Gli spambot possono accedere alle pagine disponibili solo agli utenti registrati e autenticati?

Naviga le tue risposte
2

Ho un'applicazione web in cui gli utenti si registrano e sono attivati tramite una e-mail inviata all'indirizzo e-mail che hanno fornito.

Poi ci sono pagine che sono visibili solo agli utenti registrati (l'accesso non utente è limitato controllando l'esistenza di un oggetto utente nella sessione).

Su queste pagine riservate vorrei visualizzare un elenco che include gli indirizzi email degli altri utenti.

Devo ancora prendere delle precauzioni per offuscare gli indirizzi e-mail in modo che siano protetti da bot spam e simili? O è sufficiente che la pagina non sia accessibile agli utenti non autenticati?

Modifica: le e-mail sul mio sito non sono particolarmente preziose e non è un sito con materiale molto sensibile. Semplicemente non voglio che gli utenti siano infastiditi dallo spam.

    
posta theyuv 07.10.2015 - 20:27
fonte

1 risposta

2

Ci sono molti punti individuali qui. Innanzitutto, chiarisco alcune cose:

  • Personalmente, considero gli indirizzi e-mail Personally Identifiable Information (PIN) e quindi devono essere protetti. La mia regola empirica personale è che se chiedo un utente per questo, allora non è già noto e quindi deve essere protetto.
  • L'offuscamento non sempre previene la perdita di dati (e-mail), ma può solo rallentare o rallentare leggermente il processo (ma solo se implementato correttamente)
  • Presumo che tu disponga di un'applicazione web protetta e ti chiediamo solo se puoi ragionevolmente presumere la sicurezza nelle pagine in cui gli utenti hanno autenticato correttamente.

La risposta rapida è (supponendo che l'app Web e l'autenticazione siano state implementate correttamente).

Ci sono cose importanti da considerare però:

  • Gli "spambots" automatici possono e fanno infiltrarsi in molti sistemi con meccanismi di autenticazione. Ad esempio, la tua app come definita si limita a verificare che un utente registrato abbia un indirizzo email valido, questo è abbastanza facile da aggirare.
  • Assicurati di implementare correttamente i tuoi processi di autenticazione. IE assicurati che il tuo processo di controllo per l''oggetto utente' sia crittograficamente sicuro. senza ulteriori dettagli su come lo fai, non posso dirlo con certezza.

Una semplice alternativa alla visualizzazione di indirizzi email reali degli utenti sarebbe quella di utilizzare un servizio di inoltro della posta elettronica (come fa craigslist) o un sistema di messaggistica interno.

    
risposta data 07.10.2015 - 20:48
fonte

Leggi altre domande sui tag

infezione da xcodeghost in un dispositivo byod L'autenticazione PKE può essere utilizzata come alternativa migliore a SRP?