Project

General

Profile

Bug(バグ) #2647

携帯個体識別番号の登録を必須にしても、メールアドレスを変えると同一の個体識別番号でも何度も登録が出来てしまう

Added by pnetan   almost 8 years ago. Updated about 4 years ago.

Status:
Fixed(完了)
Priority:
Urgent(急いで)
Assignee:
Target version:
Start date:
2011-12-01
Due date:
% Done:

100%

3.6 で発生するか:
Unknown (未調査)
3.8 で発生するか:
Unknown (未調査)

Description

概要

携帯個体識別番号の登録を必須にしても,メールアドレスを変えると同一の個体識別番号でも何度も登録が出来てしまう.
OpenPNE 2 系では新規登録時に携帯の個体識別番号の重複登録は認められていないため,OpenPNE 3 でも同様の処理を行う必要がある.

原因

下記コードで個体識別番号が必須の場合に個体識別番号がリクエストで渡されているかのチェックとブラックリストに登録されているかのチェックは行われているが,登録しようとしている個体識別番号がすでに存在しているかどうかのチェックが行われていない.

lib/form/opAuthRegisterForm.class.php

129   public function validateMobileUID($validator, $values, $arguments = array())
130   {
131     if (!opConfig::get('retrieve_uid'))
132     {
133       return $values;
134     }
135 
136     if (sfConfig::get('app_is_mobile', false))
137     {
138       $request = sfContext::getInstance()->getRequest();
139       $uid = $request->getMobileUID(false);
140       if (!$uid && opConfig::get('retrieve_uid') >= 2)
141       {
142         throw new sfValidatorError($validator, 'A mobile UID is required. Please check settings of your mobile phone and retry.');
143       }
144       elseif (Doctrine::getTable('Blacklist')->retrieveByUid($uid))
145       {
146         throw new sfValidatorError($validator, 'A mobile UID is invalid.');
147       }
148 
149       $cookieUid = sfContext::getInstance()->getResponse()->generateMobileUidCookie();
150       if ($cookieUid)
151       {
152         $values['mobile_cookie_uid'] = $cookieUid;
153       }
154 
155       $values['mobile_uid'] = $uid;
156     }
157 
158     return $values;
159   }

修正案

すでに登録されている個体識別番号を登録しようとしたときに例外を投げるように修正.

diff --git a/apps/mobile_frontend/i18n/messages.ja.xml b/apps/mobile_frontend/i18n/messages.ja.xml
index 7a64c1e..b29ff74 100644
--- a/apps/mobile_frontend/i18n/messages.ja.xml
+++ b/apps/mobile_frontend/i18n/messages.ja.xml
@@ -1235,6 +1235,10 @@
         <source>Block access from the selected member with input MemberID.&lt;br /&gt; MemberID is written at the end of member top page URL.&lt;br /&gt; ex. The MemberID is 1 when the URL "http://sns.example.com/member/1"</source>
         <target>メンバーIDを入力して特定のメンバーからのアクセスをブロックします。&lt;br /&gt;メンバーIDは相手トップページのURL末尾に表示されています。&lt;br /&gt;例:"http://sns.example.com/member/1" というURLである場合にはメンバーIDは1になります。</target>
       </trans-unit>
+      <trans-unit id="">
+        <source>A mobile UID was already registered.</source>
+        <target>その携帯電話の個体識別番号はすでに登録されています。</target>
+      </trans-unit>
     </body>
   </file>
 </xliff>
diff --git a/lib/form/opAuthRegisterForm.class.php b/lib/form/opAuthRegisterForm.class.php
index eea1713..57686f3 100644
--- a/lib/form/opAuthRegisterForm.class.php
+++ b/lib/form/opAuthRegisterForm.class.php
@@ -145,6 +145,10 @@ abstract class opAuthRegisterForm extends BaseForm
       {
         throw new sfValidatorError($validator, 'A mobile UID is invalid.');
       }
+      elseif (Doctrine::getTable('MemberConfig')->retrieveByNameAndValue('mobile_uid', $uid))
+      {
+        throw new sfValidatorError($validator, 'A mobile UID was already registered.');
+      }

       $cookieUid = sfContext::getInstance()->getResponse()->generateMobileUidCookie();
       if ($cookieUid)

元記事

http://sns.openpne.jp/communityTopic/7794 より転記

お世話になります。
OpenPNE3.6.0を利用しております。
管理画面から『携帯個体識別番号の登録を必須にする』を設定しておりますが、メールアドレスを変えれば同一の固体識別番号でも何度も登録が出来てしまうようです。
特定のファイルを少し修正すれば固体識別番号の重複が防げそうですが、あまりにもファイル数やディレクトリ構造が複雑すぎて自力で出来そうもありません。
どなたか複アカの防止が出来る方、ご教示頂けると幸いです。
よろしくお願い致します。
PHP 5.2.17
MySQL 5.5.17
linux

