アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
パスワードの再発行の処理が怪しい (スコア:4, 参考になる)
再設定の流れは…
・ID(メールアドレス)と登録した生年月日を入力
(どうやら、回数制限などはなかった模様)
↓
・リマインダー確認(いわゆる秘密の質問)
(質問は数種類あって、自分が選んだモノは画面に表示される。答えは自由入力)
↓
・仮ログイン(新しく設定されたパスワードは画面に表示される)
と言う感じで、利便性のために危険な橋を渡りすぎてしまったのではないか?
最初は、「メールアドレスをキーに生年月日の総当たりかな?」と思ったけど、
リマインダーがあるので、さすがにもうちょっと何かあったんだと
Re:パスワードの再発行の処理が怪しい (スコア:2, 参考になる)
・登録メールアドレスと生年月日を入力
↓
・秘密の質問に対する答えを入力(ご丁寧なことに、質問内容自体は表示される)
↓
・新パスワードを入力
途中でメールが届くなどはなく、全部ブラウザ上の操作で完結しています。
さすがにパスワード変更後はメールが来ましたが。
対策前にどんな脆弱性があったのかは知りませんが、とりあえず今の仕様についても何だかなぁという気がします。
生年月日や秘密の質問と答えを馬鹿正直に登録していると、親しい間柄の人には成りすまされちゃうかもしれません。
なお、生年月日は変更できないのが仕様(アカウント登録時にもそうでるし、FAQにも書かれている)で、
秘密の質問と答えも変更方法は不明(変更できない仕様である旨は見当たらず)です。
# こんな設計が許されてしまうようじゃ、個人的にはまだまだ色々とヤバイものが埋まってそうだと思っています。