Tenemos un proveedor que nos envía mensajes "seguros". Los mensajes vienen como un mensaje de correo electrónico que contiene un enlace a un sitio web cifrado con SSL que tiene el mensaje real. No hay nombre de usuario / contraseña en el sitio vinculado, o cualquier otra forma de autenticación, por lo que puedo decir.
Estoy seguro de que hacen esto para que puedan marcar una casilla en alguna lista de verificación de cumplimiento, pero quiero saber, ¿puede esto realmente considerarse seguro?
Mi idea es que, dado que el enlace en sí se envía de forma clara, entonces no es diferente de si hubieran enviado el mensaje en el correo electrónico en primer lugar. Cualquier atacante que pueda obtener acceso a mi correo electrónico, ya sea en reposo o en tránsito, puede capturar y luego visitar el enlace.
Entonces, ¿esto es seguro, y si está al menos en algún nivel, qué problemas de seguridad podría estar resolviendo? ¿Existen otras medidas de seguridad, que no son evidentes, que podrían estar tomando para garantizar que solo el destinatario original pueda usar el enlace?
Porque varias respuestas lo han mencionado. En este caso, no hay una lista blanca de direcciones IP o la autenticación de proxy detrás de escena.
Además, hay una fecha de vencimiento que figura en el enlace, pero está bastante lejos en el futuro.