Abbiamo un venditore che ci invia messaggi "sicuri". I messaggi vengono come un messaggio di posta elettronica che contiene un collegamento a un sito Web crittografato SSL con il messaggio reale. Non ci sono username / password sul sito collegato, o qualsiasi altra forma di autenticazione per quanto posso dire.
Sono sicuro che lo fanno in modo da poter spuntare una casella su una lista di controllo di conformità, ma voglio sapere, può davvero essere considerato sicuro?
Il mio pensiero è che, poiché il link stesso viene inviato in chiaro, non è diverso da quello che se avessero inviato il messaggio nella email in primo luogo. Qualsiasi utente malintenzionato che potrebbe essere in grado di accedere alla mia email, a riposo o in transito, può catturare e quindi visitare il link.
Quindi questo è sicuro, e se è almeno a un certo livello, quali problemi di sicurezza potrebbe risolvere? Esistono altre misure di sicurezza, non immediatamente evidenti, che potrebbero essere intraprese per garantire che solo il destinatario originale possa utilizzare il link?
Perché diverse risposte lo hanno menzionato. In questo caso non esiste un elenco di indirizzi IP in bianco o l'autenticazione proxy dietro le quinte.
Inoltre, c'è una data di scadenza elencata sul link, ma è abbastanza lontana nel futuro.