是否可以使用经过验证的电子邮件地址的任何帐户与未经验证的电子邮件地址合并?

时间:2011-02-16 03:47:40

标签: security privacy janrain

比方说,如果使用OpenID Selector(Stock Overflow的登录系统)或JanRain(实际上允许使用Facebook或Twitter登录以及OpenID),那么,某些电子邮件地址不会被验证。

在原始网站上,如果未验证电子邮件地址,我们可以合并两个帐户(将其视为一个用户) OpenID或JanRain使用经过验证的电子邮件地址登录用户,我们当前的用户帐户也有一个用户 电子邮件地址(但未经验证) - 真实用户现在可以控制帐户。

但是,如果黑客注册了一个名人,该怎么办? 电子邮件地址,然后等待几个月,直到名人使用OpenID或Facebook与经过验证的电子邮件地址“合并” 两个帐户。

(网站可以宣布合并帐户,但名人可能不记得他或她以前是否已在该网站注册。因此他或她可能不会感到安全漏洞)。因此,安全风险是。 现在无论名人做什么 - 将项目保存到列表等,黑客现在可以默默地监视正在做的事情。

因此,如果任何帐户有未经验证的电子邮件地址,则其他帐户不应与其合并。只有两个帐户 拥有相同的经过验证的电子邮件地址,那么这些帐户可以被视为一个帐户。

这是真的,还是规则可以比这更灵活?

1 个答案:

答案 0 :(得分:1)

我认真地认为不验证用户的电子邮件帐户是个坏主意。

我知道它简化了流程,但可以很容易地用来说明你的邮件服务器黑名单。想象一下,当您向会员发送大量电子邮件时,其中很多都是虚假的,您可能会被这些虚假的电子邮件报告为垃圾邮件。

拥有经过验证的电子邮件系统,向他们发送一封电子邮件,其中包含要求他们点击以完成注册的链接,这是一个更好的系统。