こんばんは、ritouです。
tzmtkが軽ーくふってきたネタに軽々しく食いついてしまい、一昔前に素晴らしいQ&Aサービスだとか言われて登録までやったQuoraのログイン周りの挙動を見直してみました。
一回ログインしたらもうパスワードいらないモード
まずは、ログインしてみましょう。
の前に、何やらログインボックスの前に書いてあります。
"Let me login without a password on this browser"
→このブラウザではパスワードなしでログインさせる?
よくある"ログイン状態を保存する"的な意味合いではありません。
後で説明するのでまずはこのチェックをつけたまま進めてみます。
メールアドレスを入力します。
パスワードを入れる前にメールアドレスを入力した瞬間、画面に私の登録しているアイコン画像と名前が表示されました。
この件については以前もエントリを書いたことがあります。
Quoraのログイン画面はメールアドレスからユーザーのお名前を教えてくれる! - r-weblife
登録されていないメールアドレスを入力した場合、このような画面が表示されます。
"No account found for this email address.To create an account, sign up for Quora."
このメールアドレスで登録されているアカウントは存在しませんと表示しています。
上記エントリにも書きましたが、
メールアドレス入力時点でユーザーが存在しているかどうかチェックをしているため、第3者も任意のメールアドレスがQuoraに登録済かどうかを確認できる。
ということは、
悪意のある第3者が任意のメールアドレスがQuoraに登録済かどうかを確認可能であるためメールアドレスを固定して様々なPWを指定してログイン施行を行う攻撃が容易である
ということになります。
他の人からもこの仕様が良くないという指摘を受けていたにもかかわらず変わっていないのでちょっとイラっとしてきたので、今回は、HTTP Headerからメールアドレスが有効かどうかのチェックを行うURLを覗いてみると、
に投げているようです。
パラメータまで解析するのはやめておきますが、ちょっと工夫すれば悪い人たちがEmailのリストに対してガーッとチェックすることぐらいはできそうですね。
さて、ログインするのを忘れていましたので正しいパスワードを入れるとログインできます。
この後、Logoutボタンを押した場合にこのような画面になります。
この状態からもう一度アイコン画像をクリックすると、ログイン状態になります。
www.quora.comからやり直しても同じようにアイコン選択でログイン可能です。
アイコン画像の右上の×もしくは"Login As Another User"リンクをクリックすると最初のログイン画面に戻ります。
確かにログイン時にチェックした"Let me login without a password on this browser"ですね。
WindowsとかでPW設定していないユーザーはログオフしても、再びアイコン画像をクリックするとログインできるあの挙動に似ています。ということで、複数アカウント利用時にパスワード再入力なしでアカウントを切り替えさせたいということなのではないでしょうか。
Account Chooserの方向性と同じですが、PWなしでアカウント切り替えさせるのはやはり少しやりすぎかなと思います。
