質問 > 管理機能 > 非会員の方がパスワードの再発行を行った場合の表示 |
管理機能
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
D-18 |
投稿日時: 2020/12/21 9:41
対応状況: 確認中
|
半人前 登録日: 2012/10/31 居住地: 投稿: 16 |
非会員の方がパスワードの再発行を行った場合の表示 ▼テンプレート
[EC-CUBE] EC-CUBE4.0.3 [レンタルサーバ] heteml [OS] 不明 [PHP] PHP7.1.32 [データベース] MySQL5.6.23-log [WEBサーバ] Apache 2.4 [ブラウザ] Google Chrome 87.0.4280.88 [導入プラグインの有無] ・Coupon Plugin for EC-CUBE4 ・メールマガジンプラグイン ・ペイパルチェックアウト決済プラグイン(4.0系) ・売上集計プラグイン ・メンテナンス [カスタマイズの有無] デザインカスタマイズのみ [現象] パスワードの再設定につていですが非会員のお客様がパスワード再設定を行った場合、メールも届かず自分が会員かどうかも不明だという事が分かりました。 そこで、非会員のお客様が「パスワードの再設定」にてメールを送信した場合 「お客様の会員情報はみつかりませんでした」 などのアナウンスメールが送られる、又は画面上で上記アナウンスが出るなどの対応を行いたいのですがどのようにすればよろしいでしょうか? |
468 |
投稿日時: 2020/12/21 11:26
対応状況: −−−
|
神 登録日: 2008/10/26 居住地: 投稿: 3217 |
Re: 非会員の方がパスワードの再発行を行った場合の表示 /src/Eccube/Controller/ForgotController.php function index()に
会員情報を判定してメールを送信する処理が記述されており、 会員が見つからなかったパターンの分岐も記述されております。 この辺りをカスタマイズする事でご要望の動きは実現できるかと思います。 が、念の為の補足なのですが 入力されたメールアドレスが会員登録済みかどうか判断できないようにしているのは、セキュリティ向上の為にわざとそのようになっていると考えております。 わざとそのようにしていると考える理由ですが いつの頃からかパスワード再発行機能に他人のメールアドレスを入力し、そのサイトに会員登録されているかチェックするという攻撃が行われるようになりました。 例えばご希望の「お客様の会員情報はみつかりませんでした」のメッセージが表示されなかった場合、 標的としたメールアドレスの会員がそのサイトには登録されていると分かりますので、 今度は会員ログインフォームでそのメールアドレスを使ってパスワードを総当たりに試して不正にログインを試みる流れに繋がりかねません。 お客様にとっては不便かもしれませんが、 他人に不正ログインを誘発させてしまうような仕様は予め排除しているものと思います。 また会員有無のチェックが出来るような状態のサイトは 攻撃者にセキュリティ意識が低いサイトと認識されて、余計な別の攻撃を招いてしまうかもしれません。考えすぎかもしれませんが... 上記の理由からパスワードの再設定機能に会員の有無によって表示が変わるような機能は付けない方が良いと思います。
|
D-18 |
投稿日時: 2020/12/21 13:01
対応状況: −−−
|
半人前 登録日: 2012/10/31 居住地: 投稿: 16 |
Re: 非会員の方がパスワードの再発行を行った場合の表示 ご丁寧にありがとうございます!
実装しているお客様と相談させて頂きます! |
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | トップ |