============================================================ ## 問い合わせ (1) 2015/12/20 ============================================================ http://value-domain.com/modprof.php?action=delete2 ・ログインした状態で、この URL にアクセスする ・この URL にアクセスして、ログインする このいずれかの操作によってアカウントが削除されてしまいます。 以下、2点についてお答えください。 (1.) この動作は問題であると思いますか? (2.) ユーザが意図せずアカウントを削除してしまった場合、アカウントを復旧することは可能ですか? ============================================================ ## 回答 (1) 2015/12/21 ============================================================ お世話になっております。 お問い合せについてですが、削除されてしまいました、ユーザー名をご連絡いただけますでしょうか。 確認をさせていただきます。 以上、よろしくお願いもうしあげます。 ============================================================ ## 回答 (2) 2015/12/21 ============================================================ お世話になっております。 お問合せの件について、以下の通り回答させて頂きます。 (1.) この動作は問題であると思いますか? この度はご不便をお掛けしておりまして大変申し訳ございません。 弊社で確認致しましたところ、仰せの通り該当のURLにログイン状態で アクセスされるとユーザー登録が削除されてしまいます。 本来は削除のための正常な動作となり問題ではございませんが、 今回のような状況を今後回避するため、弊社にて所定の手順以外で ユーザー削除されないように調整させていただきます。 恐れ入りますが、念のため該当のURLには今後直接アクセス頂かないようお願い致します。 (2.) ユーザが意図せずアカウントを削除してしまった場合、アカウントを復旧することは可能ですか? アカウント復旧は可能でございます。 ご登録頂いていた該当のユーザー名と、ご登録頂いているメールアドレスを お知らせいただけますでしょうか。 弊社にて確認できましたら、アカウントの復旧をさせて頂きます。 以上、どうぞ宜しくお願い申し上げます。 ============================================================ ## 問い合わせ (2) 2015/12/21 ============================================================ > お問い合せについてですが、削除されてしまいました、ユーザー名をご連絡いただけますでしょうか。 この質問は、特定のアカウントに関する個別案件ではありません。ユーザー名を答えることに意味はありません。 > 本来は削除のための正常な動作となり問題ではございませんが、 アカウントの削除は重要な操作だと考えられますが、確認画面やパスワードの入力もなく削除できてしまうのは好ましい設計だとは思えませんが、この点で、そういった確認操作は不要だと考えているのでしょうか。 > 恐れ入りますが、念のため該当のURLには今後直接アクセス頂かないようお願い致します。 「アクセスしないでください」ではなく、アクセスしても問題が起こらないようにしてください。 第三者が当該リンクを貼るなどして(ログイン済みの)VALUE-DOMAINユーザがアクセスした場合に何が起こるかについて考えていないのでしょうか。アカウント削除操作のCSRF脆弱性について対策していなかった理由をお聞かせください。 > ユーザが意図せずアカウントを削除してしまった場合、アカウントを復旧することは可能ですか? これについては、VALUE-DOMAINサービスのサイト上に分かりやすく明記しておくことがユーザにとって良いと考えます。 「パスワードを忘れてしまった」場合の案内と同様にログインページにでも案内を掲載する等、この情報を探したユーザが見つけられる場所に案内を置くことを検討していただけませんか。掲載すべきでない理由があれば教えてください。 ============================================================ ## 回答 (3) 2015/12/22 ============================================================ お世話になっております。 この度はお手数とご心配をお掛けしておりまして大変申し訳ございません。 ご連絡頂きました内容について、以下の通りお答えさせて頂きます。 ・アカウントの削除は重要な操作だと考えられますが、確認画面やパスワードの入力もなく削除できてしまうのは好ましい設計だとは思えませんが、この点で、そういった確認操作は不要だと考えているのでしょうか。  通常、ユーザー削除を行うには、まずユーザーコントロールパネルにログイン頂いたうえで、  「・アカウントを削除」メニューからのみ手続き可能となっております。  さらにその際、上記「・VALUE-DOMAINの退会」画面にて、  削除のご判断について再度確認頂く旨のご案内を明記させて頂いております。  仰せの通り、ユーザー登録削除は重要な操作となりますため、   お手続き頂く際はご確認と操作に充分ご注意頂くよう配慮させて頂いております。 ・「アクセスしないでください」ではなく、アクセスしても問題が起こらないようにしてください。   第三者が当該リンクを貼るなどして(ログイン済みの)VALUE-DOMAINユーザがアクセスした場合に何が起こるかについて考えていないのでしょうか。アカウント削除操作のCSRF脆弱性について対策していなかった理由をお聞かせください。  前回のご説明が不足しておりまして大変申し訳ございません。  前述の通り、通常は所定の操作を行わない限りユーザー削除は行われません。  その為、今回のように万一直接URLにアクセスした場合も本来は削除されることはございませんが、  システムの不具合にて削除される状況が発生していたことを弊社で確認致しております。  お客様にはご連絡を頂きましたことに対して深く感謝いたしますとともに、  ご心配ご面倒ををお掛けいたしましたこと、改めてお詫び申し上げます。  今回の不具合はすでに弊社にて対応および解消させて頂いておりますので、  現在はユーザーログイン状態で該当のURLに直接アクセスした場合でも  削除されることはございません。 ・「パスワードを忘れてしまった」場合の案内と同様にログインページにでも案内を掲載する等、この情報を探したユーザが見つけられる場所に案内を置くことを検討していただけませんか。  貴重なご意見を頂戴致しまして誠にありがとうございます。  今回の状況を踏まえ、今後弊社にて検討させて頂きます。 今後とも弊社サービスをどうぞ宜しくお願い申し上げます。