Ticket #3776 (closed enhancement: fixed)

Opened 8 years ago

Last modified 8 years ago

パスワード再発行機能に画像認証を追加する

Reported by: shingo Assigned to: nagasawa
Priority: trivial Milestone: OpenPNE2.14beta3
Component: 指定しない Version:
Keywords: Cc:

Description (Last modified by kiwa)

■概要

#3679 で「秘密の質問を省略するモード」が実装された為、「IS_PASSWORD_QUERY_ANSWER = false」時に以下の問題が起こる可能性が生じた。

  • 悪意のある第三者がメンバーのメールアドレスを知っていれば、勝手にパスワードを変更できてしまう
  • 総当りすることによりSNSに参加しているメンバーのメールアドレスを知ることができてしまう

上記問題防止のため、PC版に画像認証機能を追加する。

■仕様

PCページにおいてキャプチャによる認証を追加する

■関連情報

  • 関連チケット: #3679
  • 関連チケット: #4033

Change History

04/15/09 14:31:04 changed by kiwa

  • milestone changed from OpenPNE2.14.0 to OpenPNE2.13.8.

次バージョンでいれたいですね。

04/23/09 13:23:05 changed by kiwa

  • milestone changed from OpenPNE2.13.8 to OpenPNE2.14beta1.

05/20/09 11:42:38 changed by imamura623

  • type changed from task to enhancement.

05/20/09 15:33:02 changed by imamura623

  • priority changed from minor to trivial.
  • milestone changed from OpenPNE2.14beta1 to OpenPNE2.14beta2.

06/03/09 10:44:29 changed by imamura623

  • milestone changed from OpenPNE2.14beta2 to 2.14RC1.

06/18/09 12:31:55 changed by kiwa

  • milestone changed from OpenPNE2.14RC1 to OpenPNE2.14beta3.

Milestone OpenPNE2.14RC1 deleted

06/22/09 12:16:01 changed by nagasawa

  • owner changed from nobody to nagasawa.
  • status changed from new to assigned.

やります

06/22/09 12:38:12 changed by nagasawa

  • description changed.

06/23/09 11:28:05 changed by nagasawa

  • description changed.

以下のリビジョンで追加しました。

06/23/09 11:28:13 changed by nagasawa

  • keywords set to 確認中.

06/23/09 16:30:47 changed by shingo

  • keywords changed from 確認中 to 差し戻し.

キャプチャの値が未入力でも送信できてしまいます。

06/23/09 17:57:37 changed by nagasawa

  • keywords changed from 差し戻し to 確認中.

以下のリビジョンで修正しました。

06/24/09 14:01:53 changed by shingo

  • keywords changed from 確認中 to 差し戻し.
  • 他の箇所にあわせて「$_SESSIONcaptcha_keystring?」の値で確認するようにしてください。
  • 「OPENPNE_USE_CAPTCHA = false」に設定されていると今回の改善は意味がなくなるので、秘密の質問使用設定箇所に「OPENPNE_USE_CAPTCHA」の設定に関する何らかの注意文が必要であると思います

06/24/09 14:07:47 changed by shingo

  • 上部のメッセージが「確認キーワード」に対応しておりません

06/24/09 15:09:18 changed by nagasawa

  • keywords changed from 差し戻し to 確認中.

以下のリビジョンで修正しました。

06/24/09 15:31:31 changed by shingo

  • keywords changed from 確認中 to 差し戻し.

「IS_PASSWORD_QUERY_ANSWER」の設定に関する注意文言が異常に多いことが気になりました。シンプルな文例を示しますので余裕があれば変更してください。

// また「0」に設定した場合、総当たりする事によりメールアドレスを知られてしまう恐れがあります
// 「0」に設定する場合は「OPENPNE_USE_CAPTCHA」を「true」に設定する事を推奨します

06/24/09 15:56:10 changed by nagasawa

  • keywords changed from 差し戻し to 確認中.

以下のリビジョンで修正しました。

06/24/09 16:54:56 changed by shingo

  • keywords changed from 確認中 to テスト待ち.

確認しました

06/25/09 22:44:11 changed by urabe

  • keywords changed from テスト待ち to 差し戻し.

途中経過ですが r12032 (ブランチ) でコミットしました。

06/26/09 11:19:30 changed by kiwa

大幅に仕様を変更するようでしたら、現状の対応を取り消していただきたいです。

06/26/09 14:05:31 changed by urabe

  • keywords changed from 差し戻し to テスト待ち.

r12032 の機能盛り込みは #4033 で対応。このチケットの機能についてはテスト待ちに変更します。

06/26/09 14:05:51 changed by urabe

  • description changed.

06/26/09 14:45:03 changed by kiwa

  • description changed.
  • summary changed from 秘密の質問を省略するモード時に、悪意のある操作を防止するための機能を追加する to パスワード再発行機能に画像認証を追加する.

06/29/09 14:53:45 changed by kudo

  • keywords changed from テスト待ち to 差し戻し.

画像認証を使用するに設定しておいてパスワードの再発行をしようとすると,正しく確認キーワードを打ち込んでいるのにもかかわらず「確認キーワードが誤っています」とエラーがでてパスワードの再発行が行えません.

■発生ブラウザ

確認お願いします.

06/29/09 16:33:05 changed by nagasawa

  • keywords changed from 差し戻し to 確認中.

以下のリビジョンで修正しました。 * trunk - r12050 * 2.14.x - r12051

06/29/09 16:52:07 changed by shingo

  • keywords changed from 確認中 to テスト待ち.

確認しました

06/29/09 17:54:23 changed by kudo

  • keywords deleted.
  • status changed from assigned to closed.
  • resolution set to fixed.

動作を確認しましたところ問題ありませんでした。動作を確認した項目は次の通りです。

■設定

  • IS_PASSWORD_QUERY_ANSWERの設定値(trueかfalse)
  • 画像認証をするかどうか
  • PNEIDモードかどうか

■動作確認内容

  • パスワードが再発行できるかどうか
  • 再発行されたパスワードでログインできるかどうか
  • 再発行後に管理画面からパスワードの再発行が問題なくできるかどうか

以上の項目では問題なく動作したのでこのチケットは閉じます。