Q&A
その記事を書いた人に聞いてください。
下記リンクで、ユーザのメール登録完了後の画面で「24時間以内に下記のURLからご登録下さい。」とURLを記載していますが、登録されたメールに会員登録用URLを通知するのになぜこのページで同じURLを表示するのですか?
新規会員登録機能を作成する(2/3)[メール認証][仮登録]
今確認したところ、サイトにはコメント欄等の連絡手段がありませんでした。
意図や設計は作った人しか分からないということが伝わればと。
赤の他人の解釈は解釈であって事実とは異なります。
承知しました。コメントありがとうございました。
一般論ですが、個人ブログの類いでコメント欄の無いものは、誰のチェックも受けてないので、眉につばを付けて読みましょう。
(企業サイトの記事ならチェックを受けてるかというと怪しい物もありますが)
まだ初学者なためどのサイトもそれらしく見えてしまいますが、気をつけます。ありがとうございます。
回答4件
0
設計者の頭脳の問題です。
投稿2021/12/01 23:22
総合スコア599
0
ベストアンサー
ざっと見ましたが、セキュリティ的な問題もあるので別の資料を参考にされることをオススメします。
*深刻な問題というよりは、「暗号学的に安全な方法をとっていない」とか「CSRF トークンの検証が微妙によろしくない」とか、多分、資料が古いせいです。
質問の回答としては、「実際のメールを飛ばさなくても、生成された URL のテストができるようにするため」と推測できますが、現実的にはナシな実装です。
投稿2021/12/01 22:41
退会済みユーザー
総合スコア0
会員登録機能の実装がしたいのですが、自分が調べた限りだとメール認証を使った方法が一番簡単と出てきたため、質問文の記事を参考にしました。別の資料とのことですが、他に会員登録機能について推奨できる資料はございますか?
普通に考えると、何らかのフレームワーク/ライブラリを使用するのが適切です。
回答ありがとうございます。調べてみます。
すいません、この質問ページを見返してふと思ったんですが、「CSRF トークンの検証が微妙によろしくない」とありますが、素人目にはトークンの生成・SESSION変数に格納→フォーム内のhiddenに格納→フォームの送信先でPOSTのトークンとSESSIONのトークンを突合、と基礎通りの設計に思えました。CSRFトークンの検証がどう問題があったかご教授願えませんか?自分も同じようなコーディングをしてしまいそうです
たとえば、registration_mail_check.php ですが
if ($_POST['token'] != $_SESSION['token']){
echo "不正アクセスの可能性あり";
exit();
}
と判定しています。
<?php
var_export($a == $b);
は PHP Warning を出しながらも true なので、$_POST['token'] と $_SESSION['token'] が空なら不正判定されません。
CSRF 対策は外部からの意図しない操作を制限することが必要なので、双方が空の時に不正判定されないのは本質としては問題です。ただし、実害があるかと言われると本件においては微妙な攻撃にしかならないはずなので、「微妙によろしくない」と表現しています。
*多分この説明では理解できないでしょうから、セキュリティは基礎から体系的に学んだ方が良いです。
CSRF 対策はメジャーなフレームワークの実装を使用するのが適切です。
ありがとうございます!
0
登録されたメールに会員登録用URLを通知するのになぜこのページで同じURLを表示するのですか?
記事の図を見ての想像ですが、1 から 3 までのステップでユーザーが有効なメールアドレスを持っていることを確認した後で登録画面を表示して、そこで id と password を入力してもらってユーザー登録を行うためでしょう。
投稿2021/12/01 21:38
退会済みユーザー
総合スコア0
あなたの回答
tips
プレビュー
