OpenPNE3 Plugins » opAuthMobileUIDPlugin

メモ¶

モバイルCookie使用設定を true にした状態でログインしたメンバが存在したとき，モバイルCookie使用設定を false に変更すると，そのメンバがかんたんログインができなくなる．

モバイルCookie使用設定自体は， #2134 「au の一部の端末でセッションが保持できない （ログインできない）」 の回避策である #2342 「セッションキーをURLパラメータで引き回すことを強制する設定の追加」 によって行われた．この変更の意図は「ログイン出来ない人がいるので，セキュアでない状態を許容できるならばログインができるようにする方法を提供する」というものがあって，一部メンバのログイン制限を意図した実装ではない．

今回，Cookie UID が SNS 側に残ることでログイン出来ない状態は「何らかの形で得られた個体識別番号を取得した人間がその個体識別番号を利用してログインしようとするが，Cookie を用いることができる端末の場合はCookie個体識別番号も登録されているはずであり，携帯電話個体識別番号でログインに成功したとしてもCookie個体識別番号が存在した時にログインさせない」という状態と一致している．
これはSNS管理者が「ログイン出来ない人がいるので，個体識別番号を用いた認証が現在よりもセキュアでない状態を許容できるならばログインができるようにする方法を提供する」ということを許容したうえでモバイルCookie使用設定を変更したのならば，意図した動作とはいえない．

現在の実装については，Cookie個体識別番号を使える端末はCookie個体識別番号を用いて認証を行い，失敗している状態でなぜ携帯電話個体識別番号を用いて認証を行なっているかということがまだ理解できていない．
また，モバイルCookie使用設定がfalse担っているにもかかわらず Cookie個体識別番号がバリデーションまで渡されているという点が正しい実装であるかという点について疑問である．

情報メモ¶

• 携帯電話個体識別番号
• Cookie個体識別番号

• Cookie が使える端末かどうか
• SNS が Cookie を使うと設定しているかどうか
• 認証プラグインで Cookie個体識別番号を使うか，携帯電話個体識別番号を使うか．（優先順位をつけることはできるが両方を同時に用いることはできない via 実装）
• 個体識別番号を SNS の設定変更で登録しているかどうか

修正方針メモ¶

検討中．
認証プラグインを変更する必要がある場合は別途 opAuthMobileUIDPlugin のプロジェクトにチケットを作成する予定．

修正案¶

今まで mobile_cookie_uid が存在するかどうかで偽装した認証を弾く実装だったが，この部分をモバイルCookie使用設定の値を反映して mobile_cookie_uid が SNS に登録されている状態だったとしてもログイン可能な状態になるように変更した．

opAuthMobileUIDPlugin 内のdiff

diff --git a/lib/form/opAuthLoginFormMobileUID.class.php b/lib/form/opAuthLoginFormMobileUID.class.php
index 59d49fa..747f12e 100644
--- a/lib/form/opAuthLoginFormMobileUID.class.php
+++ b/lib/form/opAuthLoginFormMobileUID.class.php
@@ -91,7 +91,7 @@ class opAuthLoginFormMobileUID extends opAuthLoginForm
       }
     }

-    if (isset($values['member']) && $values['member']->getConfig('mobile_cookie_uid') && self::MUST_USE_MOBILE_UID != $uidType)
+    if (isset($values['member']) && $values['member']->getConfig('mobile_cookie_uid') && self::MUST_USE_MOBILE_UID != $uidType && sfConfig::get('op_is_use_mobile_cookie', true))
     {
       // The specified member already use mobile_cookie_uid, but this request doesn't contain the cookie.
       // This request must not be allowed.

また

また，モバイルCookie使用設定がfalse担っているにもかかわらず Cookie個体識別番号がバリデーションまで渡されているという点が正しい実装であるかという点について疑問である．

という部分については「モバイルCookie使用設定にかかわらず携帯電話に存在する mobile_cookie_uid を取得してきてログインに成功してしまう」という問題に帰着される．この問題は本チケットの主題とは直接は関係ないためこのチケットでの修正は行わない．下記に「モバイルCookie使用設定にかかわらず携帯電話に存在する mobile_cookie_uid を取得してきてログインに成功してしまう」の問題の修正案を示しておく．できれば， opWebRequest などという広い範囲ではなく opWebMobileRequest などのような携帯電話のみのリクエストクラスを用意して，その中で端末の種類や is_use_mobile_cookie の設定などによって getCookie() を使用したとしても何も返さない実装などを行うほうが好ましいが，バグ修正の範疇を超えるため対象チケットでは採用しないほうが望ましい．

diff --git a/lib/request/opWebRequest.class.php b/lib/request/opWebRequest.class.php
index aabb1bd..2b8b111 100644
--- a/lib/request/opWebRequest.class.php
+++ b/lib/request/opWebRequest.class.php
@@ -218,6 +218,10 @@ class opWebRequest extends sfWebRequest

   public function getMobileUidCookie()
   {
+    if (!$this->isCookie())
+    {
+      return null;
+    }
     return $this->getCookie(self::MOBILE_UID_COOKIE_NAME);
   }

プロジェクト移動について¶

本チケットの修正内容は認証処理の opAuthMobileUIDPlugin 単体での修正となり，プロジェクトを opAuthMobileUIDPlugin に移動させる．

デフォルト値が設定されていなかったので追加しました．

https://github.com/ebihara/opAuthMobileUIDPlugin/commit/4c128224240e910fe82d8412f419a828f5549f9b

uid_type: MUST_USE_MOBILE_UID と uid_type: MUST_USE_COOKIE_UID の確認を誤っていたため，条件が抜けてしまったようです．

note-10 のコードを適用します．

note-10 はmobile_cookie_uid が使えるか使えないかによって SNS 側は判定して MobileUID を使うかどうかを決定しているため，
「mobile_cookie_uid が DB に存在しない状態」 は「mobile_cookie_uid が使えない状態」と等価となり，MobileUID を用いて認証を行うことを許容しています．そのためかんたんログインができるべきとして期待結果と一致すると考えてよいとします．

上記理由によりコード変更おこなっていないため Rejected から Pending Testing にステータスを変更します．