Q&A
セキュリティ面での理由だと思いますが、それは運用に関わる話です。
(つまりこのサイトで質問する話ではない、上司やクライアントと相談すべきことってこと)
会員登録を作るのですが、仮登録はあった方がいいのでしょうか。
1.メールアドレスのみ入力(仮登録)
2.トークン付きURLを送信
3.URLからトークンを取得し、有効であれば本登録を行う
1.登録フォームで情報を入力(仮登録)
2.トークン付きのURLを送信
3.URLからトークンを取得し、有効であれば本登録完了
上記のいずれかの仕様にしようと思いますが、そもそも、なぜ仮登録が必要なのかが分かりません。
セキュリティ上、いきなり本登録をするのではなく仮登録を挟んだ方がいいのでしょうか?
<追記>
なにかセキュリティ上の理由があるのかと思っていましたが、そうではないのですね。
どういう仕様にするかをご相談しているのではなく、仮登録の必要性についてお尋ねしているだけです。運用に関わる話であれば、どのように関わるのかを教えていただきたいのです。
解決したあとになんですが「セキュリティ」のタグはつけておいてください。文面だけ見るとPHPどこにも関連性がないので。あとから同じ問題を抱えた人が探すときにもセキュリティタグはあったほうが言語関係なくこの質問にたどり着きやすくなります。
特にWEBセキュリティ関連では有名な方も回答者にいらっしゃるので、私個人としてはその方の見解も聞きたかったりします。(言語的にはPHPでお見かけしますが)
タグを追加しておきました。
回答3件
0
セキュリティ上の理由としては、以下の記事が参考になると思います。
投稿2019/05/21 00:18
総合スコア11701
0
ベストアンサー
メールアドレス確認と思います。
仕事でも「メールを相手から送ってもらってそれに返信する」という形で打ち間違いを防ぐやり方をすることがありますが、それに近いです。
存在しないアドレスで本登録できたらそれはそれで不正し放題ですしね。
あと、悪意あるユーザーは手順の複雑化を嫌います。自動で何個も登録させるようなプログラム作ってアタックする場合、手順が増えればそのぶんプログラムも増えます。
ひと手間増やすことでフィルターかける意味合いもあるのでは。
投稿2019/05/20 22:51
編集2019/05/20 22:57総合スコア80852
なるほど。であれば、私が質問であげた一番目の方法がベターということですかね(色々な情報を入力させる前に、まずはメールアドレスだけ入力してもらい、その確認のみを行う)
※すみません、先にコメントくれた方と同様の内容でしたので、同じ内容で返信させていただきました
他の可能性も追記しています。
どこまでの意図を含めるかはシステムの要件次第です。
詳しくありがとうございました。
単純なことでしたが、すごく納得しました。
何かのヒントになったようで何よりです。
結局のところどうするかは決め次第にもなりますし、要件を詳細詰めていきながらサービスに合った運用フローを模索すると良いです。
> 一番目の方法がベターということですかね
いや、登録者の立場からすると、2番目がベターです。
登録者からすると、メールアドレスは情報の一つなので、まとめて入力したい。
確認メール受信後は、クリックするだけです。
PCで登録しようとして、スマホでメール受信するようなケースだと、1番目のパターンは登録する気力が失われます。
一番目はメールが届かないことが頻発したガラケーのインターネット機能+携帯キャリアメール全盛時には登録者にとってもそれなりにベターな選択肢だったとは思います。
現在だと、セキュリティとかクレーム対応が楽という管理者の都合の方が理由としては大きいと思います。
私も運用側の都合だと思います。
もちろん登録の仕組み以前に「そういう数多の手順を踏んででも利用したい」と思わせるサービスの提供が必須ですけど。
皆様ありがとうございます。
参考にさせていただき、要件を決めようと思います。
0
事後的にメールアドレスのタイポが発覚し、メールが届かずどうしようもなくなった場合のクレームを避けるためだと思います
投稿2019/05/20 22:29
編集2019/05/20 22:29
総合スコア12705
なるほど。であれば、私が質問であげた一番目の方法がベターということですかね(色々な情報を入力させる前に、まずはメールアドレスだけ入力してもらい、その確認のみを行う)
例えば悪意なくタイポで他人のメールアドレスを入力した場合も考えると、予期しない個人情報の漏洩が起きかねないので、仰るとおり1がベターだと思います
有難うございます。
あなたの回答
tips
プレビュー
