Attivare un utente su un sito Web - perché includere qualcosa di diverso da un codice di attivazione?

0

Molto spesso per attivare il mio account su un sito web ricevo un'email con questo:

https://web_site.com/access?uid=1234&secret=456789&login=0123456789&mid=aabbcccdd

Perché user id, login, mid o altri parametri di aggiunta? Perché non solo un codice di attivazione segreto?

ad esempio, stackoverflow:

https://stackoverflow.com/users/signup-finish?email=my_email.com&name=my_name123&token=fdsafdsfdsfds&authCode=fdsafdsfdsfds
    
posta アレックス 27.06.2017 - 04:12
fonte

2 risposte

1

Sembra essere una cattiva pratica. Tutto ciò di cui hanno bisogno è un codice di attivazione univoco che si associ al tuo nuovo account.

Alcuni di essi (ad esempio secret =) possono essere considerati effimeri e quindi non aumentano il rischio di molto, ma in generale limitare l'esposizione a qualsiasi informazione / struttura interna è sempre una buona idea (nonostante tutti gli argomenti contro la sicurezza da oscurità) - soprattutto se utilizzato insieme ad altre misure di sicurezza. Vi è inoltre il rischio aggiuntivo di ulteriori potenziali punti di iniezione con ogni parametro aggiuntivo.

Tutto considerato, non è una pratica che consiglierei.

    
risposta data 27.06.2017 - 05:35
fonte
-1

È semplicemente un modo per correlare il tuo account e il token di attivazione. Un token arbitrario passato a un sistema significa che il sistema deve cercare ogni token per:

  • trova la sua associazione o
  • Informa l'utente che non è stato trovato

Usando il link per legare le informazioni pubbliche al token, il back-end può ora guardare direttamente il tuo account e rispondere a Yay o Nay.

L'uso di e-mail e il nome utente con il token consentono anche alla società di controllare meglio. Se per qualsiasi motivo, e l'attacco sta cercando di forzare la forza con un sistema di verifica, sarebbe piuttosto sospetto se [email protected], usando id_deb bob, abbia provato 5 diversi token di verifica.

    
risposta data 27.07.2017 - 16:40
fonte

Leggi altre domande sui tag