1

知りたいのですが、pw_resetトークンが電子メールで送信されたら、検証のためにリファラーのアカウントの電子メールアドレスを取得することは可能ですか、それともIPに対して検証するのが最善でしょうか?トークンの有効期限を1時間だけに設定しましたが、動的IPでさえその速度で変更されません。

私が遊んでいるいくつかのコード(非常にWIP)は、改善/提案/批評に開かれています。

前もって感謝します。

 /**
 * Reset Password Form
 * 
 * $route['auth/reset-password'] = 'reset_password_form';
 * 
 */
public function reset_password_form()
{
    $this->load->view('templates/public', array(
        'content'   =>  'auth/reset_password_form',
        'title' =>  'Password reset',
        'description'   =>  '',
        'canonical' =>  'auth'
    ));
}
/**
 * Reset Password Authentication
 * 
 * $route['auth/reset_password/validate'] = 'auth/reset_password';
 * 
 */
public function reset_password()
{
    //setup validation rules
    $config = array(
        array('field'=>'email_address', 'label' =>'Email address', 'rules'=>'trim|required|max_lenght[128]|valid_email|valid_user_email')
    );
    $this->form_validation->CI =& $this; 
    $this->form_validation->set_rules($config); 

    //run validator and confirm OR
    if($this->form_validation->run($this))
    {

        //create the token data
        $tokenhash = Auth::create_token();
        $password_token = json_encode(array(
            'token'      => $tokenhash,
            'expires'    => date('h:i:s A', strtotime($this->config->item('pw_token_expires'))), // default 1 hours
            'ip_address' =>  $this->input->ip_address()
        )); // output {"token":"3513f5ee34ED3","expires":"01:14:06 AM","ip_address":"127.0.0.1"}


        //grab a userid to use via php-activerecord custom USER model
        $user = User::get_by_email_address($this->input->post('email_address'));

        //update the user pw_token field
        try{
            if($user->update_attribute('pw_token', $password_token))
            {
                throw new \ActiveRecord\ActiveRecordException($user->errors);
            }
        }catch(\ActiveRecord\ActiveRecordException $e){
            log_message('error', $e->getMessage());
        }

        //setup email data
        //TODO : move this to USER activeRecord\Model (pre_)
        $email_data = array(
            'email_to'  =>  $user->email_address,
            'token'     =>  anchor(site_url('auth/reset_password/confirm/'.$tokenhash.'/'.$user->id.''), 'click here to reset your password'),
            'site_link' =>  anchor(site_url(), site_url())
        );

        try{
            if(Mail::send($email_data, 'reset_password.tpl.html'))
            {
                throw new Exception(Mail::errors());
            }
        }catch(Exception $e){
            log_message('error', $e->getMessage());
        }

    }
    else
    {
        $this->reset_password_form();
    }
}
/**
 * Reset Password Confirmation
 * 
 * $route['auth/reset_password/confirm/(:any)/(:num)'] = 'auth/confirm_password_reset';
 */
public function confirm_password_reset($token='', $userid='')
{
    //check for null values
    if(!$token || !$id)
    {
        redirect('/');
    }

    //ugly
    $attempts = $this->session->set_userdata('reset_pw_attempt', (int)0);
    $this->session->set_userdata('reset_pw_attempts', $attempts++);



    if(!$this->user->id != $userid && $this->session->userdata('logged_in') === (int)0)
    {
        //not great but cant validate the email, so we check to see if they have a logged in session.
        //this is not a "forgot_password request" so we should be good as long as they are logged in
        show_404();
    }
    else
    {

        //looking good so far, now lets see do they have the correct permissions
        if(in_array(PERM_UPDATE, Auth::permissions($this->user->permissions)))
        {
            if($attempts == (int)3)
            {
                $this->session->set_flashdata('', $this->lang->line('pw_reset_attempt_over'));
                redirect('/');
            }
            else
            {
                $tokn[] = json_decode($this->user->pw_token);

                if(date('h:i:s A', time()) > $tokn['expires'] && $token===$tokn['token'])
                {
                    $this->load->view('do-pw_reset_form');
                }
            }
        }
        else
        {
            $this->session->set_flashdata('info', $this->lang->line('update_permission_denied'));
            redirect('/');
        }
    }
}
4

3 に答える 3

1

なぜリファラーをチェックしたいのですか?閉ループ検証の使用は、ユーザーの電子メールアドレスを確認するための標準的な方法です。IPやリファラーを確認する必要はありません。カスタムハッシュを作成してメールアドレスを追跡し、この情報を記載したメールをユーザーに送信するだけです。

ユーザーが埋め込まれたリンクをクリックすると、作成したハッシュを確認します。ハッシュが並んでいる場合、ユーザーはシステムで自分の電子メールアカウントを確認しています。

//Example Link
https://mydomain.com/verify?hash=<some_hash>

セキュリティを強化するために、システムが電子メールを送信した時間を追跡し、24時間後にハッシュを無効にすることもできます。したがって、ユーザーが25時間後にクリックした場合は、ハッシュが無効であることを通知し、別のメールを送信するかどうかを尋ねます。送信する場合は、上記のプロセスを繰り返します。

于 2011-12-10T02:08:41.730 に答える
1

クエリ文字列パラメータを介して電子メールアドレスをチェックすること、またはIP制限を利用することは、どちらも完全に不要です。パスワードトークンがランダムで十分な長さである場合、特にトークンの有効期限とトークンの推測のレート制限と組み合わせると、ブルートフォース攻撃は不可能になります。

IPアドレスの制限は、使いやすさの問題にもなり得ます。たとえば、ユーザーは、仕事を辞める直前にパスワードのリセットを要求し、自宅から、または通勤中にリセットプロセスを終了する場合があります。つまり、ユーザーのIPアドレスは、リセット要求とリセット確認の間で変更されます。

于 2011-12-10T02:23:17.913 に答える
0

リファラーをチェックする理由はありません。クライアントのコンピューターが危険にさらされている場合、ハイジャックを回避するためにできることは何もありません。できることは、CSRFの脆弱性に注意することです。

また、それを読んだ後、'ip_address' => $ this-> input-> ip_address()をチェックしているように見えます。

于 2011-12-10T01:57:42.317 に答える