仮会員メール認証後に、再ログインを要求する提案

[ryo-endo]

セキュリティ向上の提案です。EC-CUBE運営チームからIssue起案で問題ない旨をご連絡いただきました。

概要(Overview)

• いまの仕様では、仮会員のメール認証のURLをクリック=会員ログイン状態になります。
• メールアドレスを誤って入力した場合に、メールアドレスを持つ第三者によってログインされ、マイページから個人情報を閲覧される可能性があります。
• またパスワードを変更してアカウントを乗っ取ることも可能です。(あまりメリット無い気がしますが)

期待する内容(Expect) or 要望 (Requirement)

• 仮会員のメール認証後後に、再度ログインを要求する。
• ログインに認証しない限りはメール認証成功とはしない。(パスワードリセットで回避できてしまうため)

デメリット

会員登録のステップが増えるのでかご落ちする可能性が増えます。 セキュリティのオプション機能としてON/OFFできるのが良いのかもしれません。

再現手順(Procedure)

1. 会員登録を行う。
2. (他人に送られたと想定して) 別のブラウザで送られてきた仮会員メールのURLをクリックする。
3. URL遷移後にログイン状態になっており、再ログイン必要なくマイページなどが閲覧できることを確認。

環境 (environment)

• EC-CUBE: 4.2-beta2

関連情報 (Ref)

なし