') !== 0 || strpos($url, '//') === 0)) {
+            $url = ROOT_URLPATH;
+        }

より堅牢な対策として、許可されたURLパターンのホワイトリストを使用するか、同一ドメインのチェックを追加してください。

Also applies to: 160-160

🤖 Fix all issues with AI agents

In `@data/class/pages/shopping/LC_Page_Shopping.php`:
- Around line 177-183: The mobile-redirect block in LC_Page_Shopping uses
SC_Response_Ex::sendRedirectFromUrlPath()/actionExit() which sends an HTTP
redirect even for AJAX login calls; change it to detect AJAX requests (e.g.,
X-Requested-With or the same AJAX detection used in
LC_Page_FrontParts_LoginCheck) and, when the request is AJAX, return a JSON
response containing the redirect URL/result (mirroring
LC_Page_FrontParts_LoginCheck behavior and using SC_Helper_Mobile_Ex for any
mobile domain checks) instead of issuing a direct redirect; otherwise keep the
existing non-AJAX redirect flow.

In `@e2e-tests/test/front_guest/login_error.test.ts`:
- Around line 202-204: The skipped E2E test "ショッピングカートログインのレート制限が動作します" must be
re-enabled and made independent by clearing the dtb_login_attempt table before
it runs; add a test fixture or beforeEach hook in
e2e-tests/test/front_guest/login_error.test.ts that invokes a helper (e.g.,
clearLoginAttempts or a DB utility) to truncate or delete rows from
dtb_login_attempt for the test email generated by FakerUtils.createEmail(), then
remove test.skip so the test runs reliably and no longer suffers from prior
IP-based rate limits.
- Around line 338-353: The test for successful login is flakey due to IP
rate-limiting; add a precondition that clears rate-limit state before the main
steps by either running this success test first or adding a setup step that
performs a fresh login/logout (or an API call that resets rate limits) prior to
the existing steps. Concretely, add a prep test.step or beforeEach that
navigates to '/mypage/login.php' (same as page.goto('/mypage/login.php')), uses
the same selectors ('#login_mypage input[name="login_email"]',
'input[name="login_pass"]', 'input[type="image"][name="log"]') with
validEmail/validPassword to perform a quick login and then logs out, or call the
app’s rate-limit reset endpoint if available, so the subsequent assertions in
this test are not affected by prior failed attempts.
- Around line 164-177: The loop in the test step '6回連続でログインに失敗します' races because
'#undercolumn_login `#login_error_area`' stays visible after the first attempt so
subsequent waitFor({state:'visible'}) resolves immediately; fix by waiting for
the error-area to update between attempts—capture the previous text (from
'#undercolumn_login `#login_error_area`') before clicking the submit
('#login_mypage input[type="image"][name="log"]') and after the click wait until
the locator's textContent changes (or wait for it to become hidden then visible)
before asserting; apply this change inside the for-loop so each iteration truly
waits for the AJAX response.

🧹 Nitpick comments (6)

data/Smarty/templates/default/frontparts/bloc/login.tpl (1)

71-71: フォームアクションURLとAJAX URLの不整合

AJAX URLは ROOT_URLPATH を使用していますが（Line 36）、フォームのaction属性は HTTPS_URL のままです。JavaScript無効時のフォールバック動作に影響する可能性があります。PR目的に記載されている通り、HTTP/HTTPS両対応のため ROOT_URLPATH への統一を検討してください。

♻️ 修正案

-            <form name="login_form" id="login_form" method="post" action="<!--{$smarty.const.HTTPS_URL}-->frontparts/login_check.php"<!--{if $tpl_login}--> onsubmit="return eccube.checkLoginFormInputted('login_form')"<!--{/if}-->>
+            <form name="login_form" id="login_form" method="post" action="<!--{$smarty.const.ROOT_URLPATH}-->frontparts/login_check.php"<!--{if $tpl_login}--> onsubmit="return eccube.checkLoginFormInputted('login_form')"<!--{/if}-->>

data/Smarty/templates/sphone/shopping/index.tpl (1)

