Qual è lo scopo di questo "link di posta sicura aperto nel browser"

Naviga le tue risposte
0

Ho ricevuto un'email che "presumibilmente" era sicuro. Aveva un link che diceva che per ottenere un messaggio sicuro segui questo link. Avrebbero potuto verificare che ero io chiedendo alla mia banca o alla mia smart card di autenticarmi ma non l'hanno fatto.

Da quando il link ha codificato una password nell'URL come sito web (su https), come si suppone che questo sia più sicuro? O è una caratteristica di sicurezza dell'agenzia di invio (che è una sorta di compagnia di assicurazioni), in quanto ora è possibile revocare il messaggio e io non mi viene lasciato nulla. Esempio: 

this is a secure mail please read it at:

https://agency.org/login.cgi?ywt786u2y18926uye8924uiyew89y6ry3y47832teyutew78832..

click link

E poi il browser apre ciò che equivale al corpo del testo della posta. Il link stesso è multiuso e scade tra 7 giorni.

Che tipo di sicurezza fornisce effettivamente? Per quanto ho capito, hanno inviato il link su canali non protetti, quindi è altrettanto incline al dirottamento come semplice email. Questo dà ai destinatari un falso senso di sicurezza?

Non sto chiedendo se è sicuro in quanto tale solo cercando di capire quale potrebbe essere il meccanismo.

Edity:

Questa è una sorta di agenzia assicurativa anche se non è un assicuratore nel senso comune. Beh, mi aspettavo quasi la posta (in quel caso sapevo che mi avrebbero spedito a un certo punto). Anche se a dire il vero la posta sarebbe stata quasi altrettanto informativa se avesse appena detto "Fatto"! Inoltre mi hanno inviato una copia sulla posta di lumaca comunque (è arrivata 3 ore dopo). Ma ciò non significa che non inviino informazioni sensibili.

Edità 2:

Poiché apparentemente non è chiaro il collegamento non è niente di spettacolare, solo un collegamento con un hash davvero lungo alla fine. L'unica altra cosa che posso pensare è: Che convalida il mittente è chi dicono di essere. (ora posso convalidare il certificato del sito web)

    
posta joojaa 17.02.2016 - 15:04
fonte

2 risposte

2

La tua domanda non è chiara, ma per quanto ho capito, questa agenzia ti ha inviato un link via email e l'URL del link includeva le tue credenziali, ad es.

link

Ovviamente questo è molto insicuro perché gli URL possono essere annusati (HTTPS protegge il contenuto, non l'identità dell'URL a cui si accede) e in questo caso un intercettatore avrebbe accesso alle proprie credenziali.

Modifica: come da commento dell'OP:

Yes this is basically how it worked. exept there was no user just a really long password

sembra che l'URL contenesse solo un GUID, probabilmente un token una tantum. È difficile dire se questo è sicuro o meno; se questo fosse per l'attivazione dell'account dell'OP, probabilmente non ci si deve preoccupare. D'altra parte, se quel token da solo consente di accedere all'account dell'OP, è molto brutto.

Discussione correlata qui: I GUID sono sicuri per i token una tantum?

    
risposta data 17.02.2016 - 15:24
fonte
2

Un link può essere crittografato in modo che non possa essere decodificato o modificato e può (e dovrebbe) essere fatto funzionare solo una volta.

Finché accedi alla tua email tramite HTTPS e il tuo account email non è stato compromesso, questo dovrebbe essere relativamente sicuro.

Il fatto che il link scada dopo un singolo utilizzo significa che saprai immediatamente se qualcuno lo ha precedentemente effettuato.

A seconda della natura del contenuto che viene inviato, potrebbe essere reso molto più sicuro aggiungendo l'autenticazione a 2 fattori, utilizzando i codici SMS.

    
risposta data 17.02.2016 - 15:25
fonte

Leggi altre domande sui tag

È imprudente usare un'app per Android per accedere a un server con SSH? È vero che le autenticazioni delle chiavi sono considerate insicure al giorno d'oggi?