2

ニュースレター アプリを作成したいのですが、ユーザーはニュースレターにサインアップしたことを当然確認する必要があるため、ボットがアドレスを入力した場合にスパムが発生することはありません。

私のアイデアは、URL にシークレットが含まれるリンクを含むメールをユーザーに単純に送信することでした。これは、メール アドレスといくつかのシークレット サイトキーのハッシュです。

私の質問は次のとおりです: 誰かがいくつかのアカウントを登録して、自分のアドレスでシークレットのハッシュを受信することで、サイトキーを推測し、必要なすべての電子メール アドレスを登録できますか?

それを行うことで得られるものは何もありませんが、それが非常に簡単な場合、誰かがそれを行う可能性があり、ブラックリストに載せられます.

アクティブ化されていないユーザー アカウントを保存しない理由は、単純に x 日ごとに DB から削除したくないからです。

4

2 に答える 2

5

完全にランダムなソルト/サイトキーでsha1のようなものを使用することを確認した場合、辞書攻撃でサイトキーをリバースエンジニアリングしようとしても無駄です.

誰かが独自のハッシュを合成して任意のアドレスを登録たい場合、より効果的な時間の使い方は、サーバーにアクセスしてソースコードを読み取ることです:)

于 2009-07-21T09:57:54.503 に答える
2

ランダムなシークレットを生成してデータベースに保持するのが最善だと思います。そうすれば、推測できるものは何もありません。(少なくとも、メールを追加する許可を与えるものは何もありません)

于 2009-07-21T09:57:00.903 に答える