In che modo HelloSign può essere protetto senza alcuna autenticazione? [duplicare]

how could the document-signing service verify that someone who signed a particular document really did so?

Non lo fanno. Creano un registro che mostra l'indirizzo IP del computer remoto che ha emesso la "firma"; ma non possono identificare l'entità legale che ha causato la firma. Se l'identità del firmatario risulta essere in conflitto, le parti in causa possono raccogliere prove a riguardo in seguito.

Questo tipo di funzionalità viene fornita nel mondo della carne da un notaio o mediale garanzia firma sistema.

È semplicemente un clic? C'è qualche altro segno o l'ingresso di una chiave che non viene inviata nell'email?

Con una semplice email, non c'è modo di differenziare il tecnico legittimo da qualcuno che ha intercettato la sua email. Potrebbero considerarlo accettabile, tuttavia - considerando questa reputazione che vale la pena vivere per la semplicità.

Potrebbe essere, tuttavia, c'è una protezione extra qui. Se il tecnico ha effettuato l'accesso prima che questa email venga inviata, potrebbero esserci dei dati in un cookie del sito che possono essere controllati sul server, in modo che possano almeno dimostrare che il computer ha effettuato l'accesso all'account del tecnico.

Mi chiamo Alex M. e lavoro nel supporto API di HelloSign.com. Riguardo alla legalità delle firme di HelloSign, c'è una spiegazione sul perché riteniamo che le nostre firme siano legali sul nostro sito web .

HelloSign autentica i firmatari dei documenti in modo da sapere chi firma i tuoi documenti. Qualsiasi persona che firma un documento tramite HelloSign deve avere le informazioni di accesso per HelloSign o aver ricevuto nel proprio account e-mail una richiesta di firma.

Per proteggere gli account utente HelloSign, tutte le informazioni utente trasferite sono crittografate a 256-bit SSL, inclusi nomi utente e password. Cerchiamo inoltre di impedire ad altri di accedere o utilizzare il tuo account imponendo scadenze di sessione automatiche e inviandoti un'email ogni volta che un contratto viene inviato, ricevuto o firmato sotto il tuo account.

Hai ragione, però, per accedere al link è necessario accedere all'e-mail e, per impostazione predefinita, non è necessario eseguire un secondo passaggio: è tipico SSO. C'è anche una pista di controllo a condizione che elenchi ulteriori dettagli sul firmatario, come l'ora e la data firmati e l'indirizzo IP utilizzato per firmare.

Inoltre, i clienti API possono utilizzare un tipo di autenticazione a due fattori tramite un pin del firmatario. Questo è un pin alfanumerico che deve essere inviato al firmatario in un altro modo (tramite testo o tramite una telefonata o di persona - qualcosa di diverso dall'essere inviato allo stesso indirizzo email dell'email di richiesta della firma).

L'utilizzo è nella nostra documentazione e il modo in cui includi il segnaposto dipende da una serie di fattori. Ad esempio, però, nel nome di rispondere il più possibile qui invece di includere solo i link, in cURL quando si colpisce POST /signature_request/send , si include un parametro come questo: -F 'signer[1][pin]=1234'

Quindi, quando i firmatari fanno clic sul link nella loro e-mail, per prima cosa vedono una pagina che richiede il PIN per accedere al documento.

Se qualcuno ha ulteriori domande, ti preghiamo di contattarci all'indirizzo [email protected].