Collegamenti di registrazione personalizzati sicuri

Naviga le tue risposte
1

Sto lavorando su un sito Web che consente a un utente corrente di invitare un'altra persona a diventare amici digitando l'indirizzo e-mail dell'utente non dell'utente. Il non utente riceverà quindi un url di registrazione personalizzato via e-mail che, una volta utilizzato, collegherà automaticamente i due utenti, dando ad ogni accesso le informazioni private dell'altro.

Gli url di registrazione personalizzati saranno in qualche modo protetti dall'uso di nonce crittograficamente casuali (es. site.com/very-long-random-nonce), si spera che proteggano dagli attacchi di replay o che la gente indovini semplicemente il link di registrazione di qualcun altro.

La mia preoccupazione è che, se l'e-mail dovesse essere intercettata in transito, l'intercettore potrebbe ottenere l'accesso alle informazioni private dell'utente invitante. Come posso garantire che solo il destinatario previsto riceverà e utilizzerà un url di registrazione personalizzato?

    
posta Nathan Arthur 14.04.2014 - 23:08
fonte

3 risposte

2

Per questo la tua preoccupazione principale è assicurarsi che le informazioni siano accessibili solo al destinatario previsto; che suona molto simile a quello che la crittografia pubblica / PGP cerca di ottenere.

A meno che tu non voglia vedere se il non-utente target ha pubblicato una chiave PGP, o se puoi ottenere il suo certificato per crittografare l'e-mail con la sua chiave pubblica; Penso che dovresti solo supporre che sarà lui a leggere l'email.

Un'altra nota è che un utente può determinare se questa persona è realmente chi afferma di essere, magari inserendo una domanda segreta che solo il destinatario conosce. Ma sarebbe un problema da usare.

    
risposta data 15.04.2014 - 07:38
fonte
1

Non penso che tu possa Non sai nulla del destinatario previsto, quindi chiunque riceve e usa il link è probabile che chiunque altro sia il ragazzo giusto. Un comune la mezza misura è rendere il link valido solo per un breve periodo.

    
risposta data 15.04.2014 - 04:44
fonte
0

Che cosa succede se invece hai inviato loro un link generico che li porta a una pagina del tuo sito che poi genera un url casuale e temporaneo per loro e li inoltra alla pagina di registrazione.

    
risposta data 15.04.2014 - 05:37
fonte

Leggi altre domande sui tag

Connessione sicura tra due client all'interno di un wifi senza connessione internet Rischio di sicurezza nel collegare un dispositivo mobile all'hotspot di un altro dispositivo mobile