Muy a menudo, para activar mi cuenta en un sitio web, recibiré un correo electrónico con esto:
https://web_site.com/access?uid=1234&secret=456789&login=0123456789&mid=aabbcccdd
¿Por qué ID de usuario, inicio de sesión, medio u otros parámetros de adición? ¿Por qué no solo un código de activación secreto?
por ejemplo, stackoverflow:
https://stackoverflow.com/users/signup-finish?email=my_email.com&name=my_name123&token=fdsafdsfdsfds&authCode=fdsafdsfdsfds
Parece ser una mala práctica. Todo lo que necesitan es un código de activación único que se asigna a su nueva cuenta.
Algunos de ellos (por ejemplo, secreto =) se pueden tratar como efímeros y, por lo tanto, no aumentan el riesgo en gran medida, pero en general, limitar la exposición a cualquier información / estructura interna siempre es una buena idea (a pesar de todos los argumentos en contra de la seguridad por oscuridad) - especialmente cuando se usa junto con otras medidas de seguridad. También existe el riesgo adicional de puntos de inyección potenciales adicionales con cada parámetro adicional.
Considerado todo, no es una práctica que recomiendo.
Es simplemente una forma de correlacionar su cuenta y el token de activación. Un token arbitrario pasado a un sistema significa que el sistema necesita buscar cada token para:
Al utilizar el enlace para vincular la información pública con el token, el back-end ahora puede mirar directamente a su cuenta y responder Yay o Nay.
El uso del correo electrónico y el nombre de usuario con el token también permiten a la compañía auditar mejor. Si por alguna razón, y el ataque está tratando de forzar una fuerza bruta en un sistema de verificación, sería bastante sospechoso si [email protected], utilizando id bob_jane, probara 5 tokens de verificación diferentes.
Lea otras preguntas en las etiquetas web-application url email registration