30-34: フォームデータの取得方法が脆弱です

$('input[type=email]') や $('input[type=password]') はページ内の全ての該当要素にマッチするため、将来的にフォームが追加された場合に予期しない動作を引き起こす可能性があります。他のテンプレート（login.tplなど）のように $('#member_form').serialize() を使用するか、セレクターをフォーム内に限定することを推奨します。

♻️ 修正案

         } else {
-            var postData = new Object;
-            postData['<!--{$smarty.const.TRANSACTION_ID_NAME}-->'] = "<!--{$transactionid}-->";
-            postData['mode'] = 'login';
-            postData['login_email'] = $('input[type=email]').val();
-            postData['login_pass'] = $('input[type=password]').val();
+            var postData = $('#member_form').serialize();

             $.ajax({
                 type: "POST",
                 url: "<!--{$smarty.const.ROOT_URLPATH}-->shopping/index.php",
                 data: postData,

data/Smarty/templates/default/mypage/login.tpl (1)

44-44: .html() の使用によるXSSリスクの可能性

result.error をそのまま .html() で挿入しています。現在サーバー側のエラーメッセージはハードコードされているため即座に悪用可能ではありませんが、将来的にエラーメッセージにユーザー入力が含まれる場合、XSS脆弱性となる可能性があります。より安全な実装として、改行処理を別の方法で行うことを検討してください。

♻️ 修正案

                     try {
                         var result = JSON.parse(xhr.responseText);
                         if (result.error) {
-                            $('#login_error_area').html(result.error.replace(/\n/g, '<br>')).show();
+                            $('#login_error_area').text(result.error).show();
                         }

改行を維持する場合は、CSSで white-space: pre-line; を使用することで安全に改行を表示できます。

data/Smarty/templates/default/shopping/index.tpl (1)

41-43: .html() の使用によるXSSリスクの可能性

mypage/login.tpl と同様、result.error を .html() で直接挿入しています。サーバー側のエラーメッセージがハードコードされている限り問題ありませんが、より安全な実装として .text() の使用を推奨します。

♻️ 修正案

                     try {
                         var result = JSON.parse(xhr.responseText);
                         if (result.error) {
-                            $('#login_error_area').html(result.error).show();
+                            $('#login_error_area').text(result.error).show();
                         }

改行を維持する必要がある場合は、CSSで white-space: pre-line; を使用してください。

data/class/pages/shopping/LC_Page_Shopping.php (1)

512-524: 未使用の可能性がある関数

lfGetErrorMessage() 関数が残っていますが、新しいAJAX対応のコードでは使用されていないようです。この関数が他の箇所から呼び出されていないか確認し、不要であれば削除を検討してください。

#!/bin/bash
# lfGetErrorMessage の使用箇所を確認
rg -n "lfGetErrorMessage" data/class/

e2e-tests/test/front_guest/login_error.test.ts (1)

260-285: 固定の待機(waitForTimeout)はフレーク要因です。
dialog の発火を確実に待つ形にすると安定します（ヘッダー/サイドバー両方に適用）。

♻️ 修正案（ヘッダーブロック例）

-      // alertダイアログを処理するためのリスナーを設定
-      let alertMessage = '';
-      page.once('dialog', async dialog => {
-        alertMessage = dialog.message();
-        await dialog.accept();
-      });
+      const dialogPromise = page.waitForEvent('dialog');

       await page.locator('#header_login_area input[name="login_email"]').fill(headerTestEmail);
       await page.locator('#header_login_area input[name="login_pass"]').fill('wrongpassword');

       // クリックとレスポンスのキャプチャを並行実行
-      const [response] = await Promise.all([
+      const [response, dialog] = await Promise.all([
         page.waitForResponse(resp =>
           resp.url().includes('login_check.php') && resp.request().method() === 'POST'
         ),
+        dialogPromise,
         page.locator('#header_login_area input[type="image"]').click()
       ]);
       expect(response.status()).toBe(401);

