| Autor | Zpráva | ||
|---|---|---|---|
| cupie Profil * |
#1 · Zasláno: 16. 11. 2013, 14:30:49
Je z hlediska bezpečnosti rozdíl, když po registraci účtu do webové aplikace pošlu novému uživateli email s aktivační URL, na kterou musí kliknout a kliknutím aktivuje účet (současně ověří emailovou adresu), nebo když v emailu pošlu kód, který musí uživatel označit a zkopírovat, eventuálně ručně opsat, a vložit do formuláře na stránce, která následuje po registraci účtu?
V obou případech by měl aktivační kód omezenou platnost, např. 60 minut, a bude jednorázový. Aplikace je v PHP. Ptám se na možnosti využití útoků např. XSS, CSRF, nebo jiné druhy bezpečnostních rizik. Jestli lze nějak zneužít URL, nebo kód v emailu, a které z těch řešení je bezpečnější, nebo zda jsou rovnocenné. Samozřejmě první možnost je více "UX friendly", protože uživatel jenom klikne na odkaz, druhá možnost je otravnější, protože uživatel musí kód buď opsat nebo zkopírovat. Ale jde mi také o bezpečnost. |
||
| shaggy Profil |
#2 · Zasláno: 16. 11. 2013, 16:25:25
cupie:
„Samozřejmě první možnost je více "UX friendly", protože uživatel jenom klikne na odkaz, druhá možnost je otravnější“ Sám si si odpovedal - v obidvoch prípadoch posielaš kód na email (v prvom prípade je súčasťou URL, na ktorú má kliknúť, v druhom je vložený do textu), takže ak by sa niekto dostal k tomu mailu, v obidvoch prípadoch to vie zneužiť. A rovnako bezpečné/nebezpečné je vkladanie kódu buď cez formulár, alebo cez parameter v URL - záleží to od toho, ako je napísaná a zabezpečené aplikácia. |
||
|
Časová prodleva: 10 let
|
|||
0