Qualcuno che conosco è registrato su un sito web della comunità in cui possono scambiare messaggi, ecc. Dando un'occhiata alla notifica via email che ricevono quando qualcosa di nuovo è stato pubblicato, contiene un'immagine con un link al loro sito web, qualcosa del tipo:
http://**********.org/****/id/abcdef0123456789abcdef0123456789
Dove ultima parte sembra essere una specie di hash un utente univoco , che quando segui quel link ti porta direttamente al sito web sotto l'account utente, no autenticazione richiesta!
Un po 'perplesso, ho fatto il test e l'ho provato copiando il link e usandolo su un sistema diverso in cui quel sito non è mai stato visitato prima e abbastanza sicuro con solo quell'URL che potevo accedere all'account utente senza intoppo.
Guardando i cookie memorizzati per questo sito web, uno è un PHPSESSID il cui valore non corrisponde all'ID dall'URL, quindi chiaramente che l'elemento hash deve fare riferimento a un account utente sul server, ignorando tutti i tipi di autenticazione.
Non sono esperto di web-tech, ma per curiosità che tipo di autenticazione si chiama? È un modo popolare di registrare l'utente? Questo, per me, non sembra affatto sicuro (ad esempio, la rete di sniffing può rivelare immediatamente queste informazioni).