0

たとえば、Stock Overflow のログイン システムである OpenID Selector や、OpenID だけでなく Facebook や Twitter を使用してログインできる JanRain を使用している場合、一部のメール アドレスが検証されません。

元の Web サイトで、電子メール アドレスが検証されていない場合、OpenID または JanRain が検証済みの電子メール アドレスを使用してユーザーにログインし、現在のユーザー アカウントにもその電子メール アドレスを持つユーザー (ただし未確認) -- 実際のユーザーがアカウントを制御できるようになりました。

しかし、ハッカーが有名人の電子メール アドレスを登録し、その有名人が確認済みの電子メール アドレスで OpenID または Facebook を使用して 2 つのアカウントを「統合」するまで数か月待つとどうなるでしょうか。

(Web サイトはアカウントが統合されたことを発表できますが、有名人は以前にその Web サイトにサインアップしたかどうかを覚えていない可能性があるため、セキュリティ侵害を感じない可能性があります)。したがって、セキュリティリスクは次のとおりです。有名人が何をしようと、アイテムをリストに保存するなど、ハッカーは何をしているかを静かに監視できるようになりました。

いずれかのアカウントに未確認の電子メール アドレスがある場合、他のアカウントがそのアドレスと統合されるべきではないというのは本当ですか。両方のアカウントが確認済みの同じ電子メール アドレスを持っている場合にのみ、それらのアカウントを 1 つのアカウントとして扱うことができます。

これは本当ですか、それともルールをこれより柔軟にすることはできますか?

4

1 に答える 1

1

ユーザーの電子メールアカウントを確認しないのは悪い考えだと真剣に考えています.

フローが簡素化されることは理解していますが、メールサーバーをブラックリストに登録するために簡単に使用できます. メンバーに大量の電子メールを送信し、その多くが偽​​物であると想像してみてください。これらの偽の電子メールによってスパムとして報告される可能性があります。

登録を完了するためにクリックする必要があるリンクを含む電子メールを送信することにより、検証済みの電子メールシステムを使用することは、より優れたシステムです。

于 2011-08-17T06:14:38.060 に答える