unsubscribe

___ qstnhdr ___ Warum nicht die E-Mail-Adresse im Abmelde-Link verwenden ___ answer5797345 ___

Aus dem gleichen Grund, dass Banken keine Links wie

haben %Vor%

es kann leicht abgefangen und interpretiert werden.

    
___ answer5797355 ___

So ziemlich jeder Newsletter, den ich bekomme, hat einen Disclaimer am Ende, etwa so:

  

Diese E-Mail wurde an [email protected] gesendet. Klicken Sie zum Abbestellen auf diesen Link: xxxx

Ich finde die explizite Auflistung meiner eigenen E-Mail-Adresse im Newsletter hilfreich. Ob die E-Mail-Adresse im Abmelde-Link ist oder nicht, scheint mir irrelevant.

Angenommen, Sie veröffentlichen die E-Mail-Adresse nicht im tatsächlichen Text der Nachricht oder im Link zum Abbestellen. Die E-Mail-Adresse befindet sich immer noch im Header der E-Mail-Nachricht. Als Ergebnis sehe ich nicht wirklich die Notwendigkeit oder den Grund dafür, es innerhalb des Abmeldelinks zu verdunkeln.

    
___ answer5797431 ___

Warum nicht? Fügen Sie es nicht ein, weil es nicht benötigt wird . Wofür werden diese Daten verwendet? Schlagen Sie vor, dass wir nichts enthalten, was wir nicht wirklich in der Querystring benötigen.

Das einzige, was tatsächlich benötigt wird, ist eine eindeutige Kennung. Es sieht so aus, als hätten Sie bereits eine eindeutige Kennung in der Querystring: %code% .

Ein potenzielles Problem: Was hält mich davon ab, automatisch Abmeldungs-URLs zu erstellen und %code% von 1 bis 10 Millionen zu treffen?

Vorschlag: Erstellen Sie eine Benutzeranleitung für jeden Benutzer in Ihrer Tabelle. Verwenden Sie das als Ihr Abmeldungs-Token. Es ist nicht zu erraten oder anfällig für automatisierte Angriffe.

%Vor%     
___ answer5797446 ___

Weil Sie dann jemand anderen abmelden können. Idealerweise möchten Sie nur einen Schlüssel verwenden:

%Vor%

Ich sollte nicht in der Lage sein, Ids und E-Mails zu erraten und etwas Aktion für jemand anderen auftreten zu lassen.

    
___ answer5797352 ___

Ich stimme zu, dass Sie die E-Mail-Adresse nicht benötigen, wenn Sie eine andere Methode zur eindeutigen Identifizierung des Benutzers haben. Der einzige Grund könnte darin bestehen, dem Benutzer die E-Mail-Adresse anzugeben, mit der er / sie angemeldet ist, die aber auch veraltet ist, da er offensichtlich die E-Mail erhält.

    
___ answer5797350 ___

Ich vermute, dass uid eine Benutzer-ID ist. Wenn Sie die Benutzer-ID kennen, dann sollten Sie in der Lage sein, die E-Mail-Adresse von diesem Recht zu bestimmen? Scheint so, als hätte die Email in der URL nichts. Ich schätze, wenn Sie keine persönlichen Informationen hinzufügen müssen, dann tun Sie es am besten nicht.

    
___ tag123security ___ Themen in Bezug auf Anwendungssicherheit und Angriffe auf Software. Bitte verwenden Sie dieses Tag nicht alleine, da dies zu Mehrdeutigkeiten führt. Wenn es sich bei Ihrer Frage nicht um ein spezielles Programmierproblem handelt, können Sie es stattdessen bei Information Security SE anfordern: https://security.stackexchange.com ___ answer5797426 ___

Ich könnte Ihnen eine sehr knifflige Antwort geben, aber Sie werden feststellen, dass die vollständige E-Mail-Adresse keine schlechte Idee ist.

Eine URL mit einer E-Mail-Adresse könnte von bösartigen Proxies (z. B. von öffentlichen Orten) verwendet werden, um Adressen zu speichern und Spam zu senden. Aber wenn ich vermute, dass der öffentliche Ort etwas Böswilliges hat, installieren Sie besser einen Keylogger auf dem öffentlichen Computer und machen Sie noch schlimmer.

Ein weiterer Punkt könnte sein: Wenn Sie E-Mails an wertvolle Kunden senden, kann ein Angreifer E-Mail-Adressen fälschen und sie abbestellen, wodurch sich Ihre Kommunikationsstärke verringert. Dazu können Sie Ihrer URL eine Krypto-Prüfsumme hinzufügen (benötigen Sie kein CAPTCHA, die Leute mögen es nicht, wenn Sie sich abmelden), aber dann die gesamte Mail-Adresse, die Sie lösen könnten, verschlüsseln (oder nur auf eine nicht offensichtliche Weise verschlüsseln) das Problem, ohne zwei Parameter zu verwenden.

