0

比如说,如果使用的是 Stock Overflow 的登录系统 OpenID Selector,或者实际上允许使用 Facebook 或 Twitter 以及 OpenID 登录的 JanRain,则某些电子邮件地址没有经过验证。

在原网站上,如果一个邮箱地址没有经过验证,如果OpenID或者JanRain用一个邮箱地址验证过的用户登录,我们现在的用户账号也有一个具有该电子邮件地址的用户(但未经验证)——真正的用户现在可以控制该帐户。

但是,如果黑客注册了名人的电子邮件地址,然后等待几个月,直到名人使用 OpenID 或 Facebook 和经过验证的电子邮件地址来“合并”这两个帐户。

(网站可以宣布账户合并,但名人可能不记得他或她之前是否在该网站上注册过,因此他或她可能不会感到安全漏洞)。所以,安全风险是。现在无论名人做什么——将项目保存到列表等,黑客现在都可以默默地监控正在做的事情。

如果任何帐户有一个未经验证的电子邮件地址,其他帐户都不应该与它合并,这是真的吗?仅当两个帐户具有相同的经过验证的电子邮件地址时,这些帐户才能被视为一个帐户。

这是真的,还是规则可以比这更灵活?

4

1 回答 1

1

我认真地认为不验证用户的电子邮件帐户是个坏主意。

我知道它简化了流程,但它可以很容易地用于将您的邮件服务器列入黑名单。想象一下,当您向您的会员发送大量电子邮件时,其中很多都是虚假的,您可能会被这些虚假电子邮件报告为垃圾邮件。

拥有一个经过验证的电子邮件系统,向他们发送一封带有链接的电子邮件,要求他们单击它以完成注册,这是一个更好的系统。

于 2011-08-17T06:14:38.060 回答