Específicamente, siento curiosidad por hosted_login_token de Recurly.com, que se describe aquí: enlace
Básicamente, es un token que permite que se almacenen en texto claro e incluso se envíen por correo electrónico con las facturas y notificaciones de los clientes. Es único por cliente, pero nunca caduca. También está integrado en el enlace que los usuarios utilizan para acceder a estas páginas alojadas, por lo que en cualquier lugar donde se pueda recopilar la URL (SSL ayuda con esto, ¿sí?) Podría ser una vulnerabilidad.
Las IU a las que proporciona acceso contienen:
- ID de usuario, como nombre, dirección y número de teléfono,
- Información de pago confusa, por ejemplo, 43XX-XXXX-XXXX-1234 para un CC # (sin CVV),
- Datos de la factura sobre lo que el cliente ha comprado.
Por un lado, hay una gran cantidad de datos para recopilar si, por ejemplo, almacenamos los tokens y estuvimos comprometidos o si se retransmitió un correo electrónico en algún lugar. Por otro lado, esta es toda la información que se envía regularmente por correo postal todos los días.
Más preocupante, estas IU también pueden configurarse para permitir a los usuarios actualizar (pero, nuevamente, no ver) su información de pago, o cancelar sus suscripciones.
Nos gustaría usarlo para proporcionar a nuestros clientes acceso a las páginas de administración de facturación de autoservicio y hospedadas con todas las características anteriores. Les daríamos acceso incrustando un enlace (que contiene el token) a estas interfaces de usuario detrás de nuestro propio inicio de sesión, en nuestro dominio. Todas las páginas de nuestro sitio que contienen el token se publicarán a través de HTTPS.
¿Cómo debo manejar estos hosted_login_token s?
(Gracias de antemano, de este novato de security.stackexchange.)