Project

General

Profile

Enhancement(機能追加・改善) #328

Add an ability to remember login in the pc_frontend (自動ログインを実装する)

Added by pnetan   over 11 years ago. Updated over 11 years ago.

Status:
Fixed(完了)
Priority:
Normal(通常)
Target version:
Start date:
2009-12-08
Due date:
% Done:

100%


Description

Overview

Add an ability to remember login in the pc_frontend (自動ログインを実装する)

Source

http://sns.openpne.jp/?m=pc&a=page_fh_diary&target_c_diary_id=22825より転記

OpenPNE 3.2.0での自動ログインができないので、自動ログインができるようになってほしい。 

Related issues

Related to OpenPNE 3 - Enhancement(機能追加・改善) #791: The ability to remember login is made more secure (自動ログインをより強固にする) Fixed(完了) 2010-03-04

Associated revisions

Revision f6a18da9 (diff)
Added by Shogo Kawahara over 11 years ago

added an ability to remember login (refs #328)

Revision d910c8fd (diff)
Added by Shogo Kawahara over 11 years ago

fixed sfOpenPNESecurityUser to check key of the MemberConfig (fixes #328)

History

#1 Updated by pnetan   over 11 years ago

  • Target version deleted (OpenPNE 3.2.0)

バージョンを空欄に。

#2 Updated by pnetan   over 11 years ago

同じ要望が来ています
http://sns.openpne.jp/?m=pc&a=page_fh_diary&target_c_diary_id=23273 より転載

 
○前提
現在、OpenPNE3系をベースとする新サービスの開発を行っています。

○内容
http://redmine.openpne.jp/issues/328
こちらのチケットの件と同様です。

この件ができなければ、サービスとしてオープンするのは難しいと、顧客から強い要求が出ています。
SNSとして提供する上で必要要素と私も考えていますので、可能な限り早く実現してほしいです。

○その他
進捗などはどのような状況にあるでしょうか?やはり厳しいですか?
厳しいようなら他の策を練らなければならないので、もしわかれば教えてください。 

#3 Updated by Shogo Kawahara over 11 years ago

  • Assignee set to Shogo Kawahara
  • Target version set to OpenPNE 3.5.0

#4 Updated by Shogo Kawahara over 11 years ago

  • Subject changed from 自動ログインができるようにしてほしい to Add an ability to remember login in the pc_frontend (自動ログインを実装する)
  • Status changed from New(新規) to Accepted(着手)

#5 Updated by Shogo Kawahara over 11 years ago

  • Status changed from Accepted(着手) to Pending Review(レビュー待ち)

#6 Updated by kazuyuki itoda over 11 years ago

確認しました。
ログイン画面(/member/login)にアクセスした場合のみ、自動ログインはされませんでした。
海老原さんに確認したところ、ログイン画面にアクセスした場合は自動ログインされなくてもokとのこと。

#7 Updated by Kousuke Ebihara over 11 years ago

  • Status changed from Pending Review(レビュー待ち) to Rejected(差し戻し)
  • % Done changed from 0 to 50

sfOpenPNESecurityUser の 243 行目でおこなっている remember_key のチェックですが、メンバー ID とハッシュ値の組み合わせから MemberConfig のインスタンスを取得し、存在していれば認証が通るような仕組みになっていますが、これでは任意のメンバーの任意の設定項目の値を知ってさえいれば、クライアント側で Cookie を変更することで認証が突破できてしまう危険があると思います。

このチェックにおいては、確実に remember_key の値のみを見るように修正をおこなってください。

#8 Updated by Shogo Kawahara over 11 years ago

  • Status changed from Rejected(差し戻し) to Accepted(着手)

#9 Updated by Shogo Kawahara over 11 years ago

  • Status changed from Accepted(着手) to Pending Review(レビュー待ち)

更新履歴commit:"d910c8fdfe93dfbc28b93727cbf3c14eda97384e"で適用されました。

#10 Updated by Kousuke Ebihara over 11 years ago

  • Status changed from Pending Review(レビュー待ち) to Fixed(完了)
  • % Done changed from 50 to 100

Also available in: Atom PDF