パスワード初期化

[yy]

OpenIDを利用しているサイトからログインしようとして、openid.dbcls.jp の認証ページにリダイレクトされてきた際に、パスワードの初期化手続きを行うと、振る舞いが不適切になります。

例えば以下のような手順で再現性が確認されています。
0. openid.dbcls.jp からサインアウト (既にサインインしている時)
1. lifesciencedb.jp にアクセス
2. lifesciencedb.jp サイト右上からログイン
3. DBCLS OpenID Service サインイン画面が出たら，左側のメニューから「パスワードを忘れた方はこちら」をクリック
4. ID, メールアドレスを入力後，送信ボタンを押す
5. 来たメールの URL をブラウザに入力
6. 新パスワード，新パスワード(確認用)を入力
7. 初期化ボタンを押す

問題点は以下の通りです。
・ 4.の後「メールを送った」旨のメッセージがでない
・ 7.の後「初期化に成功しました」旨のメッセージがでない
です． WindowsVista における、FireFox, MSIE 7.0.6, Safari、Mac OS における、Safari 3.1.2, Firefox 3.0.1 において再現性を確認済み。

大変申し訳ありません。
上記現象につきましては、14日(木)にご報告いたします。
ご迷惑おかけいたしますが、今しばらくお待ちください。
よろしくお願いいたします。

上記現象について再現する事を確認いたしました。
現在原因を調査中です。

対応は来週以降となりそうですが、OpenIDサーバの追加開発が始まります。
同じリポジトリを使用する事もあり、できれば追加開発と同時期に修正、
本番環境にリリースとさせていただければと思います。

よろしくお願いいたします。

この件についての原因を調査いたしました。

コンシューマからの認証依頼中は、OpenID サーバ内部で特殊な制御フローを取っており、その仮定で表示すべきメッセージが消えているというのが主原因でした。

また根本的に、OpenID サーバアプリケーション開発中におきまして、「コンシューマからの認証依頼中におけるパスワード初期化依頼」というフローを想定しておらず、検証仮定において抜けが発生し、今回の障害にいたりました。

大変申し訳ありませんでした。

対応策といたしまして、「コンシューマからの認証依頼中におけるパスワード初期化依頼」時に消えたメッセージを消えないように処理を施すようにいたします。

また、それに加えて、ご相談があります。

「コンシューマからの認証依頼中」という状態は非常に不安定でありまして、そういった不安定な処理をしている間に「パスワード初期化」の処理をはさむとなると、本件のような想定外のケースが発生しやすくなります。

そこで、できれば「コンシューマからの認証依頼中にパスワード初期化依頼」が行われた場合は、「コンシューマからの認証依頼」を中断し、その後は「パスワード初期化」のみを行い、「コンシューマからの認証依頼」は改めて行っていただくというフローにさせていただけないでしょうか?

2008/08/29 の打合せにて内容を確認して頂きましたので、closed とさせて頂きます。