ここの情報は古いです。ご理解頂いた上でお取り扱いください。

Opened 9 years ago

Closed 9 years ago

#3776 closed enhancement (fixed)

パスワード再発行機能に画像認証を追加する

Reported by: shingo Owned by: nagasawa
Priority: trivial Milestone: OpenPNE2.14beta3
Component: 指定しない Version:
Keywords: Cc:

Description (last modified by kiwa)

■概要

#3679 で「秘密の質問を省略するモード」が実装された為、「IS_PASSWORD_QUERY_ANSWER = false」時に以下の問題が起こる可能性が生じた。

  • 悪意のある第三者がメンバーのメールアドレスを知っていれば、勝手にパスワードを変更できてしまう
  • 総当りすることによりSNSに参加しているメンバーのメールアドレスを知ることができてしまう

上記問題防止のため、PC版に画像認証機能を追加する。

■仕様

PCページにおいてキャプチャによる認証を追加する

■関連情報

  • 関連チケット: #3679
  • 関連チケット: #4033

Change History (27)

comment:1 Changed 9 years ago by kiwa

Milestone: OpenPNE2.14.0OpenPNE2.13.8

次バージョンでいれたいですね。

comment:2 Changed 9 years ago by kiwa

Milestone: OpenPNE2.13.8OpenPNE2.14beta1

comment:3 Changed 9 years ago by imamura623

Type: taskenhancement

comment:4 Changed 9 years ago by imamura623

Milestone: OpenPNE2.14beta1OpenPNE2.14beta2
Priority: minortrivial

comment:5 Changed 9 years ago by imamura623

Milestone: OpenPNE2.14beta22.14RC1

comment:6 Changed 9 years ago by kiwa

Milestone: OpenPNE2.14RC1OpenPNE2.14beta3

Milestone OpenPNE2.14RC1 deleted

comment:7 Changed 9 years ago by nagasawa

Owner: changed from nobody to nagasawa
Status: newassigned

やります

comment:8 Changed 9 years ago by nagasawa

Description: modified (diff)

comment:9 Changed 9 years ago by nagasawa

Description: modified (diff)

以下のリビジョンで追加しました。

comment:10 Changed 9 years ago by nagasawa

Keywords: 確認中 added

comment:11 Changed 9 years ago by shingo

Keywords: 差し戻し added; 確認中 removed

キャプチャの値が未入力でも送信できてしまいます。

comment:12 Changed 9 years ago by nagasawa

Keywords: 確認中 added; 差し戻し removed

以下のリビジョンで修正しました。

comment:13 Changed 9 years ago by shingo

Keywords: 差し戻し added; 確認中 removed
  • 他の箇所にあわせて「$_SESSIONcaptcha_keystring?」の値で確認するようにしてください。
  • 「OPENPNE_USE_CAPTCHA = false」に設定されていると今回の改善は意味がなくなるので、秘密の質問使用設定箇所に「OPENPNE_USE_CAPTCHA」の設定に関する何らかの注意文が必要であると思います

comment:14 Changed 9 years ago by shingo

  • 上部のメッセージが「確認キーワード」に対応しておりません

comment:15 Changed 9 years ago by nagasawa

Keywords: 確認中 added; 差し戻し removed

以下のリビジョンで修正しました。

comment:16 Changed 9 years ago by shingo

Keywords: 差し戻し added; 確認中 removed

「IS_PASSWORD_QUERY_ANSWER」の設定に関する注意文言が異常に多いことが気になりました。シンプルな文例を示しますので余裕があれば変更してください。

// また「0」に設定した場合、総当たりする事によりメールアドレスを知られてしまう恐れがあります
// 「0」に設定する場合は「OPENPNE_USE_CAPTCHA」を「true」に設定する事を推奨します

comment:17 Changed 9 years ago by nagasawa

Keywords: 確認中 added; 差し戻し removed

以下のリビジョンで修正しました。

comment:18 Changed 9 years ago by shingo

Keywords: テスト待ち added; 確認中 removed

確認しました

comment:19 Changed 9 years ago by urabe

Keywords: 差し戻し added; テスト待ち removed

途中経過ですが r12032 (ブランチ) でコミットしました。

comment:20 Changed 9 years ago by kiwa

大幅に仕様を変更するようでしたら、現状の対応を取り消していただきたいです。

comment:21 Changed 9 years ago by urabe

Keywords: テスト待ち added; 差し戻し removed

r12032 の機能盛り込みは #4033 で対応。このチケットの機能についてはテスト待ちに変更します。

comment:22 Changed 9 years ago by urabe

Description: modified (diff)

comment:23 Changed 9 years ago by kiwa

Description: modified (diff)
Summary: 秘密の質問を省略するモード時に、悪意のある操作を防止するための機能を追加するパスワード再発行機能に画像認証を追加する

comment:24 Changed 9 years ago by kudo

Keywords: 差し戻し added; テスト待ち removed

画像認証を使用するに設定しておいてパスワードの再発行をしようとすると,正しく確認キーワードを打ち込んでいるのにもかかわらず「確認キーワードが誤っています」とエラーがでてパスワードの再発行が行えません.

■発生ブラウザ

  • FireFox2,3
  • IE8
  • Safari

確認お願いします.

comment:25 Changed 9 years ago by nagasawa

Keywords: 確認中 added; 差し戻し removed

以下のリビジョンで修正しました。

comment:26 Changed 9 years ago by shingo

Keywords: テスト待ち added; 確認中 removed

確認しました

comment:27 Changed 9 years ago by kudo

Keywords: テスト待ち removed
Resolution: fixed
Status: assignedclosed

動作を確認しましたところ問題ありませんでした。動作を確認した項目は次の通りです。

■設定

  • IS_PASSWORD_QUERY_ANSWERの設定値(trueかfalse)
  • 画像認証をするかどうか
  • PNEIDモードかどうか

■動作確認内容

  • パスワードが再発行できるかどうか
  • 再発行されたパスワードでログインできるかどうか
  • 再発行後に管理画面からパスワードの再発行が問題なくできるかどうか

以上の項目では問題なく動作したのでこのチケットは閉じます。

Note: See TracTickets for help on using tickets.