Registra automaticamente l'utente dopo aver fatto clic sull'e-mail di attivazione dell'account

3

Scenario: registrazioni degli account del forum, l'utente deve fare clic su un'e-mail di attivazione dopo essersi registrati, ad es. creano un account con nome utente, e-mail, password e un'e-mail viene inviata all'e-mail che selezionano. Devono fare clic per "attivare" l'account.

Supponiamo che tutti i passaggi fino al clic dell'email siano sicuri per il caso / scopo del sito.

Capisco che l'account email degli utenti potrebbe essere compromesso, ma questo non è nel nostro controllo.

Quali problemi di sicurezza sono presenti nello scenario in cui registriamo automaticamente l'utente quando fanno clic sul link di attivazione nell'email (e l'attivazione ha esito positivo)?

Ho letto le risposte nella domanda Accesso a un utente dopo la reimpostazione della password tramite link , e sembra che il motivo più strong per NON registrare automaticamente l'utente sia quello menzionato da Tom Leek es. l'utente non sapendo di aver effettuato l'accesso automaticamente e potenzialmente di lasciare il dispositivo incustodito con una sessione autenticata ancora aperta, ecc.

    
posta GWR 06.11.2015 - 13:58
fonte

2 risposte

3

Per molti siti il modello è che gli account sono controllati da chiunque abbia la password o abbia il controllo sull'account e-mail. Un accesso automatico è solo un'estensione di quel modello. Il link dovrebbe essere disponibile solo per quell'account e-mail e tale account e-mail dovrebbe essere disponibile solo per il titolare dell'account.

Detto questo, l'SMTP è un canale piuttosto cattivo su cui contare per la segretezza. Il tuo messaggio si sposterà su reti in chiaro e rimbalzerà attraverso più server di posta dove potrebbe essere memorizzato. Inoltre il link di attivazione potrebbe essere elaborato da un proxy dove viene memorizzato nei log. Potresti decidere di fidarti dell'email abbastanza per la fase di verifica, ma non per l'autenticazione o la reimpostazione della password.

Potresti provare un approccio ibrido in cui ottieni i vantaggi del login automatico e riduci al minimo i rischi per la sicurezza. Quando l'utente crea un account, crea una sessione per loro in uno stato di prova. Sai chi sono ma non permetti loro di accedere a nessuna funzionalità. Una volta attivato, modifica il loro stato da provvisorio a attivo e possono accedere alle funzionalità. Il solo collegamento non ti consentirà più di accedere al sito.

Se segui il tuo modello proposto, dovresti associare a tempo il token di login automatico, renderlo opportunamente difficile da indovinare e verificare che il token di attivazione corrisponda all'account utente. Non vuoi che le persone indovino i token e accedano ai tuoi account utente.

    
risposta data 06.11.2015 - 17:41
fonte
2

Un altro problema è il login csrf. Alcuni ricercatori dicono che si tratta di un problema a bassa priorità, ma alcuni dicono che non lo è. Login csrf è una vulnerabilità in cui un utente malintenzionato accede con il proprio account in un computer delle vittime. Considerare un hacker aggiungere il collegamento di attivazione in SRC di un tag IMG e inviarlo alla vittima. Dopo aver visualizzato la pagina, accedi come utente malintenzionato e può monitorare l'attività dell'utente.

    
risposta data 06.11.2015 - 14:58
fonte

Leggi altre domande sui tag