投稿2025/04/28 07:23
編集2025/04/28 10:40会員登録画面からメールアドレスに認証コードを送りたい。
以前お問い合わせページを作成した際に CSRF対策として入力画面からワンタイムトークンを作成して、確認画面でそのトークンが一致するかどうかをチェックするという仕組みを作成したのですが、会員登録画面(入力画面)からメールアドレスに送るタイミングでワンタイムトークンを作成してチェックするということは可能でしょうか?
HTML
1<div class="login-email"> 2 <form method="post" class="register_form"> 3 <div class="form_item"> 4 5 <!-- <div class="login-inputWrapper"></div> --> 6 <!-- hiddenで生成したトークンを埋め込む --> 7 <!-- oninputプロパティは一定時間操作が無かったら処理を実行させる関数 --> 8 <input type="hidden" id="input-email" name="csrf_token" maxlength="15" oninput="value=value.replace(/[^\d]/g, '')" placeholder="メールアドレスを入力してください" value="<?= $csrf_token; ?>"> 9 10 <div id="error-msg-email" class="error-msg" style="display: none;"></div> 11 12 <div class="login-email_vertical-line"></div> 13 <div class="login-email-send clickable disabled"> 14 <font style="vertical-align: inherit;"> 15 <font style="vertical-align: inherit;">認証コードを取得する</font> 16 </font> 17 </div> 18 </div> 19 20 <div class="form_separator-line"></div> 21 <div class="form_item"> 22 <div> 23 <font style="vertical-align: inherit;"> 24 <font style="vertical-align: inherit;">ハンドルネーム</font> 25 </font> 26 </div><input placeholder="ハンドルネームを入力してください" maxlength="6" oninput="value=value.replace(/[^\d]/g, '')"> 27 </div> 28 29 <div class="form_separator-line"></div> 30 <div class="form_item"> 31 <div> 32 <font style="vertical-align: inherit;"> 33 <font style="vertical-align: inherit;">検証コード</font> 34 </font> 35 </div><input placeholder="確認コードを入力してください" maxlength="6" oninput="value=value.replace(/[^\d]/g, '')"> 36 </div> 37 <input type="hidden" name="csrf_token" value="<?php echo $csrf_token; ?>" /> 38 <!-- ↑追加 --> 39 <!-- </div> --> 40 </form> 41 </div>
PHP
1<?php 2$_SESSION = array(); //セッション変数の初期化 3session_start(); //セッションの開始 4 5// 変数の宣言 6// $error_message = ''; 7$mail = ''; 8 9// エラーが発生している時の処理 10/* if (!empty($_SESSION['error_message'])) { 11 $error_message = $_SESSION['error_message']; 12 unset($_SESSION['error_message']); 13} */ 14 15// ワンタイムトークン生成 16$toke_byte = openssl_random_pseudo_bytes(16); 17$csrf_token = bin2hex($toke_byte); 18 19// トークンをセッションに保存 20// トークンを保存、次の画面(PHP)に持ち越し 21$_SESSION['csrf_token'] = $csrf_token; 22 23// ワンタイムトークンの一致を確認 24// name属性「csrf_token」の中身が無い、または name属性「csrf_token」とセッション「csrf_token」が一致しない場合 25if (!isset($_POST['csrf_token']) || $_POST['csrf_token'] !== $_SESSION['csrf_token']) { 26 // トークンが一致しなかった場合 27 die('送信に失敗しました'); 28} 29 30// それぞれの変数に値を代入 31// PHPの値が空であれば 32if (!empty($_SESSION['mail'])) { 33 $mail = $_SESSION['mail']; 34 // セッション変数を削除 35 unset($_SESSION['mail']); 36} 37 38// ハンドルネームをメールで送信 39if (!empty($_SESSION['name'])) { 40 $name = $_SESSION['name']; 41 // セッション変数を削除 42 unset($_SESSION['name']); 43} 44 45// 確認コードをメールで送信(6桁) 46if (!empty($_SESSION['code'])) { 47 $_SESSION['code'] = rand(100000, 999999); 48 // セッション変数を削除 49 unset($_SESSION['code']); 50} 51?>
今後サーバーサイドでセキュリティ対策となるコードを書いていく際に確認画面を設けない場合にメールアドレスに直接送信する方法では攻撃を防ぎきれないのではないかと心配しております。
回答2件
0
BAついていますが、乗り掛ったので、自分ならどうするかをちょっと書いてみます。
ただし、コメントでの説明に矛盾がありますがパターンの方を信じておくことにします。
パターン1 入力→確認→メール送信
パターン2 入力→メール送信
入力画面(会員登録画面)から送られてきた画面からは直接見えないワンタイムトークンを検証するために入力画面の次に表示させる画面になります。
(ワンタイムトークンを検証するなら、メール送信の後でないとできませんよね)
前提として、話は新規ユーザ登録の場面とします。メールアドレスを入力させてそのメールアドレス確認のためそこにワンタイムトークンオを送るのは、新規登録の時だけだからです。
クライアント(ユーザのブラウザ)上のJavaScript(JS)側でできることはできるだけやる方針とします。
サーバ: ユーザ登録画面をユーザに送る。
ユーザ: 必要な情報を入力する。 (メールアドレスを含む) OKボタンなどを押す。
クライアント(JS):
サーバ:
ユーザ: メールに送られてきたトークンを画面に入力してOKを押す
クライアント:
サーバ:
こんな感じでしょうか。
このシーケンスではメールアドレスの確認にワンタイムトークンを使っていますが、トークンを使うのではなく、メールに確認用のリンクを記載しそこからサイトにアクセスしてもらうことで登録完了となる方式も多いですね。
ログイン時のワンタイムトークンのやりとりは目的が異なり、ログインしてきたのが本人であるかどうかの検証のためです。 2要素認証ということになります。
クライアント: ログイン画面を表示。
ユーザ: IDとパスワードを入力。
クライアント:
サーバ:
ユーザ: メールで送られてきたトークンを入力してOKを押す。
クライアント:
サーバ:
こんな感じでしょうか。
コメントを受けて追記
コメントで以下の質問がありました。 意味が取れない部分があります。
入力画面(会員登録画面)から送られてきた画面からは直接見えないワンタイムトークンをセッションで送信後、メールに送られてきたトークンを画面に入力してOKを押す、トークンを照合して、正しければ正常に本登録完了という流れになるのでしょうか?
