- ベストアンサー
メール認証の安全性について
- 最近よく見かける空メールを送信してログインするメール認証について安全性に疑問が出ました。
- URLに自分のメールアドレスが表示されている場合、情報漏洩が起きやすくなっているのでしょうか?
- メール認証用のURLの安全性についての心配が増してきました。
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
>其の後に、サイト内検索対象のワードが『暗号化済みの状態』で綴られているのだろう、と私は勝手に想像 これは「貴方のメールアドレスが暗号化されたものや、貴方宛に送った事を確認するための識別コード」です。 >私の側のメールアドレスが丸見えになったURLへのリンクが張られた状態で、返信メールが届きました。 暗号化せずに処理すればそうなります。 >其のURLへのログインの際に情報漏洩が起きやすくなっているのでしょうか? いいえ。 こういうログインシステムは、以下のようになっています。 1.ユーザーが空メールを送る。 2.空メールがエントリアドレスに届くと、メールの「送信元」が取り出され、ユーザー情報を管理するサーバーに「このメールアドレスが仮登録中」と言う「仮ユーザー情報」が作られます。 3.同時に、送信元に「登録用URL」が送られます。 このURLには、固有IDやメールアドレス、一回しか使えない固有の識別コードなどが付加されます。これらは「そのまま」だったり「暗号化」されていたりします。 4.一定時間内に、送られたURLにアクセスがあると、URLに含まれた固有IDやメールアドレス、一回しか使えない固有の識別コードを元に、ユーザー情報を管理するサーバーに「このメールアドレスは仮登録中か?」を問い合わせ、仮登録中であれば「本登録用の画面」が出て来ます。 5.ユーザーが本登録用の画面の入力フォームに記入して「登録ボタンを押す」と、ユーザー情報を管理するサーバーに情報が書き込まれ、登録が完了する。 なお、一定期間内に本登録を行わないで居ると、自動的に「本登録されなかった仮登録メールアドレス情報が消去される」ようになっています。 URLが記載されたメールに「○日以内に登録を完了させて下さい」って書いてあるのは、このためです。 --- 上記のようなシステムになっているので、何の情報も漏洩しません。 URLのメールアドレス部分を書き換えて(URLを偽造して)、他人用のURLを開いても、ユーザー情報管理サーバーに「仮登録中」という情報が無いので、本登録に失敗し「登録用URLは無効か、登録の期限が切れています。空メールの送信からやり直して下さい」と言う趣旨の警告が出るだけです。 「URLにメールアドレスそのまま含まれている」と「URLが暗号化されている」に何か違いがあるとすれば「他人のメールアドレスを使ってのイタズラが簡単か難しいかの違いだけ」です。 もし「URLにメールアドレスそのまま含まれている」場合に問題が起きるとしたら「貴方が空メールを送ったあと、貴方が返信されてきたメールを見る前に、他人がURLを偽造して貴方用のURLを開いて本登録作業をしてしまう」と言うケースだけです。 しかし、このケースが起きるのは「返信メールが来てるのに、本登録作業をすぐに行わず放置してしまった時だけ」です。 普通は、空メールを送って返信が来たらすぐに本登録を開始するので、他人が割り込むチャンスは限りなくゼロに近いです。 URLが暗号化されている場合は、URLを偽造出来ないですから、他人が割り込んで本登録する事は出来ません。
お礼
『ブラウザ』が搭載されていない某移動体端末機からの空メールへの返信内容を読みました際に、 今回の疑問が沸き起こって参りましたので、 たとえ過去に危険性に曝されたPCから当該URLへのアクセスを試みましても、安全性が保証され得るのか、 という点が気になりましたから、教えて頂けませんでしょうか?
補足
有り難う御座います。 たとえメールアドレス丸出しのURLへのログインを、 他の端末機から検索しましても、 其のURLから送信元の齟齬を検知させ得ますでしょうか?