Changeset 12039

Timestamp:

Jun 26, 2009, 10:05:14 PM (14 years ago)

Author:

nagasawa

Message:

#4033:秘密の質問を省略した場合の悪意のある操作を防止するための機能の追加(2.14.x)

Location:

OpenPNE/branches/stable-2.14.x

Files:

• config.php.sample (modified) (1 diff)
• webapp/lib/util/ktai.php (modified) (2 diffs)
• webapp/lib/util/mail_send.php (modified) (2 diffs)
• webapp/modules/ktai/do/o_password_query.php (modified) (1 diff)
• webapp/modules/ktai/do/o_update_password.php (copied) (copied from OpenPNE/trunk/webapp/modules/ktai/do/o_update_password.php)
• webapp/modules/ktai/page/o_update_password.php (copied) (copied from OpenPNE/trunk/webapp/modules/ktai/page/o_update_password.php)
• webapp/modules/ktai/templates/o_password_query.tpl (modified) (2 diffs)
• webapp/modules/ktai/templates/o_update_password.tpl (copied) (copied from OpenPNE/trunk/webapp/modules/ktai/templates/o_update_password.tpl)
• webapp/modules/ktai/validate/do/o_update_password.ini (copied) (copied from OpenPNE/trunk/webapp/modules/ktai/validate/do/o_update_password.ini)
• webapp/modules/ktai/validate/page/o_update_password.ini (copied) (copied from OpenPNE/trunk/webapp/modules/ktai/validate/page/o_update_password.ini)
• webapp/modules/pc/do/o_password_query.php (modified) (1 diff)
• webapp/modules/pc/do/o_update_password.php (copied) (copied from OpenPNE/trunk/webapp/modules/pc/do/o_update_password.php)
• webapp/modules/pc/page/o_password_query.php (modified) (1 diff)
• webapp/modules/pc/page/o_tologin.php (modified) (1 diff)
• webapp/modules/pc/page/o_update_password.php (copied) (copied from OpenPNE/trunk/webapp/modules/pc/page/o_update_password.php)
• webapp/modules/pc/templates/o_help_login_error.tpl (modified) (1 diff)
• webapp/modules/pc/templates/o_password_query.tpl (modified) (2 diffs)
• webapp/modules/pc/templates/o_update_password.tpl (copied) (copied from OpenPNE/trunk/webapp/modules/pc/templates/o_update_password.tpl)
• webapp/modules/pc/validate/do/o_update_password.ini (copied) (copied from OpenPNE/trunk/webapp/modules/pc/validate/do/o_update_password.ini)
• webapp/modules/pc/validate/page/o_update_password.ini (copied) (copied from OpenPNE/trunk/webapp/modules/pc/validate/page/o_update_password.ini)
• webapp/templates/mail/m_ktai_password_query.tpl (modified) (2 diffs)
• webapp/templates/mail/m_pc_password_query.tpl (modified) (1 diff)

OpenPNE/branches/stable-2.14.x/config.php.sample

@@ -605 +605 @@
 // 運用中に設定を｢0｣から｢1｣に変更した場合、秘密の質問を未登録のユーザーが
 // パスワードを忘れた場合にパスワードの再発行が出来なくなりますのでご注意下さい
-// また｢0｣に設定した場合、総当たりする事によりメールアドレスを知られてしまう恐れがあります
-// ｢0｣に設定する場合は｢OPENPNE_USE_CAPTCHA｣を｢true｣に設定する事を推奨します
 define('IS_PASSWORD_QUERY_ANSWER', 2);
 

OpenPNE/branches/stable-2.14.x/webapp/lib/util/ktai.php

@@ -40 +40 @@
         24  => "秘密の質問・答えを変更しました",
         25  => "ﾊﾟｽﾜｰﾄﾞ再発行できませんでした",
-        26  => "新しいﾊﾟｽﾜｰﾄﾞをﾒｰﾙで送信しました",
+        26  => "ﾊﾟｽﾜｰﾄﾞ再設定用URLをﾒｰﾙで送信しました",
         27  => "携帯個体識別番号を取得できませんでした",
         28  => "かんたんﾛｸﾞｲﾝ設定を完了しました",
@@ -68 +68 @@
         53  => "公開範囲とﾄﾋﾟｯｸ作成権限が指定できない組み合わせです",
         54  => "公開範囲とｺﾒﾝﾄ作成権限が指定できない組み合わせです",
+        55 =>  "ﾊﾟｽﾜｰﾄﾞ再設定の有効期限が過ぎています"
     );
 

OpenPNE/branches/stable-2.14.x/webapp/lib/util/mail_send.php

@@ -197 +197 @@
 }
 
-//パスワード再発行メール
-function do_password_query_mail_send($c_member_id, $pc_address, $new_password)
-{
-    $params = array(
-        "c_member"   => db_member_c_member4c_member_id($c_member_id),
-        "pc_address" => $pc_address,
-        "password"   => $new_password,
+//パスワード再発行用のハッシュメール
+function do_password_query_mail_send($c_member_id, $pc_address, $session)
+{
+    $p = array('id' => t_encrypt($c_member_id), 'session' => $session);
+    $update_password_url = openpne_gen_url('pc', 'page_o_update_password', $p);
+    $params = array(
+        'c_member'   => db_member_c_member4c_member_id($c_member_id),
+        'pc_address' => $pc_address,
+        'update_password_url' => $update_password_url,
     );
     if (OPENPNE_AUTH_MODE == 'pneid' || OPENPNE_AUTH_MODE == 'slavepne') {
@@ -212 +214 @@
 