-      // AJAX処理完了を待つためalertが表示されるまで待機
-      await page.waitForTimeout(2000);
-
-      // alertメッセージを確認
-      expect(alertMessage).toMatch(/メールアドレスもしくはパスワードが正しくありません|短時間に複数のログイン試行が検出されました/);
+      expect(dialog.message()).toMatch(/メールアドレスもしくはパスワードが正しくありません|短時間に複数のログイン試行が検出されました/);
+      await dialog.accept();

Also applies to: 305-330

[coderabbitai]

⚠️ Potential issue | 🟠 Major

🧩 Analysis chain

🏁 Script executed:

# First, explore the e2e-tests directory structure
find . -type d -name "e2e-tests" | head -5

Repository: EC-CUBE/ec-cube2

Length of output: 71

---

🏁 Script executed:

# List the directory structure of e2e-tests
ls -la e2e-tests/ 2>/dev/null || echo "e2e-tests not found at root"

Repository: EC-CUBE/ec-cube2

Length of output: 507

---

🏁 Script executed:

# Search for test files related to login_error
find e2e-tests -name "*login_error*" -type f 2>/dev/null

Repository: EC-CUBE/ec-cube2

Length of output: 106

---

🏁 Script executed:

# Check both possible directory structures (test vs tests)
fd "login_error" e2e-tests/ 2>/dev/null

Repository: EC-CUBE/ec-cube2

Length of output: 106

---

🏁 Script executed:

# Read the file to check the actual code at lines 164-177
wc -l e2e-tests/test/front_guest/login_error.test.ts

Repository: EC-CUBE/ec-cube2

Length of output: 110

---

🏁 Script executed:

# Read around lines 164-177
sed -n '164,177p' e2e-tests/test/front_guest/login_error.test.ts

Repository: EC-CUBE/ec-cube2

Length of output: 855

---

🏁 Script executed:

# Read more context to understand the test structure
sed -n '150,185p' e2e-tests/test/front_guest/login_error.test.ts

Repository: EC-CUBE/ec-cube2

Length of output: 1641

---

🏁 Script executed:

# Check if this test file uses Page Object pattern
head -30 e2e-tests/test/front_guest/login_error.test.ts

Repository: EC-CUBE/ec-cube2

Length of output: 1265

---

🏁 Script executed:

# Check the pages directory to understand Page Object structure
ls -la e2e-tests/pages/

Repository: EC-CUBE/ec-cube2

Length of output: 652

---

🏁 Script executed:

# See if there's a BasePage or LoginPage in pages directory
find e2e-tests/pages -name "*.ts" -o -name "*.js"

Repository: EC-CUBE/ec-cube2

Length of output: 560

---

🏁 Script executed:

# Check the full test structure to understand the rate-limit test better
sed -n '155,210p' e2e-tests/test/front_guest/login_error.test.ts

Repository: EC-CUBE/ec-cube2

Length of output: 2508

---

🏁 Script executed:

# Look at the mypage login page object to see if it has rate-limit handling
cat e2e-tests/pages/mypage/login.page.ts

Repository: EC-CUBE/ec-cube2

Length of output: 1602

---

🏁 Script executed:

# Check if there's any response/network synchronization in the entire test file
grep -n "waitForResponse\|waitForLoadState" e2e-tests/test/front_guest/login_error.test.ts

Repository: EC-CUBE/ec-cube2

Length of output: 482

---

🏁 Script executed:

# Check what happens to `#login_error_area` when new login attempts are made
# Let's see if there's any element clearing logic
grep -n "login_error_area" e2e-tests/test/front_guest/login_error.test.ts -B2 -A2

Repository: EC-CUBE/ec-cube2

Length of output: 2356

---

🏁 Script executed:

# Check if there are any other similar loops in the test file
grep -n "for (let i" e2e-tests/test/front_guest/login_error.test.ts -A 15

Repository: EC-CUBE/ec-cube2

Length of output: 1801

---

🏁 Script executed:

# Let's check if there are any other test files in the test directory to understand the pattern
ls -la e2e-tests/test/front_guest/

Repository: EC-CUBE/ec-cube2

Length of output: 516

---

🏁 Script executed:

# Look at what happens between iterations - check if error element gets cleared
grep -n "innerHTML\|textContent\|innerText" e2e-tests/test/front_guest/login_error.test.ts | head -20

