Почему большинство сайтов требуют активации по электронной почте [закрыто]

13

В настоящее время большинство популярных приложений требуют активации учетной записи по электронной почте. Я никогда не делал этого с приложениями, которые я разработал, поэтому я упускаю некоторые важные функции безопасности?

Под активацией по электронной почте я подразумеваю, когда вы регистрируетесь на сайте, они отправляют вам электронное письмо, содержащее ссылку, по которой вы должны перейти, прежде чем ваша учетная запись активируется.

Palto
источник
1
Они хотят убедиться, что вы указали фактический адрес электронной почты, а не поддельный.
Энди
Будем надеяться, что SQRL изменит эту очень раздражающую вещь
sakisk
1
Я получил несколько хороших ответов на это. Проблема в том, что, возможно, я спросил неправильный путь, потому что предположил, что это должно быть из-за безопасности. Подтверждено «Согласие на участие» означает, что мы не рассылаем спам людям, которые этого не хотят.
Пальто
С другой стороны, подтвержденный выбор может касаться безопасности, поскольку без него злонамеренный пользователь может зарегистрировать несколько поддельных адресов. Если вы продолжаете отправлять электронные письма на эти адреса, вы можете оказаться в списке спама.
Пальто
1
Этот вопрос кажется не по теме, потому что он касается информационной безопасности. Этот вопрос, скорее всего, уже имеет похожие вопросы и ответы там. Возможный дубликат: security.stackexchange.com/questions/13983/… Спасибо.
maple_shaft

Ответы:

25

Активация подтверждает, что адрес электронной почты принадлежит вам. Речь идет не столько о том, чтобы быть фальшивым или несуществующим, сколько о том, чтобы быть вашим, и в первую очередь им это нужно для альтернативного / plan-b способа аутентификации.

Николай Ценков
источник
1
Это самый актуальный ответ относительно безопасности. Что если я зарегистрируюсь на ВАШЕМ электронном письме? Однако я думаю, что могут быть и другие причины, такие как сброс паролей , отправка важной и / или личной информации, продвижение по службе и т. Д.
Francisco Presencia
Если вы регистрируетесь по электронной почте, я получаю запрос на подтверждение, и это должно вызывать у меня подозрения. И, конечно же, мне нужно убедиться, что адрес электронной почты правильный, так как я могу, например, сбросить пароль.
Андреа Жирарди,
3
+1 но "письмо твое" не совсем верно. Это только гарантирует, что тот, кто регистрируется, имеет доступ к учетной записи электронной почты. Ничего больше.
Марьян Венема
9

Большинство веб-сервисов хотят иметь возможность связываться с пользователями и использовать для этого электронную почту. В частности, пользователь забывает свой пароль, тот факт, что он может прочитать электронное письмо по адресу, указанному в файле службы, подтверждает его подлинность как законного пользователя, которому разрешено сбрасывать пароль. Электронная почта также может быть способом информировать вас о важных обновлениях (иначе как спам).

Чтобы служба могла проверить электронную почту, она должна убедиться, что пользователь, создающий учетную запись, имеет доступ к этой электронной почте. Это как для защиты пользователя от опечатки в адресе электронной почты, так и для защиты сайта от спама.

Вам не нужно требовать электронную почту, чтобы подписаться на вашу услугу. Однако, когда пользователи забудут свои учетные данные, они будут недовольны. Сброс пароля электронной почты является нормой.

Если пользователь выбирает одноразовый адрес электронной почты, он намеренно отказывается от эксклюзивного контроля над учетной записью. Некоторые сайты, которые хотят спамить, пытаются отклонить такие адреса, хотя это, конечно, бесполезно (в конце концов, большие сайты, такие как Gmail, также позволяют создавать одноразовые адреса).

Жиль "ТАК - прекрати быть злым"
источник
7

Подтверждение согласия также может быть сделано для соблюдения антиспамовых законов по другой причине, чтобы отправить ссылку в электронном письме.

JB King
источник
Ага. Был бы так просто для кого - то , чтобы подписаться на другой человек , он невзлюбил за несколько тысяч списков рассылки ...
jwenting
1

Да, вы. Проверяя адрес электронной почты, вы убедитесь, что владелец аккаунта владеет этим адресом.

Позже, если кто-то попытается зарегистрироваться с тем же адресом, это будет невозможно, поскольку вы уже убедились, что у правильного владельца уже есть учетная запись.

По сути, это гарантирует людям, кем они себя называют. Если у вас есть сайт социальной сети, где люди могут добавлять контакты по адресу электронной почты, это ограничит возможности мошеннического пользователя, используя адрес другого человека.

SilverlightFox
источник
«владеет этим адресом». Он только гарантирует, что у того, кто подписан, есть доступ к учетной записи электронной почты. Ничего больше.
Марьян Венема
@MarjanVenema Более технически: доступ к HTTP-потоку, через который проходит электронная почта, или к хранилищу, в котором находится электронная почта, но для большинства целей и целей вы не позволяете кому-то другому зарегистрироваться, используя чужой адрес.
SilverlightFox
На самом деле, просто не рассчитывайте на то, что адрес электронной почты действительно является владельцем этого адреса. Люди слишком много делятся со своими друзьями и семьями. Когда дела идут кислые счета фиктивных будут созданы с использованием прежних друзей полномочия "/ партнером.
Марьян Венема
1

Несколько часто используемых причин:

  • Убедитесь, что адрес электронной почты действителен.
  • Убедитесь, что пользователь владеет адресом электронной почты.
  • Убедившись, что пользователь ХОЧЕТ подписаться.
  • Убедиться, что будущее общение может обрабатываться правильно.
  • Предоставление пользователю подтверждения, что он подписан, и цифровой след.
Nzall
источник
это только ваше личное мнение или вы можете как-то это подтвердить?
комнат
Я думаю, что мой выбор слов был немного неправильным. Я не хотел давать рейтинг или утверждать, что «это всегда наиболее часто используемые причины», но больше напоминал краткое изложение, указывающее: «Это частые причины, требующие активации, но не в каком-либо конкретном порядке или рейтинге». Я отредактировал свой пост, чтобы прояснить это.
Nzall
2
«Убедитесь, что пользователь владеет адресом электронной почты». Это только гарантирует, что тот, кто регистрируется, имеет доступ к учетной записи электронной почты. Ничего больше.
Марьян Венема
1

Я думаю, что это зависит от возможностей, которые вы предоставляете своему пользователю. Может ли он отправлять сообщения другим пользователям и рассылать спам с помощью рекламы? Может ли он или она размещать на вашем сайте и везде размещать рекламу виагры? Может ли он или она загрузить много файлов и заполнить ваше драгоценное место на сервере. Если что-либо из вышеперечисленного или что-то еще, что может быть использовано для рассылки спама или взлома вашего сервера, существует, вы хотите, чтобы спамерам было максимально сложно зарегистрироваться на вашем сайте. Таким образом, аутентификация электронной почты - это еще один шаг, который мешает спамерам притворяться людьми.

Для этого вам следует использовать проверку подлинности электронной почты с формой, которая затрудняет заполнение машин с использованием капчи или других методов, а также блокирует почтовые службы мусорной корзины.

Christoph
источник