無料ブログ「rentafree.net」の管理人ブログ

「安全性について」のページを作りました

「安全性について」のページを作り、
トップページにリンクを設置しておきました。

うちのサービスは、
ランダムパスワードを利用してもらうために、
「パスワードは覚えなくていいもの。」
って考えで作ってますんで、
他所のサービスと言ってること違ったりしますんで、
安全性についての考えをまとめました。

3Dリマインダ機能を実装しました。

3Dリマインダ機能を実装しました。

この機能は、パスワード問い合わせ機能の不正利用を防止するための機能です。
ログイン状態で、メールアドレス変更ページから設定できます。

未設定状態でパスワード問い合わせ機能が利用された場合、
アカウントのメールアドレスにパスワード記載のメールを送信しますが、
この機能が設定されている場合は、
アカウントのメールアドレスにはメール発射用のURLを記載したメールを送信し、
URLに接続すると3Dリマインダで設定されたメールアドレスにパスワードを記載したメールを送信します。


メールというのは受信者が読める文章を利用するので、
メールサーバー管理者は盗み見ることができますし、
組織内ネットワークから平文で受信する場合などはネットワーク管理者等に傍受される危険があります。

しかし、この機能を利用すれば、
アカウントのメールと3Dリマインダのメールの両方のメールアドレスが受信できないとパスワード問い合わせ機能が完結しません。

アカウントのメールを傍受できる場合は問い合わせ機能自体は利用できますが、パスワード記載のメールは別です。
3Dリマインダのメールを傍受できる場合はパスワード記載のメールを読めますが、問い合わせ機能自体が利用できません。


機能を利用する場合は、
同一メールサーバーのメールアドレスを利用してもあまり意味がありませんので、
アカウントのメールアドレスにはフリーメール等を設定し、
3Dリマインダには携帯メール等を設定することを想定しています。

メール確認処理を修正しました

パスワードリマインダのセキュリティ強化を検討していますが、
メールアドレスを2つ利用することにより、
片方のメールが傍受される場合でも、
両方のメールを読むことができなければリマインダが使えなくなるようにする機能をつけるわけですが、

一度アカウントのメールアドレスにURLつきメールを送信し、
接続すると2番目のメールアドレスにパスワードを送信する感じで考えているんで、
1番目のメールは他のメール確認処理と共通化したいんですが、
パスワードリマインダは非ログイン状態で利用するものですので、
非ログイン状態のメール確認を共通化するにはちょっと修正が必要だったので修正しました。


リマインダの強化は多分やります。
設定しなければ今までどおりアカウントメールアドレスだけでリマインダできるようになるはずです。

パスワードリマインダの強化

パスワードリマインダ(パスワード問い合わせ機能)ですが、
今でも秘密の質問を設定してロックできますが、
パスワードリマインダ用のメールアドレスを設定して、
アカウントのメールアドレスとリマインダ用のメールアドレスの双方が利用可能でないとリマインダが使えない感じにすれば、
秘密の質問より簡単かつ安全にできるかな・・・
ってことを思いついた。

そんな感じの機能実装するかもです。