Si può leggere la ricevuta al momento dell'iscrizione e le e-mail di reimpostazione della password possono essere utilizzate per migliorare la sicurezza?

Naviga le tue risposte
0

Mi sono iscritto di recente a una pagina web. Quando ho aperto la consueta "clicca questo link per convalidare la tua email e scegli una password", il mio cliente mi ha informato che il mittente aveva richiesto una conferma di lettura. Ho deciso di non inviarne uno e potrei comunque completare la registrazione.

Ero un po 'sorpreso, dal momento che questo non mi è mai successo prima su una mail simile. Essendo del tipo curioso, ho iniziato a speculare sul motivo per cui richiedono le ricevute e su come potrebbero essere utilizzate per migliorare la sicurezza. Forse è legato all'invalidazione del token, ma come?

Non riesco a capire come potrebbero essere utilizzati. Forse hai qualche idea?

    
posta Anders 07.10.2016 - 13:55
fonte

1 risposta

1

L'unico modo in cui posso pensare a questo miglioramento della sicurezza è che tutti i link / token vengono revocati prima.

Esempio: con un'e-mail di reimpostazione della password il token può essere valido per 1 ora, se una ricevuta di lettura viene ricevuta dopo 6 minuti sarebbe ragionevole che quel token sia valido per altri 5 minuti. Questo riduce la finestra di attacco da 1 ora a 11 minuti.

    
risposta data 07.10.2016 - 14:24
fonte

Leggi altre domande sui tag

C'è qualche difetto di sicurezza nell'usare una porta non root in produzione? Attaccando WPA / WPA2; Chiarimento sui pacchetti di deautenticazione