Autor | Zpráva | ||
---|---|---|---|
JanB Profil |
#1 · Zasláno: 7. 8. 2013, 11:57:08
Myslíte, že je bezpečné realizovat přihlašování na web přes odkaz, který dostane každý uživatel do mailu?
Pak by stačilo jen kliknou na tento odkaz a automaticky by se zobrazil web kde by byl uživatel rovnou přihlášený. Není tak nutné si pamatovat heslo. Aktivační odkaz by mohl být ve tvare náhodného řetězce, který by byl uložen v db. A jen by porovnal s hodnotou v parametru GET. Jsou zde nějaké bezpečostní hrozby? Děkuji za každý názor:-) |
||
jenikkozak Profil |
#2 · Zasláno: 7. 8. 2013, 12:06:42
Riziko je velké:
- URL se celá ukládá do počítače do historie a do oblíbených položek. - Sdílení odkazu na stránku by vedlo k tomu, že by byli všichni příchozí přihlášení. - Ve výchozím nastavení prohlížeče takovou adresu uloží i do referreru, vyzradí tedy přihlašovací heslo při přechodu na jiný web. Tato URL se pak může zobrazit v nějakých statistikách. |
||
margin Profil * |
#3 · Zasláno: 7. 8. 2013, 12:20:12
Rizika popsal jenikkozak lépe, než bych to udělal já.
Je to v podstatě tajná adresa, akorát že každý uživatel by měl svoji. „Aktivační odkaz by mohl být ve tvare náhodného řetězce“ Pokud by to byl jen aktivační odkaz z časově omezenou platností, tak je riziko nižší. Pokud by šlo o stránky kde o nic nejde, tak si myslím, že nevadí, pokud bude uživatel po kliknutí na aktivační odkaz přihlášený. Ale pokud by o něco šlo (peníze, citlivá data...), tak si myslím, že bude správné, když se uživatel přihlásí, i když tím pár milisekund času ztratí. |
||
DJ Miky Profil |
#4 · Zasláno: 7. 8. 2013, 14:09:14
Jako uživatel uvítám, když se kliknutím na aktivační odkaz v mailu ocitnu na webu již přihlášený (pokud se nejedná o web pracující s citlivými daty, penězi apod., jak psal výše margin). Jako podmínku bych dal jednorázovost – uživatel klikne na odkaz, účet se označí jako aktivovaný a aktivační kód se zruší nebo smaže. Tím pádem opětovné kliknutí již nic neudělá a rovněž nebude vadit sdílení odkazu nebo jeho únik přes referer.
Únik na jinou stránku přes referer by se však stávat neměl, vždy by mělo hned po aktivaci následovat přesměrování na adresu bez aktivačního kódu. |
||
Časová prodleva: 11 let
|
0