1. дома
  2. Вопрос и ответ
  3. Проверка использования в приложении «Представление электронной почты»

Проверка использования в приложении «Представление электронной почты»

2009-03-24 4 views
2

Я строю систему, которая позволяет людям отправлять текст и фотографии по электронной почте в дополнение к стандартным доступом на веб-сайте. Я пытаюсь оценить преимущества безопасности двух стратегий, в частности, для проверки представлений от пользователя. Здесь они заключаются в следующем:Проверка использования в приложении «Представление электронной почты»

  • На основе auth: создайте секретный адрес электронной почты для каждого пользователя и представите его пользователю для отправки. Эта стратегия имеет то преимущество, что люди могут отправлять с нескольких устройств, которые могут быть настроены с разными почтовыми учетными записями.
  • От основанного auth: Принимайте только сообщения электронной почты с адресов, зарегистрированных в базе данных пользователей. Идея заключается в том, что нецелесообразно/сложно выдавать себя за зарегистрированных пользователей на основе адреса отправки.

Можете ли вы придумать другие возможные решения? Какая из предложенных стратегий наиболее подходит вам?

источник

2009-03-24 Anonymous

ответ

5

Я хотел бы предложить вам не использовать от аутентификации на основе, по крайней мере, без каких-либо дополнительных полномочий (ключевой фразы и т.д.)

It's way too easy to forge, и, конечно, не трудно, если вы знаете кого-то адрес электронной почты.

Если вы повторите отправку электронной почты пользователю для подтверждения, вы можете сделать что-то еще сложнее, но поймите, что ваш сервис может использоваться как своего рода спам-реле. (Я могу отправить 100 запросов на загрузку вам, с поддельным адресом FROM, и вы продолжите спам и реальный человек со 100 запросами на подтверждение)

источник

2009-03-24 20:15:48

+0

Итак, похоже, что на основе auth это лучшее решение. Секретный (pass phrase like) адрес электронной почты служит ключом и поиском. Он установлен и забыт и работает на нескольких устройствах. – 2009-03-25 01:31:18

0

Лучшим вариантом является проверка зарегистрированного адреса электронной почты, но добавление необходимости для кода в пределах темы электронной почты, известной пользователю. Таким образом, если они создают электронную почту с адреса, им все равно нужен ключ для аутентификации входящего письма.

источник

2009-03-24 20:19:56 Richard

0

Я бы пошел с «из» + подтверждения, чтобы избежать подделки.

I.e. получите электронное письмо, но отправьте ответ с токеном auth в строке темы (или в теле) обратно на адрес «от». Пользователь должен ответить или нажать ссылку, чтобы подтвердить отправку.

И вы публикуете контент только после подтверждения.

источник

2009-03-24 20:20:04

Смежные вопросы

 Смежные вопросы