확인 링크의 보안 흐름에 대한 질문이 있습니다.웹 응용 프로그램 계정 확인 보안 흐름
나는이 정보를 제출 한 후에 이메일 주소와 비밀번호를 기입해야하는 웹 사이트가 있습니다. 앱에서 사용자 이메일 주소로 보안 링크가있는 이메일을 보냅니다. 확인 이메일을 클릭하면 사용자가 애플리케이션 내부에 자동으로 로그인됩니다.
지금 질문 :
은 확인 링크의 클릭에 자동 로그인 사용자에게 보안 위험이 있습니까?
자동 로그인 사용자가 확인 링크를 클릭 할 때 보안 위험이 있습니까? 예, 아니오. 그것은 링크에 무엇이 있는지에 달려 있습니다. 내가 뭘 할 것인가는 무작위 적으로 생성 된 activate_code 데이터베이스에 두 개의 필드가 있고 기본값이 0 인 is_activated입니다. 그런 다음 활성화 링크에 대한 링크와 활성화 링크가있는 다른 전자 메일을 보냅니다. 활성화 링크를 클릭하면 사용자가 코드를 작성하고 계정이 활성화됩니다. 로그인 페이지로 리디렉션합니다. 사용자 이메일 또는 기타 정보를 보내지 마십시오. 그냥 임의의 코드 또는 비슷한 것을 보내십시오 그건 내 센트입니다!
예 보안 우려가 있습니다 (Gumbopoints out).
사용자가 이메일 & 암호를 제공했기 때문에 확인 페이지에 액세스하려면 로그인해야합니까?
"[...] 내 앱이 사용자 이메일 주소에 보안 링크가있는 안전하지 않은 * 이메일을 전송합니다.";) – Gumbo
@Gumbo 죄송합니다 안전하지 않은 이메일입니까? –
메일 서버,받는 사람의 메일 서버, 마지막으로받는 사람의 클라이언트 컴퓨터 간의 모든 연결이 보호되지 않으며 배달과 관련된 당사자를 신뢰할 수 있음을 알 수 있습니다. 자세한 내용은 [이메일 개인 정보 보호 문제] (http://en.wikipedia.org/wiki/Email#Privacy_concerns)를 참조하십시오. – Gumbo