Come evitare gli attacchi man in the middle quando si inviano informazioni sensibili via e-mail?

1

Sto creando un sito web in cui gli utenti possono acquistare cupon. Dovrei inviare i codici coupon ai clienti via e-mail e questi codici sono sufficienti per utilizzare il coupon. Come posso evitare l'uomo negli attacchi centrali? Hai qualche suggerimento? Vorrei evitare di inviare informazioni crittografate! Grazie a tutti

    
posta Antonino Gdg 28.10.2018 - 17:59
fonte

1 risposta

3

Una mail passerà attraverso diversi server di posta mentre si sta recando all'utente. Anche se il trasporto tra questi server è crittografato (cosa che il mittente non può controllare e quindi non garantisce) i messaggi sono disponibili in chiaro su ciascuno dei server. Inoltre la posta è disponibile in chiaro sul server finale da cui l'utente la recupererà. Quindi, molti modi per qualcuno di intercettarlo.

Se nonostante ciò si desidera ancora utilizzare la posta, è necessario assicurarsi che il contenuto della posta sia utile solo per il destinatario previsto. In alternativa, potresti semplicemente accettare il rischio che qualcuno possa leggere la posta e utilizzare in modo improprio i coupon, il che potrebbe essere un'opzione accettabile se il valore dei coupon è comunque basso.

Un modo per proteggere i coupon sarebbe quello di crittografare la posta con metodi consolidati come PGP o S / MIME. Solo tu non vuoi la crittografia e sarebbe difficile farlo comunque poiché questi metodi sono solo stabiliti come protocolli ma non sono ampiamente utilizzati e supportati nella pratica - quindi non funzionerebbe comunque con la maggior parte dei destinatari.

Un altro modo sarebbe quello di crittografare solo i coupon nella posta e fornire la password necessaria all'utente durante il processo di acquisto o lasciare che l'utente scelga una password. Ma, ancora una volta, questa è la crittografia che non vuoi e il processo di condivisione della password con l'utente sarà probabilmente troppo complesso per alcuni utenti e scoraggiarli.

Potresti anche inviare solo un link ai coupon nella posta e l'utente deve accedere con le stesse informazioni che ha utilizzato per acquistare i coupon al fine di recuperare i coupon dal tuo sito web. Questo potrebbe essere un nome utente e una password se si hanno comunque degli account utente o potrebbero essere parti della carta di credito utilizzata per acquistare i coupon, ecc. Naturalmente in questo caso potrebbe essere più semplice non inviare la posta in primo luogo ma lasciarla l'utente scarica i coupon nel momento in cui li ha acquistati.

Oppure, se insisti a utilizzare la posta (che non è protetta) potresti semplicemente accettare il rischio che qualcun altro possa accedere ai coupon e aggiungere una verifica più tardi quando i coupon vengono utilizzati. Ciò potrebbe essere fatto personalizzando i coupon e richiedere un qualche tipo di convalida quando i coupon vengono utilizzati. A seconda del modo in cui vengono utilizzati, potrebbe trattarsi di una sorta di identificazione di chi utilizza i coupon o di assicurarsi che la persona che utilizza i coupon abbia accesso alla stessa carta di credito utilizzata per acquistare i coupon.

    
risposta data 28.10.2018 - 18:41
fonte

Leggi altre domande sui tag