¿Pueden los spambots acceder a páginas disponibles solo para usuarios registrados y autenticados?

Navega tus respuestas
2

Tengo una aplicación web donde los usuarios se registran y se activan a través de un correo electrónico enviado a la dirección de correo electrónico que proporcionaron.

Luego, hay páginas que solo son visibles para los usuarios registrados (el acceso de no usuarios está restringido al verificar un objeto de usuario en la sesión).

En estas páginas restringidas, me gustaría mostrar una lista que incluya las direcciones de correo electrónico de otros usuarios.

¿Sigo teniendo que tomar precauciones para ofuscar las direcciones de correo electrónico para que estén protegidos contra los robots de spam y similares? ¿O es suficiente que la página no sea accesible para usuarios no autenticados?

Editar: Los correos electrónicos en mi sitio no son particularmente valiosos y no es un sitio con material muy sensible. Simplemente no quiero que los usuarios se molesten con el spam.

    
pregunta theyuv 07.10.2015 - 20:27
fuente

1 respuesta

2

Hay muchos puntos individuales aquí. Primero, déjame aclarar algunas cosas:

  • Personalmente, considero las direcciones de correo electrónico Información de identificación personal (PIN) y, por lo tanto, la necesidad de estar protegido. Mi regla de oro personal es que si le estoy pidiendo a un usuario, entonces no se conoce y, por lo tanto, necesita ser protegido.
  • Es posible que la ofuscación no siempre evite la fuga de datos (correos electrónicos), sino que solo ralentice o frene ligeramente el proceso (pero solo si se implementa correctamente)
  • Supongo que tiene una aplicación web segura y solo está preguntando si puede asumir razonablemente seguridad en las páginas donde los usuarios se han autenticado correctamente.

La respuesta rápida es sí (suponiendo que la aplicación web y la autenticación se hayan implementado correctamente).

Sin embargo, hay cosas importantes a considerar:

  • Los 'spambots' automatizados pueden y do se infiltran en muchos sistemas con mecanismos de autenticación. Por ejemplo, su aplicación como se define simplemente valida que un usuario registrado tenga una dirección de correo electrónico válida, esto es bastante fácil de solucionar.
  • Asegúrese de implementar sus procesos de autenticación correctamente. IE asegúrese de que su proceso para verificar el 'objeto de usuario' es criptográficamente seguro. Sin más detalles sobre cómo hacer esto, no puedo decirlo con seguridad.

Una alternativa simple para mostrar las direcciones de correo electrónico reales de los usuarios sería usar un servicio de transmisión de correo electrónico (como craigslist) o un sistema de mensajería interno.

    
respondido por el Matthew Peters 07.10.2015 - 20:48
fuente

Lea otras preguntas en las etiquetas

¿Qué significa "firmar con un certificado"? [duplicar] ¿Podría utilizarse PKE como una mejor alternativa a SRP para la autenticación?