هو إرسال بريد إلكتروني لتنشيط حساب المستخدم دون سر سري في DB آمن بشكل معقول؟
https://stackoverflow.com/questions/1158258
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
أرغب في إنشاء تطبيق نشرة إخبارية، وسيتعين على المستخدمين بشكل طبيعي تأكيد أنهم اشتركوا في النشرة الإخبارية حتى لا نقوم بالتحدث إليهم إذا دخل بعض BOT للعناوين.
كانت فكرتي هي ببساطة إرسال المستخدم رسالة بريد إلكتروني يحتوي على رابط يحتوي على سر في عنوان URL، وهو تجزئة لعنوان البريد الإلكتروني وبعض Secret SiteKey.
أسئلتي هي ما يلي: هل يمكن لشخص ما عن طريق تسجيل عدد قليل من الحسابات وبالتالي استقبال التجزئة من سر مع عنوانه، تخمين SiteKey وبالتالي تسجيل كل عنوان بريد إلكتروني تريده؟
لا أرى أي شيء يمكن الحصول عليه من القيام بذلك، ولكن إذا كان الأمر سهلا للغاية، فستفعل فرص شخص ما وأحصل على القائمة السوداء.
السبب الخاص بي لعدم تخزين حساب المستخدم غير المنشط هو ببساطة لا أريد تطهيرها من DB كل أيام x.
المحلول
إذا كنت تأكد من استخدام شيء مثل Sha1. مع الملح عشوائي تماما / Sitekey تماما، فإنه سيكون غير مجدي لمحاولة عكس مهندس Sitekey مع هجوم قاموس.
اذا كان شخص ما فعل هل ترغب في توليف التجزئة الخاصة بهم لتسجيل العناوين التعسفية، فإن الاستخدام الأكثر فعالية لوقتهم هو الوصول إلى الخادم الخاص بك لقراءة شفرة المصدر :)
نصائح أخرى
أعتقد أنه سيكون من الأفضل توليد سر عشوائي والحفاظ عليه في DB. وبهذه الطريقة لا يوجد شيء يمكن تخمينه. (على الأقل ليس شيئا يمنح إذن أي البريد الإلكتروني).
