attiva l'account utente tramite e-mail

3

Vedo molte persone dire hash per il token sulla verifica della posta elettronica quando si tratta della registrazione dei membri.

Mi chiedo, se il token di posta elettronica è solo per attivare l'account e nient'altro, il token di posta elettronica deve ancora essere sottoposto a hash? O ho bisogno di hash il token email?

Il mio pensiero : poiché non ha alcuna correlazione con le informazioni sull'account, non ha alcun effetto diretto / accesso all'account. anche l'utente prova a cambiare il token di posta elettronica, ma influirà solo sulla colonna active del database da 0 a 1 (inattivo su attivo).

    
posta Andrew 05.09.2015 - 09:32
fonte

2 risposte

2

La discussione che stai collegando in realtà dice che dovresti non come hash il tuo token, devi solo assicurarti che sia lungo e abbastanza casuale, citando Tom Leek:

Don't compromise, use a good PRNG. Don't try to make something yourself by throwing in hash function and the like; only sorrow lies at the end of this path.

Tuttavia, secondo la tua specifica preoccupazione, l'utilizzo di un token prevedibile scadente potrebbe consentire a un utente malintenzionato di abilitare gli account, come hai detto, ma soprattutto gli permetterà di farlo senza avere accesso all'indirizzo email associato , evitando così il ruolo del sistema di verifica della posta elettronica.

Ad esempio, un utente malintenzionato può creare un account sul tuo sito Web utilizzando un indirizzo email falso. Questo account potrebbe quindi essere utilizzato in attacchi di social engineering (l'attaccante potrebbe comportarsi come se fosse un dipendente di una grande azienda, un altro collega membro, ecc.).

    
risposta data 05.09.2015 - 11:09
fonte
1

Genera una stringa casuale crittograficamente protetta (ad esempio 128 bit) e usala per il token.

Sul lato server, è possibile eseguire l'hash con SHA-256 e memorizzarlo. In questo modo, se qualcuno esegue un attacco di SQL injection o simili, non sarà in grado di utilizzare nessuno dei token recuperati. Ancora una volta, il token fornito all'utente via e-mail è la versione non modificata.

    
risposta data 07.09.2015 - 12:31
fonte

Leggi altre domande sui tag