SSOとスクリーニング済みIP

mentalstring · 2020 年 12 月 8 日午後 2:44

ログインとアカウント作成には SSO を使用しています。当フォーラムでは、他の方法でのログインや登録はできません。

ただし、スクリーニング済み IP アドレスのリストには、毎日自動的に数十の IP アドレスが追加されています。これは想定された動作でしょうか？IP アドレスがスクリーニング済み IP アドレスのリストに追加される条件は何ですか？

codinghorror · 2020 年 12 月 9 日午後 6:26

私が思いつく唯一の方法は、アカウントを削除して「スパマーを削除」ボタンを選択する場合です。

mentalstring · 2020 年 12 月 9 日午後 6:47

良い指摘です。API を通じてアカウントを削除する際に、IP が「スクリーン済み IP」に追加されているのが問題ですね。

ただし、block_ip=false を指定して DELETE リクエストを送信しています。これは Rails のログからの抜粋です。

Parameters: {"delete_posts"=>"1", "block_email"=>"0", "blocked_urls"=>"0", "block_ip"=>"0", "id"=>"123"}

それにもかかわらず IP がブロックされているため、どこかにバグがあるのかもしれません。

mentalstring · 2021 年 6 月 7 日午前 10:45

そうかもしれませんし、違うかもしれません。私が使用しているのは、発見した唯一のユーザーの削除エンドポイントです。

DELETE /admin/users/{id}.json

このエンドポイントには、デフォルトで true になっている block_ip パラメータがあり、私は常にこれを false に設定しています。それにもかかわらず、IP アドレスがスクリーニング済み IP に追加されてしまいます。

codinghorror · 2021 年 6 月 7 日午後 6:39

ユーザーを削除する際、または「削除のみ」というボタンを押す際に、どのリクエストが送信されるかを正確に確認するために、Reverse engineer the Discourse API を参照することをお勧めします。

削除後に IP アドレスがスクリーンリストに追加されているのが見える場合、それは間違いなく、スパマーとしてユーザーを削除している（つまり、中央のボタンである「削除かつブロック」を使用している）からです。

mentalstring · 2021 年 6 月 8 日午前 10:53

既にその対応は行っており、削除用の API エンドポイントが両方のアクション（削除のみ、削除＆ブロック）で共通して使用されています。違いは、私が前述したパラメータ（block_ip、block_email など）にあります。

mentalstring:

ただし、block_ip=false を指定して DELETE リクエストを送信しています。これは Rails のログからの抜粋です。
Parameters: {"delete_posts"=>"1", "block_email"=>"0", "blocked_urls"=>"0", "block_ip"=>"0", "id"=>"123"}

私のリクエストに問題があった原因をようやく特定できました。Discourse の API は、真偽値（truthy/falsy）ではなく、文字列の ‘true’ と ‘false’ を必要とします。ドキュメントにその注意書きがあったのに見落としていた私の不注意でした。

これがおそらく、この混乱を引き起こしていた原因でしょう。

mentalstring · 2021 年 6 月 14 日午後 4:44

早とちりしていたかもしれません。

truthy/falsy パラメータを ‘true’/‘false’ の文字列に修正しましたが、ユーザーを削除する際に「スクリーン済み IP」や「スクリーン済みメール」にエントリが追加される現象は依然として発生しています。

以下は、API 呼び出し時の Rails ログです。

Started DELETE "/admin/users/9553.json" for 123.123.123.123 at 2021-06-10 00:01:21 +0000
Processing by Admin::UsersController#destroy as JSON
  Parameters: {"delete_posts"=>"false", "block_email"=>"false", "blocked_urls"=>"false", "block_ip"=>"false", "id"=>"9553"}
Can't verify CSRF token authenticity.
  Rendering text template
  Rendered text template (Duration: 0.0ms | Allocations: 1)
Completed 418  in 8ms (Views: 1.4ms | ActiveRecord: 0.0ms | Allocations: 2301)

一方、API ではなく Web インターフェース経由で実行した際の要求は以下の通りです。

Started DELETE "/admin/users/49.json" for 123.123.123.123 at 2021-06-10 08:24:47 +0000
Processing by Admin::UsersController#destroy as JSON
  Parameters: {"context"=>"/admin/users/49/XXX", "delete_posts"=>"true", "id"=>"49"}
  Rendered text template (Duration: 0.0ms | Allocations: 1)
Completed 418  in 23ms (Views: 4.7ms | ActiveRecord: 0.0ms | Allocations: 1778)

いくつかテストを行った結果、API エンドポイント /admin/users/{id}.json のパラメータは、実際に ‘true’ または ‘false’ に設定されているかに関わらず、存在する限り常に true として解釈されているようです。

その後、‘true’ のパラメータのみを設定し、‘false’ のパラメータは省略するようにしたところ、「スクリーン済み IP」や「スクリーン済みメール」へのエントリ追加は止まりました。

これは意図した動作でしょうか？ドキュメントで理解した内容とは異なりますが。

codinghorror · 2021 年 6 月 14 日午後 5:53

Reverse engineer the Discourse API のトピックに従って観測される動作をエミュレートしていれば、問題ありません。「delete only」ボタンを押したときに、ネットワークモニターでどのような API 呼び出しが観測されますか？

riking · 2021 年 6 月 14 日午後 6:07

場合によっては、JS が明示的に false をサーバーに渡さない場合、サーバーは存在する値をすべて true として扱います。おそらく、ここで遭遇している問題もこれに該当するでしょう。

トピック		返信	表示
How to delete user accounts via API without IP blocking SSO rest-api	11	289	2025 年 6 月 14 日
Can't SSO due to blocked IP addresses SSO rest-api	8	1964	2021 年 6 月 8 日
Does SSO make use of Screened IP Addresses to block registrations? SSO	8	901	2020 年 10 月 29 日
BAD CSRF Response When Trying to Delete User by API Support	7	984	2021 年 3 月 5 日
Unable to log into my discourse - "You can't log in as xxx from that IP address." Support	8	3218	2021 年 5 月 28 日

SSOとスクリーニング済みIP

関連トピック