Molto spesso per attivare il mio account su un sito web ricevo un'email con questo:
https://web_site.com/access?uid=1234&secret=456789&login=0123456789&mid=aabbcccdd
Perché user id, login, mid o altri parametri di aggiunta? Perché non solo un codice di attivazione segreto?
ad esempio, stackoverflow:
https://stackoverflow.com/users/signup-finish?email=my_email.com&name=my_name123&token=fdsafdsfdsfds&authCode=fdsafdsfdsfds
Sembra essere una cattiva pratica. Tutto ciò di cui hanno bisogno è un codice di attivazione univoco che si associ al tuo nuovo account.
Alcuni di essi (ad esempio secret =) possono essere considerati effimeri e quindi non aumentano il rischio di molto, ma in generale limitare l'esposizione a qualsiasi informazione / struttura interna è sempre una buona idea (nonostante tutti gli argomenti contro la sicurezza da oscurità) - soprattutto se utilizzato insieme ad altre misure di sicurezza. Vi è inoltre il rischio aggiuntivo di ulteriori potenziali punti di iniezione con ogni parametro aggiuntivo.
Tutto considerato, non è una pratica che consiglierei.
È semplicemente un modo per correlare il tuo account e il token di attivazione. Un token arbitrario passato a un sistema significa che il sistema deve cercare ogni token per:
Usando il link per legare le informazioni pubbliche al token, il back-end può ora guardare direttamente il tuo account e rispondere a Yay o Nay.
L'uso di e-mail e il nome utente con il token consentono anche alla società di controllare meglio. Se per qualsiasi motivo, e l'attacco sta cercando di forzare la forza con un sistema di verifica, sarebbe piuttosto sospetto se [email protected], usando id_deb bob, abbia provato 5 diversi token di verifica.
Leggi altre domande sui tag email url web-application registration