 //パスワード再発行メール(携帯)
-function db_mail_send_m_ktai_password_query($c_member_id, $new_password)
+function db_mail_send_m_ktai_password_query($c_member_id, $session)
 {
     $c_member = db_member_c_member4c_member_id($c_member_id, true);
     $ktai_address = $c_member['secure']['ktai_address'];
 
+    $p = array('id' => t_encrypt($c_member_id), 'session' => $session);
+    $update_password_url = openpne_gen_url('ktai', 'page_o_update_password', $p);
     $p = array('kad' => t_encrypt(db_member_username4c_member_id($c_member_id, true)));
     $login_url = openpne_gen_url('ktai', 'page_o_login', $p);
     $params = array(
         'c_member'  => $c_member,
-        'password'  => $new_password,
+        'session'  => $new_password,
+        'id'   => $id,
         'login_url' => $login_url,
+        'update_password_url' => $update_password_url,
     );
     if (OPENPNE_AUTH_MODE == 'pneid' || OPENPNE_AUTH_MODE == 'slavepne') {

OpenPNE/branches/stable-2.14.x/webapp/modules/ktai/do/o_password_query.php

@@ -41 +41 @@
         if (IS_PASSWORD_QUERY_ANSWER) {
             $c_member_id = db_member_is_password_query_complete2($ktai_address, $q_id, $q_answer);
+            if (!$c_member_id) {
+                $p = array('msg' => 25);
+                openpne_redirect('ktai', 'page_o_password_query', $p);
+            }
         } else {
             $c_member_id = db_member_c_member_id4ktai_address($ktai_address);
-        }
-        if (!$c_member_id) {
-            $p = array('msg' => 25);
-            openpne_redirect('ktai', 'page_o_password_query', $p);
+            if (!$c_member_id) {
+                $p = array('msg' => 26);
+                openpne_redirect('ktai', 'page_o_login', $p);
+            }
         }
         //---
 
         // パスワード再発行
-        $new_password = do_common_create_password();
-        db_member_update_password($c_member_id, $new_password);
+        $session = create_hash();
+        db_member_update_c_member_config($c_member_id, 'update_password_ssid', $session);
+        db_member_update_c_member_config($c_member_id, 'password_ssid_query_time', time());
 
-        db_mail_send_m_ktai_password_query($c_member_id, $new_password);
+        db_mail_send_m_ktai_password_query($c_member_id, $session);
 
         $p = array('msg' => 26);

OpenPNE/branches/stable-2.14.x/webapp/modules/ktai/templates/o_password_query.tpl

@@ -2 +2 @@
 
 <table width="100%"><tr><td align="center" bgcolor="#({$ktai_color_config.bg_02})">
-<font color="#({$ktai_color_config.font_05})"><a name="top">ﾊﾟｽﾜｰﾄﾞ再発行</a></font><br>
+<font color="#({$ktai_color_config.font_05})"><a name="top">ﾊﾟｽﾜｰﾄﾞ再設定用URLの送信</a></font><br>
 </td></tr></table>
 
@@ -26 +26 @@
 ({/if})
 <center>
-<input type="submit" value="ﾊﾟｽﾜｰﾄﾞを再発行する"><br>
+<input type="submit" value="送信"><br>
 </center>
 </form>

OpenPNE/branches/stable-2.14.x/webapp/modules/pc/do/o_password_query.php

@@ -52 +52 @@
             $c_member_id = db_member_is_password_query_complete($pc_address, $q_id, $q_answer);
             $msg = '正しい値を入力してください';
+            if (!$c_member_id) {
+                $p = array('msg' => $msg);
+                openpne_redirect('pc', 'page_o_password_query', $p);
+            }
         } else {
             $c_member_id = db_member_c_member_id4pc_address($pc_address);
-            $msg = '登録したメールアドレスを入力してください';
-        }
-
-        if (!$c_member_id) {
-            $p = array('msg' => $msg);
-            openpne_redirect('pc', 'page_o_password_query', $p);
+            if (!$c_member_id) {
+                $p = array('msg_code' => 'password_query');
+                openpne_redirect('pc', 'page_o_tologin', $p);
+            }
         }
         //---
 
-        // パスワード再発行
-        $new_password = do_common_create_password();
-        db_member_update_password($c_member_id, $new_password);
-        do_password_query_mail_send($c_member_id, $pc_address, $new_password);
+        // パスワード再発行用のハッシュをDBに登録し再設定用のメールを送信
+        $session = create_hash();
+        db_member_update_c_member_config($c_member_id, 'update_password_ssid', $session);
+        db_member_update_c_member_config($c_member_id, 'password_ssid_query_time', time());
+        do_password_query_mail_send($c_member_id, $pc_address, $session);
 
