2 votes

Utilisateur non enregistré avatar

Vérification d'un utilisateur dans le cas d'utilisation "Soumission par courriel".

Demandé el 24 de Mars, 2009
Quand la question a-t-elle été
257 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je suis en train de mettre en place un système qui permet aux gens de soumettre du texte et des photos par courriel en plus de l'accès standard sur le site Web. J'essaie de pondérer les avantages en matière de sécurité de deux stratégies en particulier pour vérifier les soumissions d'un utilisateur. Les voici :

  • Pour baser l'authentification : Créez une adresse e-mail secrète par utilisateur et présentez-la à l'utilisateur pour qu'il la soumette. Cette stratégie présente l'avantage de permettre aux utilisateurs d'envoyer des messages à partir de plusieurs appareils qui peuvent être configurés avec différents comptes de messagerie.
  • Autorisation basée sur les données : N'acceptez que les courriels provenant d'adresses enregistrées dans la base de données des utilisateurs. L'idée est qu'il est peu pratique/difficile de se faire passer pour des utilisateurs enregistrés en se basant sur l'adresse d'envoi.

Pouvez-vous imaginer d'autres solutions possibles ? Parmi les stratégies proposées, laquelle vous semble la plus logique ?

Demandé el 24 de Mars, 2009 par Utilisateur non enregistré

Réponses

Trop de publicités?

5voto

Daniel LeCheminant avatar
Daniel LeCheminant Points 28101

Je vous suggère de ne pas utiliser l'authentification basée sur l'origine, du moins pas sans des informations d'identification supplémentaires (une phrase de passe, etc.).

C'est beaucoup trop facile à falsifier. et certainement pas difficile si vous connaissez l'adresse électronique de quelqu'un.

Si vous renvoyez l'e-mail à l'utilisateur pour confirmation, vous pouvez rendre les choses un peu plus difficiles, mais sachez que votre service peut finir par être utilisé comme une sorte de relais de spamming. (Je pourrais vous envoyer 100 demandes de téléchargement, avec une fausse adresse FROM, et vous iriez de l'avant et spammeriez la vraie personne avec 100 demandes de confirmation).

Répondu el 24 de Mars, 2009 par Daniel LeCheminant (28101 Points )

0voto

Richard avatar
Richard Points 11249

La meilleure option consiste à vérifier l'adresse électronique enregistrée, mais à ajouter la nécessité d'un code dans l'objet du courriel connu de l'utilisateur. Ainsi, s'il falsifie l'adresse de l'e-mail, il aura toujours besoin d'une clé pour authentifier l'e-mail entrant.

Répondu el 24 de Mars, 2009 par Richard (11249 Points )

0voto

Sunny Milenov avatar
Sunny Milenov Points 10978

J'opterais pour "de" + confirmation, pour éviter la contrefaçon.

C'est-à-dire recevoir l'email, mais envoyer une réponse avec le jeton d'authentification dans la ligne d'objet (ou dans le corps) à l'adresse "from". L'utilisateur devra soit répondre, soit cliquer sur un lien pour confirmer la soumission.

Et vous ne publiez le contenu qu'après confirmation.

Répondu el 24 de Mars, 2009 par Sunny Milenov (10978 Points )

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X