Repository: EC-CUBE/ec-cube2

Length of output: 163

---

連続失敗ループでレスポンス待ちが不足しています。

#login_error_area は初回で可視のままなので、以降の待機が即時解決し、AJAX完了前に次の試行が走る可能性があります。各試行でレスポンス待ちを入れてください。

🛠️ 修正案

       for (let i = 0; i < 6; i++) {
         await page.locator('#login_mypage input[name="login_email"]').fill(rateLimitEmail);
         await page.locator('#login_mypage input[name="login_pass"]').fill('wrongpassword');
-        await page.locator('#login_mypage input[type="image"][name="log"]').click();
-
-        // AJAX処理完了を待つためエラーメッセージが表示されるまで待機
-        await page.locator('#undercolumn_login `#login_error_area`').waitFor({ state: 'visible', timeout: 10000 });
-
-        // 6回目まではメールアドレスベースのエラーまたはIPベースのレート制限エラー
-        const errorText = await page.locator('#undercolumn_login `#login_error_area`').textContent();
-        // いずれかのエラーメッセージが表示されていればOK
-        expect(errorText).toMatch(/メールアドレスもしくはパスワードが正しくありません|短時間に複数のログイン試行が検出されました/);
+        const [response] = await Promise.all([
+          page.waitForResponse(resp =>
+            resp.url().includes('login_check.php') && resp.request().method() === 'POST'
+          ),
+          page.locator('#login_mypage input[type="image"][name="log"]').click()
+        ]);
+        expect(response.status()).toBe(401);
+
+        await expect(page.locator('#undercolumn_login `#login_error_area`'))
+          .toContainText(/メールアドレスもしくはパスワードが正しくありません|短時間に複数のログイン試行が検出されました/);
       }

🤖 Prompt for AI Agents

In `@e2e-tests/test/front_guest/login_error.test.ts` around lines 164 - 177, The
loop in the test step '6回連続でログインに失敗します' races because '#undercolumn_login
`#login_error_area`' stays visible after the first attempt so subsequent
waitFor({state:'visible'}) resolves immediately; fix by waiting for the
error-area to update between attempts—capture the previous text (from
'#undercolumn_login `#login_error_area`') before clicking the submit
('#login_mypage input[type="image"][name="log"]') and after the click wait until
the locator's textContent changes (or wait for it to become hidden then visible)
before asserting; apply this change inside the for-loop so each iteration truly
waits for the AJAX response.

[coderabbitai]

⚠️ Potential issue | 🟡 Minor

FIXMEのままだとレート制限のE2Eが恒常的に未検証です。
IP制限の影響を避けるため、テスト前に dtb_login_attempt をクリアするフィクスチャ等で独立性を確保して復帰させたいです。必要なら具体案を出します。

🤖 Prompt for AI Agents

In `@e2e-tests/test/front_guest/login_error.test.ts` around lines 202 - 204, The
skipped E2E test "ショッピングカートログインのレート制限が動作します" must be re-enabled and made
independent by clearing the dtb_login_attempt table before it runs; add a test
fixture or beforeEach hook in e2e-tests/test/front_guest/login_error.test.ts
that invokes a helper (e.g., clearLoginAttempts or a DB utility) to truncate or
delete rows from dtb_login_attempt for the test email generated by
FakerUtils.createEmail(), then remove test.skip so the test runs reliably and no
longer suffers from prior IP-based rate limits.

[coderabbitai]

⚠️ Potential issue | 🟠 Major

成功ログインがIPレート制限に巻き込まれてフレークする可能性があります。
このスイート内で失敗試行が多数発生するため、IP制限が有効だと正しい認証情報でもブロックされる恐れがあります。成功テストを先に回すか、事前にログイン試行をクリアする前処理を追加してください。

🤖 Prompt for AI Agents

In `@e2e-tests/test/front_guest/login_error.test.ts` around lines 338 - 353, The
test for successful login is flakey due to IP rate-limiting; add a precondition
that clears rate-limit state before the main steps by either running this
success test first or adding a setup step that performs a fresh login/logout (or
an API call that resets rate limits) prior to the existing steps. Concretely,
add a prep test.step or beforeEach that navigates to '/mypage/login.php' (same
as page.goto('/mypage/login.php')), uses the same selectors ('#login_mypage
input[name="login_email"]', 'input[name="login_pass"]',
'input[type="image"][name="log"]') with validEmail/validPassword to perform a
quick login and then logs out, or call the app’s rate-limit reset endpoint if
available, so the subsequent assertions in this test are not affected by prior
failed attempts.

