L'accesso automatico del thread dall'implementazione della posta elettronica è sicuro / buona esperienza utente?

2

Per quanto posso dire thread.com registra automaticamente i propri utenti in base a un token nelle loro e-mail, accodato all'URL.

ad es. link

Questa è una funzionalità davvero utile e fantastica e semplifica l'interazione con il sito senza dover ricordare / accedere in qualsiasi momento.

Tuttavia, salvano anche i dettagli della carta di credito e dell'indirizzo per un checkout facile.

Quindi, a meno che non mi sfugga qualcosa, se un utente ha inoltrato una delle sue e-mail a qualcuno e dice che è stata nuovamente inoltrata, chiunque può accedere al proprio account, vedere le proprie informazioni personali e fare casino con i propri soldi. Puoi anche trovare l'URL nella cronologia di un browser e accedervi lì.

Sono io o è un enorme difetto di sicurezza e, se il peggio accade, quindi un'esperienza utente terribile. I benefici sono brillanti ma i rischi potenziali sembrano superare di gran lunga tali benefici.

Se mi sono perso qualcosa e questo è fatto in modo sicuro, come lo stanno facendo?

link

    
posta Tomass 26.11.2014 - 12:14
fonte

2 risposte

2

Dal mio punto di vista probabilmente ha approssimativamente lo stesso livello di sicurezza che ti consente di reimpostare la tua password usando solo un indirizzo email. In sostanza, se puoi richiedere una reimpostazione della password che ti verrà inviata tramite e-mail, e un clic dopo ne imposti una nuova, è la stessa cosa.

Ora, l'inoltro di tale e-mail contiene gli stessi rischi per la sicurezza in entrambi gli scenari, ma onestamente, quando è stata l'ultima volta che hai inoltrato una e-mail di reimpostazione della password al tuo amico? Allo stesso modo, perché dovresti inoltrare un'e-mail di accesso a qualcun altro tranne te stesso?

Inoltre, nonostante sia nella cronologia del browser, il link dovrebbe solitamente essere monouso (ad esempio, non è possibile utilizzare una email di decenni fa per reimpostare la password, è necessario creare una nuova richiesta). Allo stesso modo, quando fai clic su un link di accesso automatico, il server ti dà un cookie e cancella il token URL da un lato, impedendoti in modo efficace di utilizzarlo due volte da due computer diversi.

Naturalmente, non l'ho ancora provato, quindi dovrebbe essere preso con sale, ma si spera che tutto sia abbastanza ragionevole.

    
risposta data 26.11.2014 - 22:35
fonte
0

A meno che tu non abbia passato un po 'di tempo ad analizzare e provare il test di penetrazione un meccanismo di' password dimenticata ', non presumere di aver compreso o apprezzato tutto ciò che è coinvolto .

Diverse discussioni su questo argomento sul web sembrano molto superficiali / ingenue. "Rilevamento di attività sospette" è la cosa più ovvia che dovrebbe accadere sotto il cofano di qualsiasi sistema implementato in modo corretto. Senza quello, questo è super-dodgy. Con ciò, questo è meno azzardato (ma ancora considerevolmente dubbia). Caso in questione: le istituzioni bancarie / finanziarie non forniscono una funzionalità così facilmente sovvertita.

  • Se un sistema ha a che fare con informazioni finanziarie, allora non farlo.

  • Se un sistema sta toccando un sistema di carte di credito, fallo solo in conformità con gli standard PCI (ad es. PCI-DSS) o ottieni qualcuno che sappia cosa stanno facendo per farlo.

  • Se un sistema sta toccando / memorizzando altre informazioni sensibili (ad es. dati personali), considera i rischi e procedi con molta attenzione (il raggiungimento degli standard OWASP Top 10 / PCI-DSS sarebbe considerato "il miglior tentativo" ... in mancanza fare il massimo sforzo è effettivamente negligenza, quindi prega che non venga denunciato.

Leggere attentamente:

link link link

    
risposta data 26.10.2016 - 08:34
fonte

Leggi altre domande sui tag