2 段階認証のバックアップコードが有効な場合、新しいメールアドレスの確認ができない

arun · 2019 年 11 月 12 日午前 10:59

「2 要素認証のバックアップコード」が有効になっている場合、新しいメールアドレスの確認が以下のエラーで失敗します。

おっと

このディスカッションフォーラムを動かしているソフトウェアで予期せぬ問題が発生しました。ご迷惑をおかけして申し訳ありません。

エラーに関する詳細情報はログに記録され、自動的に通知が生成されました。確認いたします。

それ以上の操作は不要です。ただし、エラーが継続する場合は、エラーの再現手順などを含めた追加情報を、サイトのフィードバックカテゴリにトピックを投稿して提供してください。

これは複数の Discourse 環境で発生しており、特定の環境に限定されるものではありません。

「2 要素認証のバックアップコード」機能を無効にすると問題が解消され、メール確認が正常に完了します。

問題の再現手順:

任意の Discourse 環境（テストには https://try.discourse.org/ を使用可能）でアカウントを開始
TOTP を使用して 2FA を設定（物理セキュリティキーでのテストは実施していません）
アカウントのメールアドレスを変更
新しいメール受信トレイに送信された確認メールをクリック。確認が成功する点に注意。
2FA 設定で「2 要素認証のバックアップコード」を有効化
アカウントのメールアドレスを再度変更
最新のメール受信トレイに送信された確認メールをクリック。前述のエラーで確認が失敗する点に注意。
「2 要素認証のバックアップコード」を無効化
メールアドレスを再度変更
最新の宛先に送信された確認メールをクリック
TOTP コードの入力を求められます
今回は最新のメールアドレスの確認が正常に完了します。

codinghorror · 2019 年 11 月 12 日午後 7:00

管理者としてログインした状態で、Web ブラウザの /logs を確認して、実際のエラーを確認しましたか？これが実際のバグであれば、私たちのサイトでも同じ問題が発生していたはずです。

featheredtoast · 2019 年 11 月 12 日午後 7:05

また、これはセキュリティキーによるものですか、それとも TOTP トークンによるものですか？いずれにせよ、確認するために、具体的な再現手順（開発環境、または try.discourse.org 上でのもの）が必要です。

Whitestrake · 2019 年 11 月 12 日午後 11:17

補足ですが、Caddy のフォーラムには関連するログされたエラーはなさそうです。

arun · 2019 年 11 月 13 日午前 2:33

スレッドを相互にリンクしてくれてありがとう！

arun · 2019 年 11 月 13 日午前 2:33

ご指摘ありがとうございます。これは「2要素認証のバックアップコード」が有効になっている場合のみ問題が発生することがわかりました。新しい詳細と再現手順を投稿に追加しました。

codinghorror · 2019 年 11 月 13 日午前 2:37

@tshenry、これらの再現手順についてどう思いますか？この順序は少し奇妙に思えます。

arun · 2019 年 11 月 13 日午前 2:55

メールを複数回更新する必要があるという意味ではありません。バックアップコードが有効な場合のみメール認証が失敗し、それ以外の場合は失敗しないことを示しています。

tshenry · 2019 年 11 月 13 日午後 5:54

ここには明らかなバグがあります。再現手順を少し明確にします：

TOTP を使用して 2FA を設定
バックアップコードを有効化
メールアドレスを変更
確認メール内の検証リンクを選択
“Oops” ページが表示される

バックアップコードを無効にすると、同じメール検証リンクを使用しても即座に問題が解決することを確認しました。

エラーログには以下が表示されます：

ActionView::Template::Error (Missing partial common/_second_factor_form_script with {:locale=>[:en_US, :en], :formats=>[:html], :variants=>[], :handlers=>[:raw, :erb, :html, :builder, :ruby]}. Searched in:
  * "/var/www/discourse/app/views"
)
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/actionview-6.0.1/lib/action_view/path_set.rb:48:in `find'

これは、こちらの行に関連していると考えています：https://github.com/discourse/discourse/blob/master/app/views/users_email/confirm.html.erb#L36

この行は、実際に存在しないファイルを参照しています：discourse/app/views/common at main · discourse/discourse · GitHub

codinghorror · 2019 年 11 月 13 日午後 6:18

@arun さん、ありがとうございます。@eviltrout さん、これを修正しましょう。

blake · 2019 年 11 月 14 日午後 11:32

この問題は以下のコミットで修正されました：

github.com/discourse/discourse

FIX: Confirm new email with backup codes enabled

committed 11:27PM - 14 Nov 19 UTC

oblakeerickson

+29 -14

This is a fix for this bug: https://meta.discourse.org/t/-/133185?u=blake wher…e rails would throw a missing template error when trying to confirm a new email address when you had two factor backup codes enabled. Apparently this feature broke during this commit: 68d35b14f4b5193c1bae0f175b9e461152e13ac7 when a partial that contained a lot of javascript was removed most likely because it didn't comply with our Content Security Policy, so as a fix I rewrote the previous js functionality without using any javascript and then added a spec to verify that the correct backup code form is displayed when that page is loaded.

トピック		返信	表示
User can't change his email address Support	10	765	2023 年 7 月 24 日
Disable two factor auth with only backup codes Support	10	1340	2019 年 3 月 5 日
Generating 2FA backup codes not available after adding an Authenticator Bug 2fa	5	219	2025 年 10 月 11 日
Verification and backup emails not sent. Test mail ok Support	9	621	2021 年 5 月 12 日
On email address change second confirm fails due to email customization Support	20	1979	2019 年 12 月 26 日

2 段階認証のバックアップコードが有効な場合、新しいメールアドレスの確認ができない

関連トピック