Autor Zpráva
hal_sk
Profil
Zdravím. Robím jednu internetovú službu, na ktorej sa môžu ľudia registrovať a vytvoriť si skúšobný profil. V registračnom formulári dám aj políčko pre mailovú adresu. Na túto adresu sa po úspešnom odoslaní formulára odošle mail s aktivačným linkom. Takto je to bežné aj inde. Zaujímalo by ma, či overenie mailu tu končí, alebo sa zvykne porovnávať aj IP užívateľa ktorý klikol na aktivačný link, s IP užívateľa ktorý sa registroval. Alebo či sa zvykne dávať nejaké časové obmedzenie na dobu funkčnosti aktivačného linku. Pre prípad že by bol mail zaslaný na chybne zdanú adresu (adresu niekoho iného) a on by chcel aktivovať cudzie konto.
Borius
Profil
hal_sk:
Tomu bych se v každém případě vyhnul. A pokud bych požadoval přístup ze stejné IP adresy, rozhodně bych na to důrazně upozornil.
Proč neověřovat identicitu IP adresy?
1) Někteří poskytovatelé připojení udělují tzv. dynamickou adresu, tzn. nikdy ji nemáte stejnou.
2) Mohu přistupovat odjinud. Např. zaregistrovat se v kavárně na free Wi-Fi, ale e-maily již načítat doma přes vlastní připojení. Nebo třebas přistoupit přes mobilního operátora.
Pokud zadá e-mailovou adresu někoho jiného, to nijak neošetříš. Dokonce ani kontolní otázkou, neboť „rozřešení“ se odesílá na prvotně zadaný e-mail.
Jediné, čím bys to mohl ověřit je – požadovat pro první přihlášení heslo. Tedy za předpokladu, že společně s potvrzovacím e-mailem nepošleš i heslo:)
Časové omezení rozhodně. Nebudeš přece „držet místo“ v databázi navždy.
hal_sk
Profil
Borius:
Fajn, dík.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: