Dlaczego większość witryn wymaga aktywacji przez e-mail [zamknięte]

13

Najpopularniejsze aplikacje wymagają obecnie aktywacji konta przez e-mail. Nigdy nie robiłem tego z aplikacjami, które opracowałem, więc brakuje mi ważnej funkcji bezpieczeństwa?

Przez aktywację adresu e-mail rozumiem, że kiedy rejestrujesz się w witrynie, wysyłają Ci wiadomość e-mail zawierającą link, który musisz kliknąć, zanim konto zostanie aktywowane.

security email palto
źródło
1
Chcą upewnić się, że podasz swój rzeczywisty adres e-mail, a nie fałszywy.
Andy,
Miejmy nadzieję, że SQRL zmieni to bardzo irytujące
sakisk
1
Otrzymałem wiele dobrych odpowiedzi na ten temat. Problem polega na tym, że może zapytałem w niewłaściwy sposób, ponieważ uznałem, że musi to wynikać z bezpieczeństwa. Potwierdzony Opt In to upewnienie się, że nie wysyłamy spamu do osób, które tego nie chcą.
palto
Następnie ponownie potwierdzone, że włączenie może dotyczyć bezpieczeństwa, ponieważ bez niego złośliwy użytkownik może zarejestrować wiele fałszywych adresów. Jeśli nadal wysyłasz wiadomości e-mail na te adresy, możesz znaleźć się na liście spamu.
palto
1
To pytanie wydaje się nie na temat, ponieważ dotyczy bezpieczeństwa informacji. To pytanie prawdopodobnie już zawiera podobne pytania i odpowiedzi. Możliwy duplikat: security.stackexchange.com/questions/13983/... Dziękuję.
wałek klonowy

Odpowiedzi:

25

Aktywacja potwierdza, że ​​e-mail jest twój. Nie chodzi tu tyle o bycie fałszywym czy o nieistnienie, ile o bycie twoim i oni potrzebują go przede wszystkim do alternatywnego / plan-b uwierzytelnienia.

Nikolay Tsenkov
źródło
1
To jest najbardziej odpowiednia odpowiedź dotycząca bezpieczeństwa. Co się stanie, jeśli zarejestruję się przy użyciu SWOJEGO adresu e-mail? Myślę jednak, że mogą być związane z tym inne przyczyny, takie jak resetowanie haseł , wysyłanie ważnych i / lub osobistych informacji, promocja itp.
Francisco Presencia
Po zarejestrowaniu się na mój adres e-mail otrzymuję prośbę o potwierdzenie, co powinno wzbudzić we mnie podejrzenia. I oczywiście muszę się upewnić, że adres e-mail jest poprawny, aby na przykład móc zresetować hasło.
Andrea Girardi,
3
+1, ale „e-mail jest twój” nie jest do końca prawdą. Zapewnia to tylko, że osoba rejestrująca się ma dostęp do konta e-mail. Nic więcej.
Marjan Venema
9

Większość usług internetowych chce mieć możliwość kontaktowania się z użytkownikami i do tego celu korzystać z poczty e-mail. W szczególności użytkownik zapomina hasła, a fakt, że może odczytać wiadomość e-mail pod adresem, który serwis ma w pliku, uwierzytelnia ich jako uprawnionego użytkownika, który może zresetować hasło. E-mail może być również sposobem na poinformowanie Cię o ważnych aktualizacjach (czyli spamem).

Aby usługa mogła sprawdzić poprawność wiadomości e-mail, musi upewnić się, że użytkownik, który tworzy konto, ma dostęp do tej wiadomości. Ma to na celu zarówno ochronę użytkownika przed literówką w adresie e-mail, jak i ochronę strony przed spamem.

Aby subskrybować usługę, nie musisz wymagać adresu e-mail. Jednak gdy użytkownicy zapomną swoich danych uwierzytelniających, będą niezadowoleni. Resetowanie hasła e-mail to norma.

Jeśli użytkownik wybierze jednorazowy adres e-mail, jest to celowy wybór, aby nie mieć wyłącznej kontroli nad kontem. Niektóre witryny, które chcą spamować, próbują odrzucić takie adresy, chociaż jest to oczywiście bezskuteczne (w przypadku dużych witryn, takich jak Gmail, możesz też tworzyć adresy jednorazowe).

Gilles „SO- przestań być zły”
źródło
7

Potwierdzoną zgodę można również wykonać w celu przestrzegania przepisów antyspamowych z innego powodu, aby wysłać link w wiadomości e-mail.

JB King
źródło
tak. Tak łatwo byłoby komuś zarejestrować inną osobę, której nie lubił w przypadku kilku tysięcy list mailowych ...
jwenting
1

Tak, jesteś. Poprzez weryfikację adresu e-mail upewniasz się, że właściciel konta jest właścicielem tego adresu.

Później, jeśli ktoś spróbuje zarejestrować się przy użyciu tego samego adresu, nie będzie to możliwe, ponieważ już zweryfikowałeś, że właściwy właściciel ma już konto.

Zasadniczo zapewnia to ludziom, którzy są, jak mówią, że są. Jeśli masz witrynę sieci społecznościowej, w której ludzie mogą dodawać kontakty za pomocą adresu e-mail, ograniczy to, co może zrobić nieuczciwy użytkownik, korzystając z adresu innej osoby.

SilverlightFox
źródło
„jest właścicielem tego adresu” Zapewnia tylko, że osoba rejestrująca się ma dostęp do konta e-mail. Nic więcej.
Marjan Venema
@MarjanVenema Bardziej technicznie: dostęp do strumienia HTTP, przez który przechodzi wiadomość e-mail, lub do miejsca, w którym wiadomość e-mail się znajduje, ale w większości przypadków powstrzymujesz kogoś przed rejestrowaniem się przy użyciu adresu innego użytkownika.
SilverlightFox,
Rzeczywiście, po prostu nie licz na to, że ten adres e-mail faktycznie jest właścicielem tego adresu. Ludzie dzielą zbyt wiele rzeczy ze swoimi przyjaciółmi i rodzinami. Kiedy wszystko idzie źle, tworzone fałszywe konta przy użyciu „danych uwierzytelniających” byłych przyjaciół / partnera.
Marjan Venema
1

Kilka często używanych powodów to:

  • Upewnij się, że adres e-mail jest prawidłowy.
  • Upewnij się, że użytkownik jest właścicielem adresu e-mail.
  • Upewnienie się, że użytkownik CHCE subskrybować.
  • Upewnienie się, że przyszła komunikacja może przebiegać poprawnie.
  • Dając użytkownikowi potwierdzenie subskrypcji i cyfrową ścieżkę.
Nzall
źródło
czy to tylko Twoja osobista opinia, czy możesz jakoś to zrobić?
komara
Myślę, że mój wybór słów był trochę odległy. Nie chciałem podawać rankingu ani stwierdzenia, że ​​„zawsze są to najczęściej używane powody”, ale bardziej jak streszczenie, wskazujące „Są to częste powody wymagające aktywacji, ale nie w żadnej określonej kolejności ani rankingu”. Zredagowałem mój post, aby to wyjaśnić.
Nzall,
2
„Upewnienie się, że użytkownik jest właścicielem adresu e-mail”. Zapewnia to tylko, że osoba rejestrująca się ma dostęp do konta e-mail. Nic więcej.
Marjan Venema
1

Myślę, że to zależy od możliwości, które dajesz swojemu użytkownikowi. Czy on lub ona może wysyłać wiadomości do innych użytkowników i spamować je za pomocą reklam? Czy może on lub ona publikować w Twojej witrynie i wszędzie zamieszczać reklamy viagra? Czy może przesłać wiele plików i wypełnić cenne miejsce na serwerze. Jeśli istnieje którykolwiek z powyższych elementów lub coś, co mogłoby zostać wykorzystane do spamowania lub wyrzucenia do kosza twojego serwera, chcesz, aby spamowanie w Twojej witrynie było jak najtrudniejsze. Tak więc uwierzytelnianie e-mail to kolejny krok, który utrudnia spamerom udawanie człowieka.

Aby to osiągnąć, należy użyć uwierzytelniania e-mail z formularzem, który utrudnia wypełnienie komputerów za pomocą captcha lub innych technik, a także należy zablokować usługi poczty śmieci.

Christoph
źródło