¿Cuáles son los motivos de seguridad para no permitir el inicio de sesión positivo en las direcciones de correo electrónico?

108

Mi pregunta se basa en este tweet después de comentar sobre la prohibición de los símbolos + en las direcciones de correo electrónico. El tweet dice: "Esta es una medida que hemos tomado por razones de seguridad".

Esto puede ser frustrante e inconveniente para las personas que tienen (o usan) más signos en su dirección de correo electrónico, y estoy seguro de que los sitios web no tienen la intención de hacerlo. No tengo conocimiento de las vulnerabilidades de seguridad relacionadas con el uso del carácter + ; ¿Es esto algo que debería cambiar para mejorar mi propia seguridad? ¿Cuál es la razón de seguridad para que un sitio web no permita ese carácter en un campo de correo electrónico?

Actualización: el soporte de Meetup respondió positivamente. Resulta que es más un problema de UX que uno de seguridad. Aclaraban a en este tweet que no permiten + para evitar el spam (?) Y reconocieron una sugerencia para mejorar la experiencia del usuario. (Mi intención aquí no era quejarme de Meetup; seamos amables. Quería asegurarme de que no me faltara nada importante en mis propios sitios web que reciben direcciones de correo electrónico).

    
pregunta Matt 12.08.2014 - 20:37
fuente

4 respuestas

87

No existe una vulnerabilidad de seguridad per se con un '+' en su dirección de correo electrónico. Está permitido según RFC 2822 y no es particularmente útil para SQL u otras formas comunes de inyección.

Sin embargo, muchos sistemas (llamemos a Meetup un sistema para este propósito) hacen cumplir la seguridad a través de listas blancas, no de listas negras. Alguien definió una lista limitada de caracteres que esperaban ver en las direcciones de correo electrónico (probablemente superior, inferior, numérica,., _ Y -) y escribió un filtro para bloquear cualquier cosa fuera de esa lista. Y no pensaron que nadie usaría +, así que estás fuera de suerte.

Este artículo describe cómo para configurar Postfix para etiquetar, y usar '-' en lugar de '+' porque:

  

Sin embargo, durante una discusión reciente en la lista de usuarios de Postfix, se mencionó que algunos sitios web (en particular los bancos) usan JavaScript para probar y validar las direcciones de correo electrónico cuando se ingresan en formularios en línea, y que muchos no permiten el plus símbolo como un carácter válido en una dirección de correo electrónico.

Cambié de '+' a '-' hace más de una década, por razones similares.

    
respondido por el gowenfawr 12.08.2014 - 21:32
fuente
75

Es probable que sean incompetentes y que ni siquiera sepan que te están mintiendo.

Desde un punto de vista de validación de entrada, no tienen ningún tramo para estar de pie; hay un conjunto específico de RFC que describe con firmeza el formato de una dirección de correo electrónico válida . Incluso si una dirección de correo electrónico no es válida técnicamente de acuerdo con el RFC, todavía puede ser posible enviar correo a ella de todos modos. Puede verificar si se puede entregar una dirección de correo electrónico enviándole un correo electrónico con un enlace único para que el propietario haga clic.

Como dice el sitio vinculado:

  

Lamentablemente, muchos sitios web no le permiten registrar una dirección con un signo más en ella. No porque estén intentando derrotar tu estrategia de seguimiento, sino simplemente porque son una mierda. Han copiado una expresión regular rota de un sitio web poco fiable y lo están utilizando para validar las direcciones de correo electrónico. Y perdiendo clientes como resultado.

Incluso si asumimos que tienen un código completamente dañado y están usando un validador de basura porque literalmente pegan la dirección de correo electrónico validada en un shell de UNIX, todavía no da una razón válida por la que joe.bloggs+meetup.com.better.not.sell.this.to.spammers@example.com debe considerarse inválido.

No hay una razón de seguridad válida para prohibir el uso de + en las direcciones de correo electrónico. Incluso si los spammers lo usan como una forma de bajo costo de hacer múltiples cuentas, los sitios web pueden ver fácilmente si alguien se registró como joe.bloggs+1@example.com y joe.bloggs+2@example.com ; Si Joe Bloggs está abusando de su servicio, pueden prohibir fácilmente ambas cuentas. Cualquier persona con su propio servidor de correo puede generar direcciones de correo electrónico válidas como joe.bloggs1@example.com , joe.bloggs2@example.com . No obtienen seguridad adicional al prohibir el uso de + .

    
respondido por el Stuart Caie 12.08.2014 - 21:53
fuente
18

Como han señalado otros, no hay razones de seguridad reales para no permitir un signo más en la dirección de correo electrónico.

Al ser un desarrollador web, la razón principal que se me ocurre es evitar que los usuarios realicen varios registros utilizando alias diferentes, especialmente en un sitio web de comercio electrónico en el que tiene una oferta única que desea limitar a cada uno. individual.

Desde el punto de vista de un administrador de base de datos, se debe realizar una consulta adicional en la base de datos si desea aceptar el símbolo más y al mismo tiempo limitar el registro del correo electrónico a un alias por dirección de correo electrónico. De lo contrario, establecer la clave UNIQUE en la dirección de correo electrónico sería suficiente para evitar un INSERT si la dirección de correo electrónico es un duplicado.

Las razones anteriores son una combinación de decisiones técnicas y comerciales que no se explican fácilmente en una línea de palabras. Si está utilizando un alias en su dirección de correo electrónico, una solución fácil es dejar esa parte para poder registrarse.

    
respondido por el Question Overflow 13.08.2014 - 07:59
fuente
-1

El único motivo de seguridad que se me ocurre es que están usando expresiones regulares para procesar correos electrónicos y su software es una porquería, no escapa las direcciones correctamente y cometen errores. Tal vez sea una suposición remota, pero he visto problemas relacionados con las direcciones de correo electrónico con + y expresiones regulares. En cualquier caso, la conclusión es que estos sitios son basura.

    
respondido por el akostadinov 13.08.2014 - 19:56
fuente

Lea otras preguntas en las etiquetas