[bbkids]

以前に LC_Page_Shopping.php と LC_Page_FrontParts_LoginCheck.php に対し修正案を提案させて頂いておりましたが、自身が読み直してみて説明内容が不十分で御座いました。
何とか意味の伝わるよう訂正させて頂きました。再度ご確認いただけますと幸いです。

【お伝えしたい内容】
仕様では「6回目のログイン失敗でアカウントをブロックする」ことになっています。
そのため、本来は 6回目の失敗時点でレート制限超過のエラーメッセージを表示する必要があります。

しかし現状では、
6回目の失敗時点でアカウントロックがかかっているにも関わらず、
7回目（正しいID・PASSでも失敗でも）に、はじめて「短時間に複数のログイン試行が検出されました。しばらく時間をおいてから再度お試しください。」というメッセージが表示されるという挙動になっています。
このままでは、ユーザーが「7回目の入力が間違っていたからロックかかった」と誤解する可能性があります。
そのため、6回目の失敗時にレート制限超過のエラーメッセージを表示するべきかと思います。

[nobuhiko]

@bbkids めっちゃわかりやすいです、直しました！

[bbkids]

@nobuhiko

めっちゃわかりやすいです、直しました！

• email_count >= 6 → >= 5 に変更
• ip_count >= 11 → >= 10 に変更
  の修正を確認いたしました。

しかしこの対処ですと、
5回まで間違ったID・PASSで、
6回目に正しいID・PASSの場合、5回目で既にアカウントロックされてしまっている為、ログイン出来ず初めて「レート制限メッセージ」が表示される事になります。
仕様では、6回目の試行結果でブロックするはずなので、矛盾する事になります。
どういうことかと申しますと
email_countとip_countの数字の変更による修正だと
・「失敗回数が6回でレート制限メッセージ表示が必要」〇
・「6回目のID・PASSが正しければログインできなければならない。」ここが×
つきましては、先にご提案させて頂きました、以下修正案ご検討頂けますと幸いです。

【修正案】
・正しいタイミング（6回目/11回目 の失敗）でレート制限メッセージが表示されます。
・指定回数（6回目/11回目）の失敗でアカウントロックされます。（6回目/11回目 が正しければログインできます。）

email_countとip_countは元の数字に戻し、
LC_Page_FrontParts_LoginCheck.php の165行目付近と
LC_Page_Shopping.php の198行目付近の

// ログイン失敗を記録
SC_Helper_LoginRateLimit_Ex::recordLoginAttempt($login_email, $ip_address, $user_agent, 0);

のすぐ下に、以下のコードの追加

// レート制限チェック
$rate_limit = SC_Helper_LoginRateLimit_Ex::checkRateLimit($login_email, $ip_address);

if (!$rate_limit['allowed']) {
    // レート制限超過時のエラーメッセージ
    $this->arrErr['login'] = '短時間に複数のログイン試行が検出されました。しばらく時間をおいてから再度お試しください。';

    // AJAX対応: JSON返却
    SC_Response_Ex::sendHttpStatus(401);
    echo SC_Utils_Ex::jsonEncode(['error' => $this->arrErr['login']]);
    SC_Response_Ex::actionExit();
}

[coderabbitai]

Actionable comments posted: 1

🤖 Fix all issues with AI agents

In @.claude/settings.local.json:
- Around line 1-91: The committed .claude/settings.local.json contains
machine-specific absolute paths (e.g.
"/Users/kimotonobuhiko/Sites/workspace/ec-cube2/") and plaintext DB credentials
(DB_PASSWORD, DB_USER, DB_SERVER) and must be removed from the repo: remove the
file from version control, add ".claude/settings.local.json" to .gitignore, and
create a template "settings.local.json.example" that preserves the structure
(top-level "permissions" object and keys like the Bash entries) but replaces
absolute paths and secrets with placeholders (e.g. <PROJECT_PATH>, <DB_USER>,
<DB_PASSWORD>, <DB_SERVER>). Ensure instructions in the README tell developers
to copy the example to .claude/settings.local.json and populate their local
values.

