驚いた！こんな機能がJoomla CMSにあった！

> ただ、どのような仕組みでそれがなされているかは現時点では推測でしかないのが現状です。
なんと、ほんとに把握されていないのですねぇ...。いいんでしょうか、そんなことで。:-O

見たことはありませんでしたが、Joomla 1.5.3を手元で展開して見てみました。私自身はPHPは得意とする言語ではありませんが、認証プラグインのところを見てすぐにわかりました。

=natさんの仰っていたように、gmailのアドレスでログインできるのはOpenIDの機能ではありません。認証プラグインで外部認証がサポートされていて、その中にgmailのアカウントで認証、LDAPで認証、OpenIDで認証、といったモジュールが含まれているのでした。

そして、gmailのアカウントで認証は、渡されたユーザやパスワードの情報を、そのまま https://mail.google.com/mail/feed/atom に問い合わせて認証の可否を調べているようです。

このまま使用する分には、(デバッグ情報を出力とかしない限り)サーバのメモリ中にしか残らないでしょう。ただ、ちょこっとコードをいじって入力されたユーザ名とパスワードを勝手に保存するといったことも簡単にできてしまいます。

そういう意味では「gmailのアカウントでログインできる」とか書いてあっても、ユーザの立場としては安易に利用すべきではないでしょう。

>taca-k00さん、
この件に関しては、当社でも良く把握しておく必要がありそうですね。開発側でおかしな機能をシステムに標準として追加するとは思いませんのでそれなりのリスクヘッジをして搭載していると思います。ただ、どのような仕組みでそれがなされているかは現時点では推測でしかないのが現状です。

Joomla.orgのフォーラムで調べて分かる人に聞いてみますね。
あまり気にしていませんでしたが、皆さんがリスクと感じる点は、ちゃんと安心を与える説明などがないとどんなに良い機能でも受け入れや応用が難しくなりますね。

良い助言とご指摘を頂きました。ありがとうございます。

=natさんの言われている点には全然気が付いてませんでしたが、

>> これって、gmail のパスワードは、そのJoomlaサイトを経由してしまうわけですよね。
私もそう思います。

> パスワードは、Googleと直接更新されていると思います。
更新 → 交信 ということだと思いますが、どうやったらそんなことできるんでしょうか? Loginをクリックしたときのフォームの入力データは、どこのサーバに送られれば「直接交信」なんてできるのでしょうか?

> Joomlaのサイトには、残っていませんし、見ることも出来ません。
処理途中でメモリに保持しているだけのことで、ちょっと悪意を持った処理を加えれば、抜き出すことは容易でしょう。

詳しく説明していただくことを希望します。

＞これって、gmail のパスワードは、そのJoomlaサイトを経由してしまうわけですよね。
パスワードは、Googleと直接更新されていると思います。Joomlaのサイトには、残っていませんし、見ることも出来ません。

この辺は、Joomlaを開発したチームが十分考慮して作っていると思います。

これって、gmail のパスワードは、そのJoomlaサイトを経由してしまうわけですよね。その運用サイトにパスワードを取られてしまい悪用される可能性があるわけで、そのサイトの運用状態などによほど信用がない限り、とても恐ろしくて使えません。フィッシングと原理的には全く同じですから。

それに、これは、OpenID機能ではありませんよね。
OpenIDだったら、サイト側ではパスワードは聞かないはずです。
＃パスワード漏れは恐ろしいですから。

> 当社、Goyat LLC（ゴヤット合同会社）では色々なサイトをJoomla CMSで構築してきいる。
と、いう立場の方が「驚いた！こんな機能がJoomla CMSにあった！」と仰るのは、どうなんでしょ?

悪く取れば、機能を十分に把握できていないものを、他所様に勧めているようにも解釈できてしまいます。

まだ、機能のうちはいいですが、そのうち「驚いた! こんなセキュリティー・ホールがあった!」なんてことにならないことを、お祈りします。:-p