Come prevenire la scoperta della posta elettronica nei moduli?

Naviga le tue risposte
11

Essendo presente nell'elenco di e-mail di sicurezza della società, ricevo e-mail con regolarità lamentando l'individuazione di e-mail su vari moduli sul sito Web dei datori di lavoro. I giornalisti si lamentano di cose come il nostro modulo di login che restituisce un messaggio specifico come "La tua password non è corretta." piuttosto che "L'email / password fornite non sono corrette." Ciò consente ai possibili aggressori di sapere che un determinato indirizzo email è in uso per un account.

Capisco il problema qui, ed è facile cambiare la messaggistica per un modulo di login o di recupero dell'account. Tuttavia, cosa posso fare su un modulo di iscrizione. Vogliamo solo un account per ogni dato indirizzo email. Ho esaminato alcuni dei servizi online più diffusi e i loro moduli di iscrizione ti dicono specificamente che l'indirizzo email è in uso.

Non c'è proprio modo di aggirare questo? In tal caso, dovrei prestare particolare attenzione alle persone che si lamentano del ritrovamento della posta elettronica nel modulo di accesso?

    
posta Endophage 27.12.2013 - 00:48
fonte

2 risposte

12

Questo può essere risolto implementando un messaggio fuori banda .

Per risolvere questo problema, avrei un modulo che può essere utilizzato per due scopi:

  1. Recupero dell'account.
  2. Registrazione nuovi utenti.

Il singolo campo su questo modulo è Email address . Ovviamente puoi utilizzare un testo diverso a seconda che l'utente desideri recuperare il proprio account o registrarsi, ma il modo in cui funziona sarà lo stesso.

Una volta che l'utente ha inserito il proprio indirizzo email e ha fatto clic su Next , verrà visualizzata la stessa risposta per qualsiasi indirizzo inserito. Qualcosa di simile a Thank you, please check your email account for the provided address .

Il messaggio "fuori banda" inviato al loro indirizzo email dirà Please follow the link to recover your account o Please follow the link to sign up to our service e conterrà i collegamenti appropriati che includeranno un token a tempo limitato per consentire all'utente di recuperare il proprio account o registrarsi come necessario. L'unica cosa che determina il testo di questo messaggio è se esiste un account per il proprio indirizzo e-mail all'interno del sistema, non importa se l'utente ha seguito il recupero dell'account o i nuovi collegamenti di registrazione dell'utente. Poiché dovrebbero essere l'unico utente in grado di leggere le loro email, questo dovrebbe impedire enumerazione del nome utente . Il token sarà associato all'email fornita che impedirà all'utente di tentare la registrazione utilizzando un indirizzo diverso o di reimpostare la password di qualsiasi altro account. Ciò ha anche l'effetto di convalidare l'account di posta elettronica per nuove iscrizioni.

    
risposta data 28.12.2013 - 16:41
fonte
6

Penso che la soluzione migliore per evitare l'enumerazione delle e-mail in una situazione come questa è aggiungere un CAPTCHA nel modulo di registrazione. Affinché un attacco di enumerazione della posta elettronica funzioni, un utente malintenzionato deve automatizzare l'invio di un numero molto elevato di e-mail per vedere quali hanno account.

Aggiungendo un CAPTCHA è molto difficile automatizzare efficacemente questo tipo di attacco e puoi comunque fornire messaggi informativi durante la registrazione.

    
risposta data 27.12.2013 - 01:19
fonte

Leggi altre domande sui tag

Cos'è la mutazione XSS (mXSS)? Convalida una catena di certificati SSL in base a RFC 5280: Sto capendo correttamente?