まず、元の質問では「ワンタイムトークンをセッションで送信」とありますが、意味が通じません。 単に用語の使いかたが間違えているだけだとは思いますが、セッションというのはWebでの一連の通信そのもののことなので、メールを送ることはできません。なので、勝手に以下のように推測します。太字とのところが修正部分です。
入力画面(会員登録画面)から送られてきた、(読点挿入)画面からは直接見えないワンタイムトークンをサーバからメールで送信後、メールに送られてきたトークンを画面に入力してOKを押す、トークンを照合して、正しければ正常に本登録完了という流れになるのでしょうか?
この内容だとすると、1つ違います。
ワンタイムトークンが「入力画面から送られて」来るように読めますが、回答に書いたシーケンスではワンタイムトークンはクライアント側で作るのでなく、サーバ側で作っています。なので、「入力画面(会員登録画面)から送られてきた画面からは直接見えない」の部分は不要です。
どうしても、クアイアント側で作りたいのであれば質問のとおりの動作になりますが、心配しているセキュリティの観点からすると、ワンタイムトークンがクライアントからサーバにそのまま送られることになり、無駄なデータのやりとりはすべきでないということになります。
投稿2025/04/29 02:17
編集2025/04/29 04:44総合スコア14355
0
ベストアンサー
よく質問されているのであなたの力になりたいです。
まずログイン画面を作成していて、ユーザーにはメールアドレスを入力して欲しいのですよね。
それをサーバー側で検証するために確認画面を表示し、メールに送信するトークンを入力してもらいサーバーで検証する、ということであっていますか?
入力画面)からメールアドレスに送るタイミングでワンタイムトークンを作成してチェックするということは可能でしょうか?
可能です。どのタイミングでも可能ですよ。
質問内容がイエスノークエスチョンなので質問内容を工夫して見てはいかがでしょうか
会員登録画面から直接メールアドレスに認証コードを送る場合セキュリティ対策として確認画面を設けるべきでしょうか?
設けるべきでしょうか?ではなく、
設ける理由はなんでしょうか、
設けない方が良いでしょうか?
などと、理由を伺う形で質問してみましょう。
全体的に見てそもそも、通信プロトコルや攻撃に対する基礎的な知識が足りてない気もしますが、将来的に必要と感じるのであれば勉強してみても良いかもしれません。
CSRF攻撃は
一般のユーザーに対して、意図していないリクエスト情報を含むリンクを踏ませるなどをして、ログインユーザーの認証をすり抜け、意図したリクエストかのように偽装する行為です。
例えばteratailの投稿ボタンはHttpヘッダーを使いサーバーにこういう書き込みをしています!と送ります。
この時、あなたが私が送ったように偽装出来ないのはあなたが私のアカウントにログインできないからです。
ただ、私がログインしており、
あなたが作成したサイトで「サーバーにこういう書き込みをしています!」という情報をteratailに送るとしたら、CSRF対策をしていなければ、
ログインもしているし、書き込みをしようともしているということで正常に処理してしまうという攻撃です。
例えばHTMLのフォーム要素を他のサイトからコピペして、入力内容を書き換え、クライアントに送信ボタンを押させることでクッキー(セッション)やグローバルIPは正しい端末なんだけれども、ユーザーが意図した通信では無いのに実際に処理されてしまうという事態が発生するわけです。
メールアドレスにトークンを送るとか、
ユーザーが意図的にトークンをあなたの確認画面で入力するとかはこの攻撃に一切関係がないのです。
Teratailの質問時の推奨事項にもありますが、自分が何を分からないかを明確にしてみるのは難しいことでしょうか。
実際に、イエスノークエスチョンにはYESかNOで答えることをお望みですか?
あなたを手助けしたいと思っています。
投稿2025/04/28 11:53
編集2025/04/28 12:00総合スコア840
あなたの回答
tips
プレビュー
Q&A
