accessi esterni che devono confermare l'e-mail

0

Consento ai membri di registrarsi / accedere usando accessi esterni (social network e simili), il problema è che, se non chiedevo loro di confermare le loro e-mail, allora come potrei convalidare la loro proprietà a questa e-mail (assumendo l'account social non era il loro) che poi segnerà la mia posta come spam

in secondo luogo, per motivi di sicurezza, costringo gli utenti che desiderano modificare la loro e-mail prima della conferma o inviare nuovamente la conferma alla stessa e-mail per inserire la loro password, che non esisterebbe nel caso di accesso esterno a meno che non lo chieda (che sta costringendo l'utente a fare ulteriori passaggi)

quindi è completamente sicuro con un modo extra di accedere oltre all'account del social network rispetto alla praticità e alla facilità del processo di iscrizione, quindi quale dovrei usare, o dovrei lasciare che l'utente decida, ma sarebbe importante dal punto di vista della sicurezza?

    
posta m s lma 29.05.2017 - 18:23
fonte

1 risposta

2

Principio: le misure di sicurezza "eccessive" consentono agli utenti di cercare modi per aggirare la sicurezza, vanificando così lo scopo.

Dalla mia esperienza nell'implementazione di sistemi simili - e della logica che abbiamo usato per progettarli:

  1. L'idea dell'autenticazione federata consiste nel "dipendere" dal provider di identità per eseguire il lavoro di base per determinate proprietà dell'identità, in modo da non doverlo fare. Se si utilizza Google / FB / LinkedIn o accessi social media simili, questa è una premessa di base. La chiave qui è che ci si assicura che i processi del provider di identità stiano effettivamente verificando la proprietà (attributo) che stanno affermando. Quindi in generale (ad esempio, a meno che il modello della minaccia non indichi un'eccezione) - non è necessario verificare ulteriormente un indirizzo email (che è tra gli attributi di identità più basilari).

** Hai menzionato "ipotizzando che l'account social non fosse il loro": per la maggior parte delle applicazioni, direi che non si tratta di uno scenario di minacce di cui il progettista dell'app deve occuparsi. Tutto sommato, chiedendo che l'e-mail venga verificata di nuovo dopo che un'autorizzazione federata appare un po 'eccessiva per precauzione, la causa della sicurezza non è solo d'aiuto.

  1. Esistono diversi flussi di ripristino della password consigliati
    • un notevole che ricordo è di Troy Hunt - qui: link
    • il mio preferito è di Jim Manico (OWASP / Manicode.net); l'ultimo bit di questo documento (il flusso di lavoro dimenticato password) dovrebbe aiutare: link

Sebbene non sia esplicitamente indicato in uno dei due precedenti, la necessità di reimpostare la password tramite un'e-mail registrata non aumenta la necessità di ulteriori verifiche al passaggio 1.

Riepilogo: a meno che la tua app non abbia una minaccia specifica, le email dal flusso di autenticazione del provider di identità reputato dovrebbero essere sufficienti senza ulteriori verifiche.

    
risposta data 29.05.2017 - 18:48
fonte