البريد الإلكتروني وإعادة الاستخدام عناوين URL رمز
https://stackoverflow.com/questions/1685343
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
أنا أقوم ببناء موقع يوفر وظيفة للمستخدمين دون الحاجة إلى التسجيل. تتمثل الفكرة في إرسال بريد إلكتروني إلى العنوان المحدد الذي يحتوي على رابط مع رمز مميز. وبهذه الطريقة يمكن للمستخدم هذا الرابط في أي وقت يريدون إجراء تغييرات على الوظيفة.
بينما أدرك أنه لا توجد وسيلة لتأمين هذا المفهوم حقا، فأنا أبحث عن خيارات لتقليل رؤية الرمز المميز. في حالتها الحالية، قريبا نظرا لأن المستخدم ينقر على الرابط يضاف إلى سجل المتصفح الخاص بهم، متاح لأي شخص لديه حق الوصول إلى الكمبيوتر.
في معظم الحالات، أتعرض هذا مع شكل بسيط بحيث يمكن تمرير الرمز المميز من خلال طلب ما بعد ذلك، لكن الأشكال غير مدعومة حقا في رسائل البريد الإلكتروني.
إذن السؤال هو، هل يعرف أحد بطريقات بديلة لإخفاء الرمز المميز في مثل هذه الرسالة الإلكترونية؟
المحلول
أنا متأكد من أنك فكرت في هذا، لكن يمكنك إرسال كلمة مرور ورابط بعنوان URL حيث يحتاجون إلى إدخال كلمة المرور هذه. إذا كان عنوان URL الخاص بالبريد الإلكتروني يحتوي على كلمة مرور أخرى، فستكون حل وسط أصغر للأمن أكثر من المعتاد لجعل كلمة المرور التي تم إدخالها إلى المستخدم قصيرة تماما، مثل رقم التعريف الشخصي، كما يقول.
نصائح أخرى
يمكنك إعادة إرسال رمز جديد في كل مرة يريد المستخدم تسجيل الدخول فيها. اطلب منهم بلوب في عنوان بريدهم الإلكتروني وإرسالهم رمزا جديدا، أثناء تعيين الرموز الرموز السابقة "منتهية الصلاحية". أو، إذا اكتشف الخادم أن يتم استخدام الرابط / الرمز المميز القديم، فيمكنه تلقائيا إرسال واحدة جديدة إلى عنوان البريد الإلكتروني المرتبط واطلب من المستخدم التحقق من بريده الإلكتروني للحصول على رابط جديد.
من شأنها أن تتطلب تتبع الرموز القديمة المنتهية الصلاحية وعناوين البريد الإلكتروني المرتبطة، ولكن لا تزال لا تتطلب أي تسجيل - فقط أن المستخدم تحقق من بريده في كل مرة يرغبون في تسجيل الدخول. من الأساس أن تكون ثنائية الدعم على مصادقة البريد الإلكتروني الخاصة بهم.
كما أنه سيعرض بديهية للمستخدمين.
هذا من شأنه أن يتحول الرمز إلى nonce التشفير, ، والتي تستخدم في المقام الأول لمنع اعادته الهجوم الذي ذكرته.
إجابة أخرى، ربما أكثر فائدة:
لا تسجل بعض المتصفحات (مثل Chrome) 301 "نقل بشكل دائم" في سجل المتصفح. فايرفوكس، ولكن هناك اقتراح لتغيير ذلك:https://wiki.mozilla.org/browser_history:retirects.
على سبيل المثال، في Chrome، إذا انتقلت مباشرة إلى
Amazon.com.
سوف تتبع 301 إعادة توجيه إلى
www.amazon.com.
إذا قمت بعد ذلك بالتحقق من سجل المتصفح الخاص بك، فسيتم عرضه فقط
www.amazon.com.
وبالتالي، إذا عرج الخادم الخاص بك إعادة توجيه 301 من رابط تسجيل الدخول، فيمكن للخادم تسجيل الرمز المميز، وإزالته من رابط إعادة التوجيه، وسيقوم مستعرض المستخدم بتسجيل رابط إعادة توجيه فقط.
(هذه هي المرة الأولى التي تستجيب فيها في تجاوز سعة المكدس - اسمحوا لي أن أعرف ما إذا كانت كتاباتي غير واضحة أو إذا فقدت آداب أخرى)
