Login key in email

Naviga le tue risposte
0

Uso un servizio per migliorare il mio inglese che include l'autenticazione per gli utenti, ha una funzione per l'invio di e-mail per alcuni tipi di nuovi esercizi. Sono rimasto sorpreso quando ho visto l'URL per le email: 

https://puzzle-english.com/video/arnold_openspace?autologin_key=*long_hash*&user_email=*my_email*&expire=1533573237&pes=email_letter_every_day

autologin_key è diverso per tutte le email. Se ottengo il modo giusto, questo URL consente a chiunque di accedere al mio account senza nemmeno conoscere la password.

Questa è una potenziale vulnerabilità?

UPD: questa chiave consente l'accesso completo al mio account, inclusa la modifica delle informazioni personali, come email e password (renderà impossibile il ripristino dell'accesso per me).

    
posta val 31.07.2018 - 12:09
fonte

1 risposta

2

Ovviamente i fornitori di servizi presumono che solo tu possa accedere al tuo account di posta. Il fornitore di servizi ha deciso che un valore temporaneo di autologin_key con un periodo di validità probabilmente limitato è sufficientemente sicuro per autenticarti.

Se la riservatezza (piuttosto negativa) della posta elettronica è abbastanza sicura dipende da quale danno può fare un utente malintenzionato a te o al fornitore di servizi.

es. questa credenziale ti autorizza a ...

  • accedi ai contenuti di sola lettura dei corsi di formazione o
  • consente di vedere i dati personali
  • consente persino di modificare i tuoi dati personali, ad es. consumare materiale didattico che lo rende inutilizzabile / irraggiungibile per te
  • o, peggio ancora, per ordinare più servizi, ti verranno addebitati

Dopotutto è sempre una scelta di convenienza contro sicurezza. A volte il trade-off può essere difficile da trovare.

    
risposta data 31.07.2018 - 12:28
fonte

Leggi altre domande sui tag

Overflow buffer: errore di segmentazione a 0x90909090 E 'possibile forzare la password di 25 miliardi di miliardi in meno di un mese?