回答編集履歴
3
誤字
answer
CHANGED
|
@@ -22,7 +22,7 @@
|
|
|
22
22
|
|
|
23
23
|
・セキュリティ要件
|
|
24
24
|
メール配信攻撃以外のセキュリティ要件として、ドメイン認証を検討する必要があります。
|
|
25
|
-
SMTPサーバを経由し、SPF/DKIMへ対応した発信が出来ないと
|
|
25
|
+
SMTPサーバを経由し、SPF/DKIMへ対応した発信が出来ないと自動送信メールが届かないケースが大量に発生します。
|
|
26
26
|
|
|
27
27
|
・セキュリティバグ
|
|
28
28
|
セッション関連の指摘がありましたが、多分、セッションの開始のタイミングの指摘だと思います。
|
2
追記
answer
CHANGED
|
@@ -15,6 +15,18 @@
|
|
|
15
15
|
|
|
16
16
|
といった被害が発生する可能性があります。
|
|
17
17
|
|
|
18
|
-
|
|
18
|
+
メールフォームは、認証外ユーザにフル機能を提供しつつ、その投稿を制限するという、かなりハードルの高い要求を突きつけられます。上記を加味し、セキュリティ要件を再整理してみて下さい。
|
|
19
19
|
|
|
20
|
+
# おまけ
|
|
21
|
+
せっかく回答を作成したので追記します。
|
|
22
|
+
|
|
23
|
+
・セキュリティ要件
|
|
24
|
+
メール配信攻撃以外のセキュリティ要件として、ドメイン認証を検討する必要があります。
|
|
25
|
+
SMTPサーバを経由し、SPF/DKIMへ対応した発信が出来ないと返信メールが届かないケースが大量に発生します。
|
|
26
|
+
|
|
27
|
+
・セキュリティバグ
|
|
28
|
+
セッション関連の指摘がありましたが、多分、セッションの開始のタイミングの指摘だと思います。
|
|
29
|
+
以下を参考にすると良いです。
|
|
20
|
-
|
|
30
|
+
[セッションの安全な管理方法について](https://teratail.com/questions/66426)
|
|
31
|
+
認証外アプリのセッションの取り回しに関して、ockeghem さんが丁寧に説明してくれています。
|
|
32
|
+
ockeghem さんの回答の他に、ikedas さんの回答とそのコメント欄も合わせて見ると良いです。
|
1
修正
answer
CHANGED
|
@@ -15,6 +15,6 @@
|
|
|
15
15
|
|
|
16
16
|
といった被害が発生する可能性があります。
|
|
17
17
|
|
|
18
|
-
また、昨今のメール
|
|
18
|
+
また、昨今のメールはSMTPサーバを経由し、SPF/DKIMへ対応した発信をすることも重要です。
|
|
19
19
|
|
|
20
20
|
メールフォームは、認証外ユーザにフル機能を提供しつつ、その投稿を制限するという、かなりハードルの高い要求を突きつけられます。上記を加味し、セキュリティ要件を再整理してみて下さい。
|