포럼
이메일 인증 다 뚫려버리네요.. ㄷㄷㄷㄷ
2012.09.17 16:48
코드 수정을 통해
가입시 특정 도메인의 이메일(@abc.com)만 가입가능하도록 되어있구요 (인증메일 발송)
또 이메일 변경도 특정 도메인의 이메일(@abc.com)로만 가능하게
엘카님의 회원정보 변경시 인증메일 애드온을 사용하고 있습니다.
그런데 오늘 보니 갑자기 스팸게시물이 다다다다 등록되어 있어서 회원정보를 보니깐
타 도메인의 이메일로 가입되어 있더라구요
우선 급한 마음에 게시물 + 회원 삭제 하고 회원정보창을 지켜보는데 이놈이 또 가입을 하더랍니다.
그래서 잘 살펴보니
처음 가입시엔 abc@abc.com 이렇게 정상적으로 가입을 하고
바로 cba@yahoo.com 이렇게 타 도메인으로 바꿔버리더라구요.
아쉽게도 언제 (가입승인)이 떳는지는 놓쳤습니다 ㅠ
이게 뭔 문젠가 싶어서 새로 가입해보고, 이메일변경도 해봤는데
전혀 재현이 안되네요.
혹시나 하고 최근 가입한 다른 회원들도 보니 몇몇 이메일이 야후,네이버 같을걸로 등록되어 있네요;;;
회원가입을 하려면 @abc.com 도메인을 가지고 있어야 하는데
아무나 가질 수 있는 도메인이 아니라서.. 내부자 소행인가..하는 생각도 들고
그걸 떠나서 타 도메인으로 메일 변경도 못하게 막아놨는데 그것도 뚫려있고...
회원가입시 발생한 버그인지..
회원가입하고 회원정보 수정할때 발생한 버그인지.. 조차 모르겠으니 답답합니다.
(아직 핫픽스 버전 쓰고 있습니다.)
댓글 5
-
ToFinder
2012.09.17 17:04
-
카이닉스
2012.09.17 18:03
맞네요 ㅠㅠ
회원가입시.. 유도하는 도메인으로 이메일 등록하고
인증 안한상태에서
로그인하면 다른 새로운 이메일로 인증이 가능하네요..
이 부분에 대해서 새롭게 대책을 마련해야겠습니다.
도움주셔서 정말 감사합니다 ^^
-
ToFinder
2012.09.17 21:50
재 인증부분이 있을꺼에요. 저는 초보라서 정확한 위치를 모르지만.
재인증을 받는 부분에 보시면 해당 다른 이메일을 받을 폼을 삭제만 한다면 별 무리 없이
없을 듯 합니다.
그 폼의 위치가 어디인지만 찾는다면~ ^^*테스트 해보니 해당 재 발송부분은 삭제가 가능하더군요.
기본 모듈의 경우 /modules/member/skins/default 위치에 reset_mail.html 파일이 있더군요.
<li> <form ruleset="resetAuthMail" action="./" method="post"> <input type="hidden" name="module" value="member" /> <input type="hidden" name="act" value="procMemberResetAuthMail" /> <p class="q"><label for="email_address">{$lang->cmd_modify_new_auth_email_address}</label></p> <p class="a"><input type="text" id="email_address" name="email_address" value="" /> <span class="btn"><input type="submit" value="{$lang->cmd_send_auth_new_emaill_address}" /></p> <p>{$lang->about_reset_auth_mail_submit}</p> </form> </li>이 부분이 다른 이메일 어쩌고 이더군요. 지우면 이전 메일의 전송만 가능하더이다. ^^
추가적으로 메일주소 하나 적어주셔서 잊어먹었다면 운영자에게 메일주세요. 라고 하면 될듯.
-
카이닉스
2012.09.17 22:18
정말 좋은 방법입니다. 아예 폼을 없애버리니 인증메일 재전송에 대해 걱정할 일은 없을 것 같습니다. ^^
http://www.xpressengine.com/qna/21195254
지금 송동우님께서
'신규 메일 주소로 변경 후 인증 메일 발송' 부분에
특정 도메인의 이메일만 입력을 허용하는 방법에 대해서 알려주시고 계시는데
제가 부족해서 그런지 통 적용이 안되고 있네요 ㅠ
우선 ToFider 님께서 알려주신 방법으로 막아두고
추후 동우님께서 알려주신 방법으로 변경하면 될 것 같습니다.
정말 감사합니다!!
-
독도2005
2012.09.17 18:44
정말 ㄷㄷㄷㄷㄷㄷㄷㄷ 이군요....
뛰는 사이트 운영자 위에 나는 스패머.... ㅇㅅㅇ
혹시나 하고 글 하나 적습니다.
우선 메일인증으로 돌려봤는데 처음의 경우 정확히 해당 도메인으로 등록하라고 유도하더군요.
하지만 재 인증의 경우 다른 특정 도메인을 입력하라는 문구가 나오는데 혹시 나오지 않는지요?...
그렇다면 그 재 인증 문구에서 다른 도메인의 메일주소를 넣어버리면 그 메일주소로
등록되어 가입되어지는듯 합니다.
확인해보세요.