Enlaces de registro personalizados seguros

Navega tus respuestas
1

Estoy trabajando en un sitio web que permite a un usuario actual invitar a otra persona para que sea su amiga escribiendo la dirección de correo electrónico de quien no es el usuario. El usuario que no sea el usuario recibiría un url de registro personalizado por correo electrónico que, cuando se usara, conectaría automáticamente a los dos usuarios, dando a cada uno acceso a la información privada del otro.

Las direcciones URL de registro personalizadas estarán un tanto protegidas mediante el uso de fuentes criptográficas aleatorias (es decir, site.com/very-long-random-nonce), con suerte protegiendo contra ataques de repetición o personas simplemente adivinando el enlace de registro de otra persona.

Mi preocupación es que, si el correo electrónico debe ser interceptado en tránsito, el interceptor podría obtener acceso a la información privada del usuario que invita. ¿Cómo puedo asegurarme de que solo el destinatario deseado recibirá y utilizará una url de registro personalizada?

    
pregunta Nathan Arthur 14.04.2014 - 23:08
fuente

3 respuestas

2

Para esto, su principal preocupación es asegurarse de que la información solo sea accesible para el destinatario; que se parece mucho a lo que la criptografía pública / PGP intenta lograr.

A menos que desee ver si el no usuario de destino tiene una clave PGP publicada, o si puede obtener su certificado para cifrar el correo electrónico con su clave pública; Creo que solo deberías asumir que él o ella será quien lea el correo electrónico.

Otra nota es que un usuario puede determinar si esta persona es realmente quien dice ser, quizás insertando una pregunta secreta que solo el destinatario conoce. Pero eso sería un dolor de usar.

    
respondido por el ndrix 15.04.2014 - 07:38
fuente
1

No creo que puedas. Usted no sabe nada sobre el destinatario deseado, por lo que cualquiera recibir y utilizar el enlace es tan probable como cualquier otra persona para ser el hombre correcto. Una común La mitad de la medida es hacer que el enlace sea válido solo por un corto tiempo.

    
respondido por el ddyer 15.04.2014 - 04:44
fuente
0

Qué pasaría si, en cambio, les enviaras un enlace genérico que los lleva a una página de tu sitio que luego genera una URL aleatoria y temporal para ellos y los envía a la página de registro.

    
respondido por el Python Novice 15.04.2014 - 05:37
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo agregar una capa de seguridad para borrar contraseñas de texto y SSL? Riesgo de seguridad de conectar un dispositivo móvil a un punto de acceso de otro dispositivo móvil