Implementazione di un processo di invito per la configurazione dell'utente

0

In una nuova applicazione ASP.NET MVC su cui sto lavorando vorremmo che un utente amministratore fosse in grado di configurare altri account utente creando inviti che verranno inviati via email al nuovo utente. Tale e-mail avrà un link che porterà l'utente a una pagina unica in cui è possibile creare un accesso al sito o scegliere di accedere con un provider OAuth (LinkedIn nel nostro caso).

Sono preoccupato per le potenziali implicazioni di sicurezza di un simile processo. Il pericolo è che l'e-mail di un utente possa essere compromessa e un account creato da un utente malintenzionato, ottenendo così l'accesso all'applicazione.

Questi inviti potrebbero non essere immediatamente interpretati, quindi una finestra di scadenza dovrebbe essere troppo lunga per essere utile. Poiché un utente crea inviti per un altro, non posso limitare in base all'indirizzo IP.

Sono paranoico qui? Esiste un processo più sicuro per gestire la creazione degli utenti su invito?

(Cross-post della mia domanda StackOverflow .)

    
posta Josh Anderson 20.07.2012 - 17:38
fonte

1 risposta

2

Spetta all'utente mantenere sicuro il proprio account di posta elettronica. Se è compromesso, è il loro problema. Non c'è modo di risolvere veramente il problema, oltre a garantire che l'autenticazione del tuo sito sia buona (vedi qui per una guida) e di disporre di adeguati controlli di monitoraggio e moderazione per gestire utenti senza scrupoli.

    
risposta data 20.07.2012 - 17:45
fonte

Leggi altre domande sui tag