-        $p = array('msg_code' => 'password_query');
-        openpne_redirect('pc', 'page_o_tologin', $p);
+        $p = array('is_send' => true);
+        openpne_redirect('pc', 'page_o_password_query', $p);
     }
 }

OpenPNE/branches/stable-2.14.x/webapp/modules/pc/page/o_password_query.php

@@ -21 +21 @@
 
         $this->set('c_password_query_list', p_common_c_password_query4null());
+        $this->set('is_send', $requests['is_send']);
 
         return 'success';

OpenPNE/branches/stable-2.14.x/webapp/modules/pc/page/o_tologin.php

@@ -38 +38 @@
             $msg = 'ログアウトしました。';
             break;
-        case 'password_query':
-            $msg = '新しいパスワードをメールで送信しました。';
+        case 'update_password_timeout':
+            $msg = 'パスワード再設定の有効期限が過ぎています。';
             break;
         case 'change_mailaddress':

OpenPNE/branches/stable-2.14.x/webapp/modules/pc/templates/o_help_login_error.tpl

@@ -6 +6 @@
 <div class="partsHeading"><h3>パスワードを忘れた方</h3></div>
 <div class="block">
-<p>以下のボタンをクリックし、パスワードの再発行ページをおこなってください。</p>
+<p>以下のボタンをクリックし、パスワードの再設定手続きをおこなってください。</p>
 
 ({t_form_block _method=get m=pc a=page_o_password_query})
 <ul class="moreInfo button">
-<li><input type="submit" class="input_submit" value="パスワード再発行ページへ" /></li>
+<li><input type="submit" class="input_submit" value="パスワード再設定ページへ" /></li>
 </ul>
 ({/t_form_block})

OpenPNE/branches/stable-2.14.x/webapp/modules/pc/templates/o_password_query.tpl

@@ -6 +6 @@
 <div class="partsHeading"><h3>パスワード再発行</h3></div>
 
+({if $is_send})
+<div class="dparts alertBox"><div class="parts">
+<table><tr>
+<th><img src="({t_img_url_skin filename=icon_alert_l})" alt="警告" /></th>
+<td>
+パスワード再設定用URLをメールで送信しました。<br />
+<br />
+しばらくしてもメールが来ない場合、<br />
+メールアドレスの入力に誤りがある可能性が考えられますので<br />
+再度確認の上、フォームからやり直してください。
+</td>
+</tr></table>
+</div></div>
+({else})
 <div class="partsInfo">
 ({if $smarty.const.IS_PASSWORD_QUERY_ANSWER})
-<p>登録したメールアドレスと、秘密の質問・答えを入力してください。<br />登録したものと一致すると、パスワードが登録メールアドレス宛に送信されます。</p>
+<p>登録したメールアドレスと、秘密の質問・答えを入力してください。<br />パスワードを再設定するためのURLが登録メールアドレス宛に送信されます。</p>
 ({else})
-<p>登録したメールアドレスを入力してください。<br />登録したものと一致すると、パスワードが登録メールアドレス宛に送信されます。</p>
+<p>登録したメールアドレスを入力してください。<br />パスワードを再設定するためのURLが登録メールアドレス宛に送信されます。</p>
 ({/if})
 </div>
@@ -49 +63 @@
 </div></div>
 ({* }}} *})
+({/if})
 
 </div><!-- Center -->

OpenPNE/branches/stable-2.14.x/webapp/templates/mail/m_ktai_password_query.tpl

@@ -1 @@
-[({$SNS_NAME})]パスワード再発行のお知らせ
+[({$SNS_NAME})]パスワード再設定用URL発行のお知らせ
 ({$c_member.nickname})さん、こんにちは。
 ({$CATCH_COPY})({$SNS_NAME})からのお知らせです。
 
-パスワードを再発行いたしました。
+パスワード再設定の要求を受け付けました。
 
 ({if $login_id})ログインID : ({$login_id})
@@ -9 +9 @@
 パスワード : ({$password})
 
+下記の URL にアクセスし、パスワードの再設定をおこなってください。
+
+({$update_password_url})
+
 ({$SNS_NAME})ログインページ
 ({$login_url})

OpenPNE/branches/stable-2.14.x/webapp/templates/mail/m_pc_password_query.tpl

@@ -1 @@
-【({$SNS_NAME})】パスワード再発行のお知らせ
+【({$SNS_NAME})】パスワード再設定用URL発行のお知らせ
 
 ({$c_member.nickname})さん、こんにちは。
 ({$CATCH_COPY})({$SNS_NAME}) からのお知らせです。
 
-パスワードを再発行いたしました。
+パスワード再設定の要求を受け付けました。
 
 ({if $login_id})ログインID : ({$login_id})
 ({/if})
 メールアドレス : ({$pc_address})
-パスワード : ({$password})
 
-なお、パスワードの変更は、「設定変更」画面からおこなってください。
+下記の URL にアクセスし、パスワードの再設定をおこなってください。
+
+({$update_password_url})
 
 ({$SNS_NAME})のログインページ