Quando si registra per la maggior parte dei siti Web, perché è necessario confermare il proprio indirizzo e-mail?

15

Sto lavorando su un sito che consente agli utenti di registrarsi per un servizio. Scelgono un nome utente / password, inseriscono i loro dettagli personali, ecc. E procedono nel sito, i loro dettagli vengono archiviati per visite future.

Al momento, non chiediamo la conferma dell'indirizzo email dell'utente come fa la maggior parte dei siti web.

La funzione principale del sito è di elaborare le informazioni di pagamento per il servizio offerto ma il cliente probabilmente vorrà espandere la funzionalità del sito nel prossimo futuro.

Quindi la mia domanda è: dovrei implementare un sistema di conferma via email per i nuovi utenti e quali sono i rischi per il sito se non lo faccio?

    
posta bobble14988 15.08.2012 - 18:18
fonte

5 risposte

15

Dovrai essere sicuro che l'indirizzo e-mail di un utente sia corretto se hai intenzione di inviarti messaggi che sono:

  • sensibile alla sicurezza (ad es. token di reimpostazione password dimenticati) o
  • ricorrente / alta quantità, per evitare di molestare altre persone il cui indirizzo è stato inserito.

Normalmente si tratta di eliminare gli indirizzi errati che sono stati inseriti per errore rispetto ad alcuni attacchi dannosi.

Se non hai mai intenzione di inviare la posta all'indirizzo, la utilizzi davvero solo come nome utente in formato fisso e non è particolarmente necessario convalidarla. Ma immagino che questa sia un'opzione che probabilmente vorresti tenere aperta.

La convalida dell'e-mail non riguarda le registrazioni limitative della velocità. In questo è totalmente inefficace per qualsiasi cosa, tranne gli attacchi a bassa motivazione / non mirati, perché non vi è alcun fattore di scarsità negli indirizzi e-mail. È semplice per un utente malintenzionato registrare alcuni domini, utilizzare indirizzi e-mail casuali illimitati e convalidare utilizzando uno strumento automatico che legge le loro caselle di posta.

    
risposta data 15.08.2012 - 23:52
fonte
7

Se prevedi di inviare email a quell'indirizzo, devi verificarlo per evitare di essere identificato come spammer.

Se chiedi all'utente di accettare un contratto e non puoi verificare l'identità in base ad altre informazioni come un CC #, devi verificarlo. In caso contrario, se hai mai bisogno di andare in tribunale per violazione del contratto, non hai prove che la persona che stai citando in giudizio è stata quella che ha utilizzato il servizio.

Se sei legalmente richiesto per limitare l'accesso al tuo sito (ad esempio, a persone di una certa età), non adottare misure comuni come la verifica dell'e-mail potrebbe essere utilizzato contro di te come prova che tu Non sei seriamente interessato a filtrare la tua clientela, anche se hai altri metodi per filtrare.

    
risposta data 16.08.2012 - 08:40
fonte
4

Dovresti implementare la conferma via e-mail per i nuovi utenti, se non altro per "sala sicurezza", gli utenti si aspettano che una volta che si registrano per un servizio utilizzando un e-mail come identificatore si aspettano la verifica.

Facendo la tua domanda nel vuoto senza fare ulteriori ipotesi, il rischio per i tuoi utenti o per i potenziali utenti è relativamente basso. Il rischio per la tua infrastruttura potrebbe essere significativo, una volta che le tue ore di lavoro da risolvere e gli id degli utenti di IFP hanno superato la quantità di tempo che avrebbe impiegato per mettere in piedi un sistema per verificare gli indirizzi e-mail.

    
risposta data 15.08.2012 - 18:28
fonte
2

la conferma via email ti aiuterà a stabilire che la persona che dice che la loro email è [email protected] ha effettivamente il controllo di questa email.

I vantaggi di costringerli a confermare la loro email sono:

  • Verifica che l'indirizzo email sia esistente e che la posta possa essere inviata a
  • Verifica di avere effettivamente accesso alla posta in arrivo

should I be implementing an email confirmation system for new users and what are the risks to the site if I don't?

Se intendi inviare posta per qualsiasi motivo, è davvero una buona idea confermare l'indirizzo email.

Se non si conferma l'e-mail dell'utente, si rischia:

  • invio di email a qualcuno che non lo desidera
  • l'e-mail che si riprende perché non esiste
  • invio di informazioni sensibili all'indirizzo errato (questo potrebbe essere intenzionale dall'utente o potrebbero aver erroneamente digitato la loro email)
risposta data 06.08.2013 - 10:13
fonte
1

Perché è probabile che attirerai spammer che creano migliaia di account all'ora. Con la registrazione di un indirizzo email riduci in modo significativo questo numero.

    
risposta data 15.08.2012 - 18:20
fonte

Leggi altre domande sui tag