Tecniche di conferma dell'email nei siti principali

Naviga le tue risposte
2

Il modo in cui ho sempre compreso che le conferme di posta elettronica funzionano è che l'utente si registra sul sito con la propria e-mail e quindi per effettuare l'accesso deve verificare la propria e-mail.

Se non hanno verificato la loro e-mail, semplicemente non riescono ad accedere. Ho notato che alcuni siti Web importanti, ad esempio, consentono di registrarsi e accedere senza verifica tramite e-mail.

Ad esempio, Twitter ti permette di registrarti, una volta che ti sei registrato ti fa accedere. C'è un messaggio visualizzato che devi verificare la tua e-mail per usare il sito, ma il sito è ancora utilizzabile senza di esso.

Facebook ha anche una procedura simile in cui è possibile accedere senza verificare. Sono disponibili anche molte funzionalità, come la possibilità di scrivere sui server (pubblica tweet e stati) e leggere le informazioni.

La mia domanda è quale potrebbe essere il processo di pensiero qui? Se consenti alle persone di accedere senza verificare, qual è il punto di verifica della posta elettronica? In che modo la verifica e-mail fornisce quindi una sicurezza extra?

    
posta user2924127 29.06.2015 - 18:37
fonte

3 risposte

4

La verifica e-mail non offre ulteriore sicurezza. Si convalida solo che l'utente appena registrato è il legittimo proprietario di quell'indirizzo email.

Per motivi di sicurezza, una best practice per un sito web sarebbe di non inviare alcuna email a un indirizzo email non confermato . Ciò impedisce la divulgazione di informazioni a qualcuno che ha digitato erroneamente il suo indirizzo email.

In ogni caso dovresti incoraggiare gli utenti a confermare rapidamente il loro indirizzo email: molto spesso l'indirizzo email è il modo principale per recuperare una password persa. Un utente con un indirizzo e-mail non confermato e una password persa verrebbero rovinati se non ci fosse un modo alternativo per recuperare la sua password.

Inoltre, se l'indirizzo email errato è effettivamente l'indirizzo di qualcun altro, questa persona potrebbe confermare l'indirizzo email e utilizzare il recupero della password per ottenere l'accesso all'account originale dell'utente.

    
risposta data 29.06.2015 - 22:02
fonte
1

Lo scopo della verifica della posta elettronica per la maggior parte dei servizi è garantire l'unicità dell'utente (e quindi, si spera, umanità) in modo che il fornitore possa resistere con l'installazione di molte legioni di account spam (è ancora possibile, solo più difficile) . Nel ricevere una risposta, il servizio può quindi negare a qualsiasi futuro utente da quell'indirizzo e-mail di avere un account univoco, e non deve usare alcuna tecnica speciale per farlo (il tipo che un dominio affidabile userebbe, come l'invio di un SMS o gasp in ricarica per il servizio.)

Lo stai pensando come un modo per convalidare l'identità / autenticità degli utenti, che non è realmente il punto di una "verifica" delle email nonostante le pretese. Per fare ciò, un sito potrebbe impiegare sia un modo per controllare un utente contro fonti di informazione gratuite (documenti giudiziari, ecc.), Sia più comunemente utilizzerebbero una serie di domande sullo stile del rapporto di credito. Per la maggior parte, il sito potrebbe interessare meno chi sei o se sei chi dici di essere, a patto che non invii spam tramite il loro servizio (dal momento che fare soldi con i bulbi oculari è il loro lavoro.)

Alla tua domanda esatta, una volta che l'indirizzo email è stato attribuito all'account, il lavoro è stato svolto e la verifica è solo per un secondo se / quando ci sono delle domande sull'unicità dell'utente.

    
risposta data 29.06.2015 - 19:55
fonte
0

La verifica e-mail blocca lo spam e convalida che l'utente abbia questa e-mail. Prima di inviare all'utente un messaggio e-mail (o qualche messaggio confidenziale come banca), sai che stai inviando questo messaggio a questo utente, che non ha sbagliato nello scrivere l'indirizzo e nessun altro.

    
risposta data 29.06.2015 - 18:55
fonte

Leggi altre domande sui tag

Come estendere la validità del certificato x509 Cosa può fare un hacker al mio router di casa se ho la pagina di amministrazione abilitata esternamente? [duplicare]