¿Cuáles son los motivos de seguridad para no permitir el inicio de sesión positivo en las direcciones de correo electrónico?

No existe una vulnerabilidad de seguridad per se con un '+' en su dirección de correo electrónico. Está permitido según RFC 2822 y no es particularmente útil para SQL u otras formas comunes de inyección.

Sin embargo, muchos sistemas (llamemos a Meetup un sistema para este propósito) hacen cumplir la seguridad a través de listas blancas, no de listas negras. Alguien definió una lista limitada de caracteres que esperaban ver en las direcciones de correo electrónico (probablemente superior, inferior, numérica,., _ Y -) y escribió un filtro para bloquear cualquier cosa fuera de esa lista. Y no pensaron que nadie usaría +, así que estás fuera de suerte.

Este artículo describe cómo para configurar Postfix para etiquetar, y usar '-' en lugar de '+' porque:

  

Sin embargo, durante una discusión reciente en la lista de usuarios de Postfix, se mencionó que algunos sitios web (en particular los bancos) usan JavaScript para probar y validar las direcciones de correo electrónico cuando se ingresan en formularios en línea, y que muchos no permiten el plus símbolo como un carácter válido en una dirección de correo electrónico.

Cambié de '+' a '-' hace más de una década, por razones similares.

Es probable que sean incompetentes y que ni siquiera sepan que te están mintiendo.

Desde un punto de vista de validación de entrada, no tienen ningún tramo para estar de pie; hay un conjunto específico de RFC que describe con firmeza el formato de una dirección de correo electrónico válida . Incluso si una dirección de correo electrónico no es válida técnicamente de acuerdo con el RFC, todavía puede ser posible enviar correo a ella de todos modos. Puede verificar si se puede entregar una dirección de correo electrónico enviándole un correo electrónico con un enlace único para que el propietario haga clic.

Como dice el sitio vinculado:

  

Lamentablemente, muchos sitios web no le permiten registrar una dirección con un signo más en ella. No porque estén intentando derrotar tu estrategia de seguimiento, sino simplemente porque son una mierda. Han copiado una expresión regular rota de un sitio web poco fiable y lo están utilizando para validar las direcciones de correo electrónico. Y perdiendo clientes como resultado.

Incluso si asumimos que tienen un código completamente dañado y están usando un validador de basura porque literalmente pegan la dirección de correo electrónico validada en un shell de UNIX, todavía no da una razón válida por la que joe.bloggs+meetup.com.better.not.sell.this.to.spammers@example.com debe considerarse inválido.

No hay una razón de seguridad válida para prohibir el uso de + en las direcciones de correo electrónico. Incluso si los spammers lo usan como una forma de bajo costo de hacer múltiples cuentas, los sitios web pueden ver fácilmente si alguien se registró como [email protected] y [email protected] ; Si Joe Bloggs está abusando de su servicio, pueden prohibir fácilmente ambas cuentas. Cualquier persona con su propio servidor de correo puede generar direcciones de correo electrónico válidas como [email protected] , [email protected] . No obtienen seguridad adicional al prohibir el uso de + .

Como han señalado otros, no hay razones de seguridad reales para no permitir un signo más en la dirección de correo electrónico.

Al ser un desarrollador web, la razón principal que se me ocurre es evitar que los usuarios realicen varios registros utilizando alias diferentes, especialmente en un sitio web de comercio electrónico en el que tiene una oferta única que desea limitar a cada uno. individual.

Desde el punto de vista de un administrador de base de datos, se debe realizar una consulta adicional en la base de datos si desea aceptar el símbolo más y al mismo tiempo limitar el registro del correo electrónico a un alias por dirección de correo electrónico. De lo contrario, establecer la clave UNIQUE en la dirección de correo electrónico sería suficiente para evitar un INSERT si la dirección de correo electrónico es un duplicado.

Las razones anteriores son una combinación de decisiones técnicas y comerciales que no se explican fácilmente en una línea de palabras. Si está utilizando un alias en su dirección de correo electrónico, una solución fácil es dejar esa parte para poder registrarse.

El único motivo de seguridad que se me ocurre es que están usando expresiones regulares para procesar correos electrónicos y su software es una porquería, no escapa las direcciones correctamente y cometen errores. Tal vez sea una suposición remota, pero he visto problemas relacionados con las direcciones de correo electrónico con + y expresiones regulares. En cualquier caso, la conclusión es que estos sitios son basura.