Endereços de E-mail dentro do URL
[email protected]
. Qual é a sua opinião, é seguro para a aplicação aceitar e trabalhar com os pedidos de obtenção em //application.com/[email protected]
e o mesmo tipo de URLs para cada usuário?
4 answers
Então, os endereços de E-mail dos seus utilizadores pousarão nas listas dos spammers e obterão "anúncios indesejados", eufemisticamente falando. (Estas listas de E-mail serão bastante valorizadas, também, porque elas são "verificadas" para serem reais, já existentes.)
O que está a fazer aqui é dar um pouco de identificação privada que os seus utilizadores lhe confiaram. Nunca permita que isso seja em público, a menos que seus usuários lhe tenham dito! Do ponto de vista técnico, podes ir em frente.Além disso, eu não gostaria que do ponto de vista do usuário como neste caso meu e-mail ficaria no histórico de navegadores.
Neste caso, o endereço de E-mail pode ser usado com o parâmetro pedido como método GET, p. ex.:
// application.com/[email protected]
Esta opção é mais segura e provavelmente utilizada.
Depende.
Embora os endereços de E-mail comuns não sejam muito problemáticos, um endereço de E-mail pode potencialmente conter caracteres como a barra invertida \ e a marca de citação"[1]
abc."defghi\\\"[email protected]
ou "abcdefghixyz"@example.com
são endereços de E-mail válidos.
Desde que você esteja validando adequadamente e santificando entrada antes de usá-lo, por exemplo, para procurar uma entidade a partir de um db sua aplicação será segura.
Também está a enviar o endereço de E-mail dos utilizadores para a palavra, potencialmente colocá-lo nas mãos de spammers.
Outra questão é que se o seu utilizador mudar o seu endereço de E-mail, a entidade fica inacessível.
Uma melhor abordagem é usar um índice único, talvez em combinação com um nome de utilizador.