【TechTarget中国原创】问:在新用户获得加密系统的访问权之前,例如电子商务应用,让用户通过点击“验证新用户”的链接来确定他或她的电子邮件地址是个好办法吗?这会阻止通过书写一个程序来创建大量用户的攻击吗?
答:确认邮件的目的是阻止欺骗并阻止创建大量用户向站点发送垃圾邮件的企图。而不是为了验证这个站点的用户或者验证他们的身份。
尽管有这个限制,确认邮件对电子商务网站的安全控制非常有用。但是他们不能依赖于这样单一的控制来阻止恶意用户的注册。
欺骗攻击的一个案例是这样的:一个恶意用户试图获得另一个人对一点电子商务网站的访问权,例如,使用别人的电子邮件地址。他们可能这么做来获得的银行帐户的访问权,这个银行账户已经存在,但是,还没有注册网上帐户的访问。
确认邮件将会发送到合法用户的邮件地址。如果真实的帐户持有者实际注册了,他活着她可能正在等着这样的邮件。如果这份邮件是意料之外的,账户的持有者可以给银行打电话,而银行可以调查并冻结账户,如果需要,就可以阻止恶意使用或访问。
需要用户点击链接或者返回到网站上验证他们的访问的确认邮件的方法还可以阻止试图自动注册到这个站点的垃圾邮件。发送垃圾邮件的人可以使用成千上万的可能账户的名称来攻击这个网站,这样就可以发现可以窃取的合法账户。确认邮件可以通过请求每个个人邮件的回应来阻止这些类型的攻击,而这样的回应是自动脚本做不到的。
当使用确认邮件时要考虑的另外一件事包括session-replay攻击。确认邮件中的链接包含单一的、只可以使用一次的标识符。在用户点击链接并确认注册后,这个链接就终止了。否则,恶意用户就可以剪切并粘贴这个URL,来获得账户。时期终止应该是电子商务注册软件的一部分。
再强调一次,确认电子邮件只是欺骗和垃圾邮件控制的一种方法,而不是一种认证的方式。