Endereços de E-mail dentro do URL

É seguro usar endereços de E-mail dentro dos URLs? Digamos que uma aplicação web tem um utilizador registado " Bob " e o Bob foi registado usando o seu email => [email protected]. Qual é a sua opinião, é seguro para a aplicação aceitar e trabalhar com os pedidos de obtenção em //application.com/[email protected] e o mesmo tipo de URLs para cada usuário?

Author: unor, 2013-12-05
Source

4 answers

Basicamente, depende se amas ou odeias os teus utilizadores. Quando você fizer o que você sugere, estes URLs se espalharão nas páginas HTML na web. Não necessariamente confinado ao seu próprio local, porque as pessoas podem se ligar a ele. Quando a sua página ganha tração suficiente para se tornar importante, os autores rastejantes de bots de spam vão notar e adicionar regras aos seus rastejantes para extrair o endereço de E-mail de URLs. Pode até não ser necessário, porque alguns rafeiros podem já encontrar o e-mail sem adaptacao.

Então, os endereços de E-mail dos seus utilizadores pousarão nas listas dos spammers e obterão "anúncios indesejados", eufemisticamente falando. (Estas listas de E-mail serão bastante valorizadas, também, porque elas são "verificadas" para serem reais, já existentes.)

O que está a fazer aqui é dar um pouco de identificação privada que os seus utilizadores lhe confiaram. Nunca permita que isso seja em público, a menos que seus usuários lhe tenham dito! Do ponto de vista técnico, podes ir em frente.
 11
Author: Boldewyn, 2013-12-05 12:43:39
Acho que não é uma boa ideia. Em primeiro lugar, o e-mail contém caracteres especiais que precisam de ser codificados com URL para que não se misturem com caracteres de sistema (por exemplo, para os servidores FTP, poderá passar o nome de utilizador como este ftp://user:[email protected]).

Além disso, eu não gostaria que do ponto de vista do usuário como neste caso meu e-mail ficaria no histórico de navegadores.

 1
Author: Kaspars Ozols, 2013-12-05 12:43:42

Neste caso, o endereço de E-mail pode ser usado com o parâmetro pedido como método GET, p. ex.:

// application.com/[email protected]

Esta opção é mais segura e provavelmente utilizada.

 0
Author: Mouhamad Ounayssi, 2013-12-05 12:41:57

Depende.

Embora os endereços de E-mail comuns não sejam muito problemáticos, um endereço de E-mail pode potencialmente conter caracteres como a barra invertida \ e a marca de citação"[1]

abc."defghi\\\"[email protected] ou "abcdefghixyz"@example.com são endereços de E-mail válidos.

Desde que você esteja validando adequadamente e santificando entrada antes de usá-lo, por exemplo, para procurar uma entidade a partir de um db sua aplicação será segura.

Também está a enviar o endereço de E-mail dos utilizadores para a palavra, potencialmente colocá-lo nas mãos de spammers.

Outra questão é que se o seu utilizador mudar o seu endereço de E-mail, a entidade fica inacessível.

Uma melhor abordagem é usar um índice único, talvez em combinação com um nome de utilizador.

 0
Author: max, 2013-12-05 13:04:07