Autor Zpráva
JanB
Profil
Myslíte, že je bezpečné realizovat přihlašování na web přes odkaz, který dostane každý uživatel do mailu?
Pak by stačilo jen kliknou na tento odkaz a automaticky by se zobrazil web kde by byl uživatel rovnou přihlášený.
Není tak nutné si pamatovat heslo.

Aktivační odkaz by mohl být ve tvare náhodného řetězce, který by byl uložen v db. A jen by porovnal s hodnotou v parametru GET.

Jsou zde nějaké bezpečostní hrozby?

Děkuji za každý názor:-)
jenikkozak
Profil
Riziko je velké:
- URL se celá ukládá do počítače do historie a do oblíbených položek.
- Sdílení odkazu na stránku by vedlo k tomu, že by byli všichni příchozí přihlášení.
- Ve výchozím nastavení prohlížeče takovou adresu uloží i do referreru, vyzradí tedy přihlašovací heslo při přechodu na jiný web. Tato URL se pak může zobrazit v nějakých statistikách.
margin
Profil *
Rizika popsal jenikkozak lépe, než bych to udělal já.
Je to v podstatě tajná adresa, akorát že každý uživatel by měl svoji.

Aktivační odkaz by mohl být ve tvare náhodného řetězce
Pokud by to byl jen aktivační odkaz z časově omezenou platností, tak je riziko nižší. Pokud by šlo o stránky kde o nic nejde, tak si myslím, že nevadí, pokud bude uživatel po kliknutí na aktivační odkaz přihlášený. Ale pokud by o něco šlo (peníze, citlivá data...), tak si myslím, že bude správné, když se uživatel přihlásí, i když tím pár milisekund času ztratí.
DJ Miky
Profil
Jako uživatel uvítám, když se kliknutím na aktivační odkaz v mailu ocitnu na webu již přihlášený (pokud se nejedná o web pracující s citlivými daty, penězi apod., jak psal výše margin). Jako podmínku bych dal jednorázovost – uživatel klikne na odkaz, účet se označí jako aktivovaný a aktivační kód se zruší nebo smaže. Tím pádem opětovné kliknutí již nic neudělá a rovněž nebude vadit sdílení odkazu nebo jeho únik přes referer.

Únik na jinou stránku přes referer by se však stávat neměl, vždy by mělo hned po aktivaci následovat přesměrování na adresu bez aktivačního kódu.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: