質問 > 管理機能 > 非会員の方がパスワードの再発行を行った場合の表示 |
管理機能
フラット表示 | 前のトピック | 次のトピック |
投稿者 | スレッド |
---|---|
468 |
投稿日時: 2020/12/21 11:26
対応状況: −−−
|
神 登録日: 2008/10/26 居住地: 投稿: 3217 |
Re: 非会員の方がパスワードの再発行を行った場合の表示 /src/Eccube/Controller/ForgotController.php function index()に
会員情報を判定してメールを送信する処理が記述されており、 会員が見つからなかったパターンの分岐も記述されております。 この辺りをカスタマイズする事でご要望の動きは実現できるかと思います。 が、念の為の補足なのですが 入力されたメールアドレスが会員登録済みかどうか判断できないようにしているのは、セキュリティ向上の為にわざとそのようになっていると考えております。 わざとそのようにしていると考える理由ですが いつの頃からかパスワード再発行機能に他人のメールアドレスを入力し、そのサイトに会員登録されているかチェックするという攻撃が行われるようになりました。 例えばご希望の「お客様の会員情報はみつかりませんでした」のメッセージが表示されなかった場合、 標的としたメールアドレスの会員がそのサイトには登録されていると分かりますので、 今度は会員ログインフォームでそのメールアドレスを使ってパスワードを総当たりに試して不正にログインを試みる流れに繋がりかねません。 お客様にとっては不便かもしれませんが、 他人に不正ログインを誘発させてしまうような仕様は予め排除しているものと思います。 また会員有無のチェックが出来るような状態のサイトは 攻撃者にセキュリティ意識が低いサイトと認識されて、余計な別の攻撃を招いてしまうかもしれません。考えすぎかもしれませんが... 上記の理由からパスワードの再設定機能に会員の有無によって表示が変わるような機能は付けない方が良いと思います。
|
フラット表示 | 前のトピック | 次のトピック |
題名 | 投稿者 | 日時 |
---|---|---|
非会員の方がパスワードの再発行を行った場合の表示 | D-18 | 2020/12/21 9:41 |
» Re: 非会員の方がパスワードの再発行を行った場合の表示 | 468 | 2020/12/21 11:26 |
Re: 非会員の方がパスワードの再発行を行った場合の表示 | D-18 | 2020/12/21 13:01 |