Related issues

Related to OpenPNE 3 - Backport(バックポート) #2663: 携帯個体識別番号の登録を必須にしても、メールアドレスを変えると同一の個体識別番号でも何度も登録が出来てしまう Fixed(完了) 2011-12-01
Related to OpenPNE 3 - Backport(バックポート) #2664: 携帯個体識別番号の登録を必須にしても、メールアドレスを変えると同一の個体識別番号でも何度も登録が出来てしまう Fixed(完了) 2011-12-01
Related to OpenPNE 3 - Backport(バックポート) #3045: 携帯個体識別番号の登録を必須にしても、メールアドレスを変えると同一の個体識別番号でも何度も登録が出来てしまう Fixed(完了) 2011-12-01

Associated revisions

Revision 48d4efec (diff)
Added by Yuya Watanabe almost 8 years ago

(fixes #2647) fixed not to register already set MobileUID

History

#1 Updated by pnetan   almost 8 years ago

以下バージョンで再現確認できました。

  • OpenPNE 3.6.0
  • OpenPNE 3.4.17

#2 Updated by Kousuke Ebihara almost 8 years ago

  • Priority changed from Normal(通常) to Urgent(急いで)
  • Target version set to OpenPNE 3.7.0

#3 Updated by Kousuke Ebihara almost 8 years ago

  • Subject changed from 携帯個体識別番号の登録を必須にしても、メールアドレスを変えると同一の固体識別番号でも何度も登録が出来てしまう to 携帯個体識別番号の登録を必須にしても、メールアドレスを変えると同一の個体識別番号でも何度も登録が出来てしまう

#4 Updated by Yuya Watanabe almost 8 years ago

  • Status changed from New(新規) to Accepted(着手)
  • Assignee set to Yuya Watanabe

#5 Updated by Yuya Watanabe almost 8 years ago

  • Status changed from Accepted(着手) to Pending Review(レビュー待ち)
  • % Done changed from 0 to 50

更新履歴 48d4efec2f5785701fceb52638443bc15187497d で適用されました。

#6 Updated by Yuya Watanabe almost 8 years ago

  • Description updated (diff)

#7 Updated by Yuma Sakata almost 8 years ago

  • Status changed from Pending Review(レビュー待ち) to Rejected(差し戻し)

テスト実施しましたが、気になる点がありましたので確認お願いします。

メンバー登録時の携帯個体識別番号取得設定を「携帯登録時に携帯個体識別番号を取得する(任意)」に設定して、携帯個体識別番号を送信しないで、メールアドレス変更して再登録動作して確認

  • 試験手順
    0. SNS設定 (携帯関連設定)ページ(/pc_backend.php/sns/config/category/mobile)で「携帯登録時に携帯個体識別番号を取得する(任意)」設定にしておく
    1. 携帯メールアドレスにSNS招待状を送信する
    2. プロフィール項目入力後、携帯個体識別番号を送信しないでSNS新規登録する
    3. キャリア側でメールアドレス変更する
    4. 手順3 の携帯メールアドレスにSNS招待状を送信する
    5. プロフィール項目入力してSNS新規登録する
  • 試験結果
    「その携帯電話の個体識別番号はすでに登録されています。」とエラーが出てSNS登録できない
  • 修正方針
    携帯個体識別番号を送信しない場合、SNS登録できるように修正お願いします。
  • 備考
    3.4 の場合、SNS登録に失敗するとハッシュ化された値が秘密の質問への答えに表示されます。

#8 Updated by Yuya Watanabe almost 8 years ago

  • Status changed from Rejected(差し戻し) to Accepted(着手)
  • % Done changed from 50 to 0

#9 Updated by Yuya Watanabe almost 8 years ago

  • Status changed from Accepted(着手) to Pending Review(レビュー待ち)
  • % Done changed from 0 to 50

note-7について

管理画面で「携帯登録時に携帯個体識別番号を取得する(任意)」という選択肢がありますが,これは個体識別番号の取得を任意で行うという意味ではなく,個体識別番号を取得できない場合に関して SNS 側で登録の完了を是とするか非とするかという話となります.また,note-7では「携帯個体識別番号を送信しない」と記述されていますが,これはおそらくDocomoの端末での話であり,「送信しない」となるのはutnが送信されないだけでiモードIDは送信されており,これを個体識別番号として扱っているため,挙動としてはnote-7は正しいといえます.新規登録時にはutnを個体識別番号として用いているわけではないため,ここでutnを必要とする点については修正を行う必要があります.これについては別チケットで対応します.

#10 Updated by Kousuke Ebihara almost 8 years ago

  • Status changed from Pending Review(レビュー待ち) to Pending Testing(テスト待ち)
  • % Done changed from 50 to 70

#11 Updated by Shouta Kashiwagi over 7 years ago

  • Status changed from Pending Testing(テスト待ち) to Fixed(完了)
  • % Done changed from 70 to 100
  • 3.6 で発生するか set to Unknown (未調査)
  • 3.4 で発生するか set to Unknown (未調査)

テストOKです。ただし、テスト中に以下の問題を発見し、それを回避した状態でテストしています。

  • #2860 携帯版において、携帯メールアドレスが登録されていない状態では携帯メールアドレス設定ができない

#12 Updated by kaoru n about 4 years ago

  • 3.8 で発生するか set to Unknown (未調査)

Also available in: Atom PDF