会員情報の更新時にはパスワードの再入力を求める提案

[ryo-endo]

セキュリティ向上の提案です。EC-CUBE運営チームからIssue起案で問題ない旨をご連絡いただきました。

概要(Overview)

• いまの仕様では、ログイン状態であれば再認証無しにマイページから「メールアドレス」や「パスワード」を変更できます。
• たとえば共用パソコンなどでセッションが残っていた場合に、容易にメールアドレスやパスワードを変更してアカウントの認証情報を変更することが可能です。

期待する内容(Expect) or 要望 (Requirement)

• 会員情報編集ページにアクセスする際に、パスワードの再入力を求める。

再現手順(Procedure)

1. ログイン後、マイページの会員情報編集ページにアクセスする →再認証を求められないことを確認

環境 (environment)

• EC-CUBE: 4.2-beta2

関連情報 (Ref)

なし