    
___ tag123email ___ E-Mail ist eine Methode zum Austauschen digitaler Nachrichten von einem Absender an einen oder mehrere Empfänger. Wenn Sie nachfragen, warum die von Ihnen gesendeten E-Mails als Spam markiert sind, ist das Thema für StackOverflow nicht relevant. ___ tag123abbestellen ___ hilf uns dieses Wiki zu bearbeiten ___ answer5797854 ___

Da Sie %code% nicht verwenden, können Abfrageparameter aktiviert werden. Dies ist ein ernstes Problem für mobile Benutzer und Benutzer von Laptops in Orten mit kostenlosem Wi-Fi wie Coffeeshops.

Und da uid bereits auf die E-Mail-Adresse verweist, müssen Sie Snoofern keine Informationen wie eine E-Mail-Adresse zur Verfügung stellen.

Sie müssen sicherstellen, dass die Abmeldung nicht erfolgt, sobald sie auf einen Link klicken. Das ist eine GET-URL, die idempotent sein sollte (siehe Abschnitt 9.1 ), was bedeutet, dass sie keine Autorität haben sollte um die zugrunde liegende Datenbank zu ändern.

Und ich sollte nicht befugt sein, Sie abzubestellen, nur indem ich Ihre E-Mail-Adresse kenne, was ich tun könnte, indem ich eine URL fälsche, wenn uid entweder raten oder nicht benötigt wird.

    
___ tag123emailspam ___ Spam ist die Verwendung von elektronischen Nachrichtensystemen, um unaufgeforderte Massennachrichten wahllos zu senden. ___ qstntxt ___

Geben Sie mir einige Gründe, warum Sie E-Mail-Adressen NICHT in einen einfachen Text für den Abmelde-Link aufnehmen sollten, der in unseren Newslettern verschickt wird.

Im Moment ist es:

%Vor%

Ich dränge auf:

%Vor%

Ich mag die Idee, E-Mail-Adressen in einfachen Text zu schreiben, nicht wirklich, aber ich muss meinen Vorgesetzten von möglichen Bedrohungen überzeugen.

Update: Während alle Antworten suggerierten, wie ich es sichern sollte und NICHT zu begründen, warum ich es sichern sollte, finde ich die Antwort von do-ob am geeignetsten.

    
___
6
Antworten

Abmelden von Delegaten, die über das Schlüsselwort ref an die Subskriptionsmethode übergeben wurden?

Ich habe folgende Klasse: %Vor% Ich habe eine Weile gesucht und es scheint, dass ein mit dem Schlüsselwort ref übergebenes Argument nicht gespeichert werden kann. Der Versuch, das Quellenargument zu einer Liste hinzuzufügen oder einer Feldva...
14.12.2011, 19:58
1
Antwort

Angular2: Abmeldung von http im Service

Was ist die beste Vorgehensweise, um sich innerhalb eines Angular2-Dienstes von einem http-Abonnement abzumelden? Momentan mache ich das, aber ich bin mir nicht sicher, ob das der beste Weg ist. %Vor%     
29.11.2016, 08:56
3
Antworten

unsubscribe ist keine Funktion auf einer Observablen

Ich mache eine Drag & Drop-Anwendung und ich habe eine Observable für die Mausposition erstellt, die mein drag-object neu positioniert. %Vor% Mit dieser Implementierung habe ich kein Problem, auf diese Weise zu abonnieren: %Vor% Ich k...
16.12.2016, 19:17
2
Antworten

Rails E-Mail mit Abmelden-Link

Ich arbeite an einer Rails 4.2-App, die wiederkehrende wöchentliche Ereignisse enthält, für die sich Benutzer registrieren. Sie erhalten vor jeder Veranstaltung (wöchentlich) eine Erinnerungs-E-Mail. Ich möchte einen Abmeldelink mit einem Klick...
22.12.2015, 04:41
8
Antworten

Warum nicht die E-Mail-Adresse im Abmelde-Link verwenden

Geben Sie mir einige Gründe, warum Sie E-Mail-Adressen NICHT in einen einfachen Text für den Abmelde-Link aufnehmen sollten, der in unseren Newslettern verschickt wird. Im Moment ist es: %Vor% Ich dränge auf: %Vor% Ich mag die Idee, E...
26.04.2011, 22:40