🧹 Nitpick comments (1)

.claude/worklog-pr1314-mysql-test-failures.md (1)

5-6: Markdownのフォーマット改善を推奨

静的解析ツールが指摘しているように、URLは適切なMarkdownリンク形式にすることを推奨します：

-**PR**: https://github.com/EC-CUBE/ec-cube2/pull/1314
-**CI Run**: https://github.com/EC-CUBE/ec-cube2/actions/runs/21198520392
+**PR**: <https://github.com/EC-CUBE/ec-cube2/pull/1314>
+**CI Run**: <https://github.com/EC-CUBE/ec-cube2/actions/runs/21198520392>

また、Lines 15, 26, 36, 47, 58, 151, 166, 461, 468 のコードブロックには言語指定（例：php、bash、text）を追加すると、構文ハイライトと可読性が向上します。

[coderabbitai]

Actionable comments posted: 2

🤖 Fix all issues with AI agents

In `@data/class/helper/SC_Helper_LoginRateLimit.php`:
- Around line 137-147: ログ出力で生のメール/IP/UAを出力しており（GC_Utils_Ex::gfPrintLog 呼び出しで
$login_id, $ip_address, $user_agent
をそのまま渡している箇所）、PII漏洩リスクがあるためこれらをマスクまたはハッシュしてからログ出力するよう修正してください；具体的には Login
attempt ログを作る前に $login_id はメールのドメインを残すか部分マスク、$ip_address
はサブネット化またはハッシュ、$user_agent は要約/ハッシュ化して短縮し、フォーマットされた $log_message にハッシュ化済み値を入れて
GC_Utils_Ex::gfPrintLog(..., CUSTOMER_LOG_REALFILE, false)
に渡すように変更し、必要なら設定フラグでマスク/生データ切替を可能にしてください。
- Around line 34-35: 既存の SC_Helper_LoginRateLimit クラスだけだと EC-CUBE2 の
class_extends による上書きに対応できないため、SC_Helper_LoginRateLimit_Ex
という拡張クラスを追加してプラグイン互換性を確保してください；具体的には新しいクラス名 SC_Helper_LoginRateLimit_Ex を作成して
SC_Helper_LoginRateLimit を extends
し（空のコンストラクタやメソッド差し替えポイントを残す形で）必要なオーバーライド用の拡張ポイントを提供し、EC-CUBE の class_extends
機構で読み込まれるように配置してください。

[coderabbitai]

⚠️ Potential issue | 🟠 Major

ログにメール/IP/UAをそのまま出力しないでください。

CUSTOMER_LOG_REALFILE に生のメール・IP・User-Agentを残すのは PII漏えいリスクが高いです。DB側に生データが保存されているため、ログはハッシュ化・短縮化等で十分です（必要なら設定で切替）。

🛡️ マスキング/ハッシュ化の例

-        $log_message = sprintf(
-            'Login attempt: %s | Email: %s | IP: %s | User-Agent: %s',
-            $result_text,
-            $login_id,
-            $ip_address,
-            $user_agent
-        );
+        $login_id_hash = hash('sha256', strtolower($login_id));
+        $ip_hash = hash('sha256', $ip_address);
+        $ua_short = substr($user_agent, 0, 200);
+        $log_message = sprintf(
+            'Login attempt: %s | EmailHash: %s | IPHash: %s | User-Agent: %s',
+            $result_text,
+            $login_id_hash,
+            $ip_hash,
+            $ua_short
+        );

📝 Committable suggestion

‼️ IMPORTANT
Carefully review the code before committing. Ensure that it accurately replaces the highlighted code, contains no missing lines, and has no issues with indentation. Thoroughly test & benchmark the code to ensure it meets the requirements.

