アカウント登録URLの認証方法を変更しました
以前は、
アカウント作成申請時のメール記載URLは、
アカウント申請時に利用した端末のIPアドレスで認証していましたが、
先日より、グローバルIPアドレスを持たない端末に対応させるために、クッキーによる認証も可能にしていました。
その点に問題等があったので修正しました。
まず、
クッキーに保存する値とメール記載のパラメータが同一でした。
これでは、クッキーの値からURLを生成できるので、
メールアドレスの所有権を持たない場合でも登録することも可能になっていました。
URLのパラメータと認証用のキーを別の値にしました。
次に、
IPアドレスでの認証の場合、WEBメールなら問題ないと思いますが、
インストールタイプのメーラーで、
メーラーにリンク先ページの事前確認機能のようなものが搭載されている場合に、
ブラウザではなくメーラーが自動的にアドレスを踏んでしまい、
それにより認証されてしまう可能性があるので、
IPアドレスでの認証を廃止してクッキー認証のみにしました。
もしもクッキーが無効なブラウザで申請した場合、
再申請することにより、再申請時のブラウザにもクッキーが設定されます。
あと、
確認メールが有効な状態で、
同一のメールアドレスで再申請した場合は再送しない仕組みにしているつもりでしたが、
プログラムに問題があり再送してしまうようになっていました。
上記3点を修正しました。
アカウント作成申請時のメール記載URLは、
アカウント申請時に利用した端末のIPアドレスで認証していましたが、
先日より、グローバルIPアドレスを持たない端末に対応させるために、クッキーによる認証も可能にしていました。
その点に問題等があったので修正しました。
まず、
クッキーに保存する値とメール記載のパラメータが同一でした。
これでは、クッキーの値からURLを生成できるので、
メールアドレスの所有権を持たない場合でも登録することも可能になっていました。
URLのパラメータと認証用のキーを別の値にしました。
次に、
IPアドレスでの認証の場合、WEBメールなら問題ないと思いますが、
インストールタイプのメーラーで、
メーラーにリンク先ページの事前確認機能のようなものが搭載されている場合に、
ブラウザではなくメーラーが自動的にアドレスを踏んでしまい、
それにより認証されてしまう可能性があるので、
IPアドレスでの認証を廃止してクッキー認証のみにしました。
もしもクッキーが無効なブラウザで申請した場合、
再申請することにより、再申請時のブラウザにもクッキーが設定されます。
あと、
確認メールが有効な状態で、
同一のメールアドレスで再申請した場合は再送しない仕組みにしているつもりでしたが、
プログラムに問題があり再送してしまうようになっていました。
上記3点を修正しました。