Perché non inviare nuovamente l'e-mail di conferma dell'email al momento dell'ingresso non riuscito? (forza forzata premendo un pulsante)

Naviga le tue risposte
1

Supponendo un'app / sito Web in cui è richiesta la conferma tramite e-mail prima di accedere:

Se l'utente appena registrato tenta di accedere, un flusso comune è quello di dire loro che non hanno ancora confermato il proprio indirizzo e-mail e poi chiedere se vogliono inviare nuovamente la conferma via e-mail, che è un processo in due fasi.

Ci sono problemi di sicurezza per l'invio di un'altra e-mail di conferma (con link) non appena provano e non riescono ad accedere?

Le persone potrebbero finire per essere spammate ma dubito molto di più di quanto farebbero nell'altro flusso se qualcuno stesse cercando di essere malizioso.

    
posta user179876 09.02.2018 - 14:54
fonte

1 risposta

1

Francamente, sì, ci sono alcuni problemi di sicurezza. Il link e-mail concede l'accesso destinatario all'account. Se l'utente ha inserito l'e-mail errata, quindi di nuovo inviando automaticamente il link di attivazione, offri al destinatario non autorizzato un'altra possibilità di rilevare l'account.

Se l'utente ha perso il controllo sul proprio account di posta elettronica, si applica lo stesso problema.

In generale, si vuole dare agli utenti un controllo positivo sull'esecuzione delle azioni di concessione dell'accesso.

Inoltre, dato che molti "schroeders" usano erroneamente il mio indirizzo e-mail per registrarmi, sono contento per il re-invio non automatico delle e-mail di attivazione. Ricevo un numero sufficiente di link di attivazione email attivati manualmente per cose che non ho mai firmato per ...

    
risposta data 09.02.2018 - 18:20
fonte

Leggi altre domande sui tag

gpg agente e caching passphrase di crittografia simmetrica per la scrittura Applicazioni Flash vulnerabili deliberatamente?