Suggested change

	// ログ出力（セキュリティ監視用）
	$result_text = $result === 1 ? 'SUCCESS' : 'FAILED';
	$log_message = sprintf(
	'Login attempt: %s | Email: %s | IP: %s | User-Agent: %s',
	$result_text,
	$login_id,
	$ip_address,
	$user_agent
	);
	GC_Utils_Ex::gfPrintLog($log_message, CUSTOMER_LOG_REALFILE, false);
	// ログ出力（セキュリティ監視用）
	$result_text = $result === 1 ? 'SUCCESS' : 'FAILED';
	$login_id_hash = hash('sha256', strtolower($login_id));
	$ip_hash = hash('sha256', $ip_address);
	$ua_short = substr($user_agent, 0, 200);
	$log_message = sprintf(
	'Login attempt: %s | EmailHash: %s | IPHash: %s | User-Agent: %s',
	$result_text,
	$login_id_hash,
	$ip_hash,
	$ua_short
	);
	GC_Utils_Ex::gfPrintLog($log_message, CUSTOMER_LOG_REALFILE, false);

🤖 Prompt for AI Agents

In `@data/class/helper/SC_Helper_LoginRateLimit.php` around lines 137 - 147,
ログ出力で生のメール/IP/UAを出力しており（GC_Utils_Ex::gfPrintLog 呼び出しで $login_id, $ip_address,
$user_agent をそのまま渡している箇所）、PII漏洩リスクがあるためこれらをマスクまたはハッシュしてからログ出力するよう修正してください；具体的には
Login attempt ログを作る前に $login_id はメールのドメインを残すか部分マスク、$ip_address
はサブネット化またはハッシュ、$user_agent は要約/ハッシュ化して短縮し、フォーマットされた $log_message にハッシュ化済み値を入れて
GC_Utils_Ex::gfPrintLog(..., CUSTOMER_LOG_REALFILE, false)
に渡すように変更し、必要なら設定フラグでマスク/生データ切替を可能にしてください。

[bbkids]

すみません。
見落としや細かな経緯を把握できていないため、もし見当違いな点がありましたらご指摘いただけますと幸いです。

$objQuery = SC_Query_Ex::getSingletonInstance();
$objQuery->nextVal('dtb_xxx_xxx_id_seq');

についてですが、
EC-CUBE 2.2.5 のコードをざっと確認したところ、nextVal() の多くは主に

if ($db_type === 'pgsql') { ... }

のブロック内で使用されており、MySQL 環境では ID 採番に AUTO_INCREMENT が利用されているように見受けられます。

MySQL 環境でシーケンステーブルを作成し、
「Issue #1301: ログインエラー表示改善 + ブルートフォース攻撃対策 + AJAX統一対応 #1302」
の動作する事は確認しましたが、
シーケンステーブルを作らず AUTO_INCREMENT を利用した方が、EC-CUBE 2.2.5 既存仕様との親和性や堅牢性が高いのではないかと勝手感じています。
（「Issue #368: パスワード再発行機能の改善 - トークンベース認証へ移行 #1299」も同様。）
nobuhiko 様その他詳しい方がいらっしゃいましたら、ご意見をいただけますと幸いです。

[nanasess]

@bbkids 勘違いでしたらすみません。
2.2.5 は大変古いバージョンで、 MySQL は AUTO_INCREMENT を使用していました。
現在の最新バージョンは 2.25 で、 if ($db_type === 'pgsql') { ... } の条件分岐はほとんど排除しましたし、 シーケンステーブルを使用するように統一しています

[bbkids]

@nanasess

@bbkids 勘違いでしたらすみません。 2.2.5 は大変古いバージョンで、 MySQL は AUTO_INCREMENT を使用していました。 現在の最新バージョンは 2.25 で、 if ($db_type === 'pgsql') { ... } の条件分岐はほとんど排除しましたし、 シーケンステーブルを使用するように統一しています

経緯ご説明、誠に有難う御座います。了解いたしました。
申し訳ございません。