Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
VeeValidate の"穴"を踏み抜いてしまった
Search
Takuya Eguchi (Akagire)
September 06, 2019
Technology
1
800
VeeValidate の"穴"を踏み抜いてしまった
Takuya Eguchi (Akagire)
September 06, 2019
Tweet
Share
More Decks by Takuya Eguchi (Akagire)
See All by Takuya Eguchi (Akagire)
Next.js に疲れた私は Vue3 に癒やされた
akagire
0
28
Secure な UX のために Content Security Policy について知っておこう
akagire
0
26
package.json がすごい
akagire
0
87
Nuxt.js のインスタンスライフサイクル総点検
akagire
0
260
Webエンジニアのデザイン実装との付き合い方
akagire
0
210
20200528 - GCPでもサーバーレスでRubyりたい!
akagire
0
120
継続的に楽しくプログラミングするには - 2018/11/3 Rails Girls Sendai
akagire
0
100
Other Decks in Technology
See All in Technology
Cracking the KubeCon CfP
inductor
2
250
どうするコスト最適化のトレードオフ
tetsuyaooooo
1
530
AOAI をきっかけに 社内の Azure 管理を見直した話
recruitengineers
PRO
1
290
Python と Snowflake はズッ友だょ!~ Snowflake の Python 関連機能をふりかえる ~
__allllllllez__
1
120
DevOpsメトリクスとアウトカムの接続にトライ!開発プロセスを通して計測できるメトリクスの活用方法
ham0215
2
240
ChatGPT for IT Service Management (IT Pro)
dahatake
7
1.6k
開発生産性大幅アップ!Postman VS Code拡張機能
nagix
2
380
Kernel MemoryでAzure OpenAI Serviceとお手軽データソース連携
mitsuzono
1
250
推しは推せるときに推せ! プロダクトにフィードバックしていこう
nakasho
0
320
Databricks における 『MLOps』
databricksjapan
2
170
現代CSSフレームワークの内部実装とその仕組み
poteboy
7
3.6k
VSCodeの拡張機能を作っている話
ebarakazuhiro
1
410
Featured
See All Featured
Designing Experiences People Love
moore
136
23k
Optimising Largest Contentful Paint
csswizardry
8
2.4k
Teambox: Starting and Learning
jrom
128
8.4k
How to train your dragon (web standard)
notwaldorf
73
5.2k
Git: the NoSQL Database
bkeepers
PRO
422
63k
In The Pink: A Labor of Love
frogandcode
138
21k
Building a Modern Day E-commerce SEO Strategy
aleyda
17
6.4k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
322
20k
A better future with KSS
kneath
231
16k
RailsConf 2023
tenderlove
4
540
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
40
4.4k
Visualization
eitanlees
136
14k
Transcript
VeeValidate の”穴”を 踏み抜いてしまった 2019.9.6 v-sendai #3 @楽天株式会社 江口 拓弥
自己紹介 江口 拓弥 v-sendai 皆勤賞で LT やってる人です。 最近の構成は、 Nuxt.js x
TypeScript x Firebase x Auth0 です! 2 akathea_
おことわり このLTで登場するコードは、全て v2系の内容になります… 29 Jul. - VeeValidate 3.0 is out
!!! 3 akathea_
VeeValidateとは? akathea_
“ Template Based Validation Framework For Vue.js 5 akathea_
非同期かつリアルタイムに バリデーションできる 6 akathea_ https://codesandbox.io/s/x2k1l2y17o
ドキュメントも豊富 7 akathea_
i18nも楽ちん! 8 akathea_
こんな感じでバリデーション <input name="mail" :value="mail" placeholder="メールアドレス" validate="required|email" validate-name="メールアドレス" /> 9 akathea_
超便利! akathea_
ある日、痛ましい事件が… 11 メールマガジンが配 信できなかったユー ザー見てたら メアドに全角文字 入ってるんだけどこ れはバグ? ?! 運用チーム
私 akathea_
(そもそも)メールアドレスの 正しいフォーマットって? akathea_
RFC 5322 13 http://srgia.com/docs/rfc5322j.html#p3.4 akathea_
実はこんなメールアドレスがある 14 ◦ ...hoge…@docomo.ne.jp □ 先頭や@直前に「.」は使ってはいけない。「 .」を2回以上連続して使ってはいけない。いけな いのだが、docomoのキャリアメールでは許可されている。 ◦ “hoge
huga”@example.com □ 「“」と「”」に囲まれていた場合、間にスペースが利用できる。 できるが、そもそもダブルクオート使えるメールサービスを知らない。 ◦ 管理者@ぶいせんだい.jp , föö@bår.de □ RFC 6530 によって、メルアド(ユーザー名、ドメイン名どちらも )に マルチバイトが許可された。 Gmailも 2014年に送受信に対応。 とはいえ見たことはない。 akathea_
実はこんなメールアドレスがある 15 ...確かに存在する…! ...するが…! ...こんなアドレスがあるはずがない…! v.sendai3@gmail.co 全角 明らかに typo akathea_
入力値をどうチェックすべきだった? 16 ◦ メールアドレスのベリファイ※は実施していたが 利用時の必須条件にしていなかった ※会員登録されたアドレス宛にワンタイムURL付き確認メールを送信 ◦ 何度も会員登録できる仕組みではなかった →ユーザーは登録ミスに気づいても再登録できなかった →厳格なチェックが必要だった
◦ 「メールアドレスに使える文字は半角だけ」 という固定概念があった ◦ VeeValidateを始め、有名なライブラリなら そのへんも面倒見ていると勘違いしてしまった akathea_
まとめ akathea_
まとめ 18 ◦ 有名なライブラリ・フレームワークにも穴はある □ そもそも日本人以外は、今回の事象を 穴とも思っていないかもしれない ▪ i18n と
l11n は違う ◦ メールアドレスに限らず、世の中の常識が変わっているという 可能性を常に考慮する □ 常に最新の情報をキャッチアップし続ける ◦ 厳格なチェックが必要なときはちゃんとテストする ◦ 本当に穴っぽかったらPR出していこう! akathea_
ご清聴ありがとうございました 19