セキュリティ

メールアドレスの所有権確認をブラウザ経由で一瞬で済ませる新機能「Email Verification Protocol(EVP)」をChromeが試験提供中


ウェブサービスのユーザー登録で、ブラウザがメールプロバイダと直接通信して、ユーザーがメールアドレスを所有していることを確認できる「Email Verification Protocol」がChromeでテストされています。

Test the Email Verification Protocol with an origin trial  |  Blog  |  Chrome for Developers
https://developer.chrome.com/blog/email-verification-protocol-origin-trial

登録プロセスでメールアドレスを入力すると確認メールが届き、確認メールに記載されたリンクをクリックすることで、メールアドレスの所有者であることを確認する仕組みが一般的です。しかし、この仕組みではユーザーがいったんサイトを離れる必要があるため、そのまま登録を中断し、登録プロセスが完了しないリスクが高まります。


Email Verification Protocol(EVP)では、ユーザーがブラウザの自動入力候補からメールアドレスを選択してフォームを送信すると、ブラウザがメールプロバイダに問い合わせます。ユーザーがそのメールアドレスに対応するアカウントへログインしていることが確認されると、ウェブサイトに検証用のトークンが渡され、確認メールを送信しなくてもメールアドレスの所有者であることを証明できます。

EVPを利用するには、ユーザーが同じChromeプロフィールを使ってメールプロバイダのアカウントにログインしている必要があります。また、メールアドレスは手入力ではなく、Chromeの自動入力機能やオートコンプリート機能に表示された候補から選択しなければなりません。手入力したメールアドレスへの対応は、今後のリリースで追加される予定です。

初めて特定のメールアドレスをEVPで検証する際には、メールプロバイダがメールアドレスを確認することを許可するかどうか尋ねる画面が表示されます。この許可はメールアドレスごとに一度だけ求められ、検証が完了すると、メールプロバイダがメールアドレスを確認したことを知らせる小さな通知が表示されます。

具体的には、ブラウザがメールアドレスのドメインに設定されたDNSレコードを参照し、検証を担当するアカウント管理サービスを特定します。そのサービスがユーザーのログイン状態を確認して「Email Verification Token(EVT)」を発行し、ブラウザはEVTにウェブサイトのオリジンやフォーム固有の値を組み合わせて署名付きデータを作成します。

フォームが送信されると、ウェブサイトはメールアドレス、フォーム固有の値、発行元やブラウザによる署名などを検証します。すべての検証に成功すれば、そのメールアドレスが有効であり、現在ウェブサイトを操作しているユーザーがそのメールアドレスを所有していると判断できます。


Chromeによると、この処理によって検証を利用したウェブサイトの情報がメールプロバイダに伝わることはないとのこと。ウェブサイト側もフォームが送信されるまでは検証処理に関する情報を受け取らず、メールプロバイダ側には、対象のメールアドレスに対応するユーザーが存在するかどうかを確かめる要求だけが送信されます。

EVPは従来の確認方法を完全に置き換えるものではなく、既存の登録フローに追加できる機能として設計されています。ブラウザがEVPに対応していない場合やトークンの検証に失敗した場合、ウェブサイトは従来通り、確認メールやワンタイムパスワードを送信する方式に切り替えられます。

また、EVPで確認できるのは、ユーザーがメールプロバイダのアカウントにログインしており、そのメールアドレスを所有していることです。EVPは、ウェブサイトから送信したメールが実際にユーザーの受信トレイへ届くことまで保証するものではないため、ウェルカムメールや利用案内メールなどは引き続き送信する必要があります。

EVPはChromeのオリジントライアルとして試験提供されており、ウェブサイト運営者はオリジントライアルに登録し、専用トークンをページに設定することでテストできます。

Trial for Email Verification Protocol
https://developer.chrome.com/origintrials/#/view_trial/10696049115004929

Gmailもメールプロバイダとしてオリジントライアルに参加しているため、追加設定を行わなくても「@gmail.com」のメールアドレスで検証フローを試すことが可能です。


ただし、オリジントライアルは正式導入前に意見を集めるための実験であり、オリジントライアルを適用できるトラフィック量にも制限があります。メールプロバイダ向けのAPIも開発途中で、今後は後方互換性のない仕様変更やChrome上の表示変更が行われる可能性があるとGoogleは説明しています。

・関連記事
Google Workspaceユーザーに大手決済代行会社「Viva.com」の認証メールが届かない不具合が発生、原因はMessage-IDの欠落 - GIGAZINE

[email protected]」から送信されたように見えるフィッシングメール攻撃 - GIGAZINE

Google Workspaceアカウント作成でメール認証を回避し「Googleでサインイン」経由でサードパーティーアプリにアクセスする脆弱性をGoogleが修正 - GIGAZINE

「Appleでサインイン」時に使える「メールを非公開」機能にメールアドレスが漏れてしまう脆弱性あり - GIGAZINE

in ネットサービス,   セキュリティ, Posted by log1i_yk

You can read the machine translated English article Chrome is currently testing a new featur….