システム仕様　アカウント作成後に自動ログインさせてよいものか

アカウントを作成しログインを要求するシステムを開発しているのですが、
アカウント作成後の挙動について悩んでいます。

メールアドレス仮登録
送信されたメールアドレス記載のURLから登録ページを表示
登録ページでパスワードなど情報入力しアカウント登録

上記の後、ログインページを表示しようと思っているのですが、
そのままログイン後のページに進むべきではないかとチーム内で質問がありました。

アカウント作成後にログインページを表示するサービスが多いイメージなのですが、
登録後そのままログインさせてはいけない理由などはあるのでしょうか？
セキュリティ的なリスクなどあればお教えいただければと思います。

行動規範の内容に同意します

回答1件

ベストアンサー

状況によるとしか言えませんが、リスクが増加した例を以前ブログに書きましたので参考にしてください。

ビックカメラ.COMでメールアドレスを間違えて登録したらどこまで悪用されるか検討した

この記事に以下の項があります。

(3)会員登録と同時にログイン状態となる

投稿2022/06/10 10:02

ockeghem

総合スコア11705

otn

2022/06/10 14:32

> 送信されたメールアドレス記載のURLから登録ページを表示と、ちょっと日本語がおかしい物の、おそらくメールアドレス確認後の会員登録なので、（「送信されたメールに記載のURLから登録ページを表示」の書き間違いでしょう）仮登録時に名前などを入力させていない限り、該当しないのではないでしょうか？

ockeghem

2022/06/11 00:32

ありがとうございます。ぴったりあてはまるわけではありませんが、「そのままログイン状態となる」場合にリスクが生じるケースがある例として紹介したものです。

mameno

2022/06/13 00:48

ockeghem様回答ありがとうございます。ブログの記事拝見させて頂きました。メールアドレスの誤入力とそこから派生した問題でしたので、メールの受信確認から始めている今回のシステムでは当てはまりませんが参考になりました。 > 状況によるとしか言えませんがそうですね。アカウント作成→自動ログインのほうがユーザビリティが高いのではないかと聞かれ、そのリスクも自動ログインさせない理由も思い当たらず質問させて頂きました。特にリスクがなければユーザビリティを優先しても良いのかと考えています。 otn様ご指摘通り「送信されたメールに記載のURLから登録ページを表示」の書き間違いです。ご指摘ありがとうございます。

行動規範の内容に同意します