Меню
Что нового?

Безопасно ли отсыать скриптом админу на мыло управляющие ссылки?

artnik7

artnik7

Новичок
К примеру админу на email приходит уведомление о действии/событии на сайте с ссылками "подтвердить | отклонить". Урл ссылки имеет подобный вид "http://site.ru/?comand=reject&token=УникальныйХЕШ...". После нажатия без авторизации (админа), сразу, выполняется действие... хеш просрочивается.

Подскажите безопасен ли будет такой скрипт?

PS: Возможно не совсем в тему. Не знал куда лучше добавить
 

ksnk

прохожий
А чего боимся? Того, что чужие дяди сольют админскую почту в интернет? Тогда reject-нереждект будет сделан не одмином ;)
Так как все такие ссылки будут работать ровно один раз, разрушительных последствий не произойдет. Осталось только гарантировать, что сами ссылки не позволяют автоматически зайти админом на сайт.
 
artnik7

artnik7

Новичок
Ок. Да, наверно будет защищено на все 100, если хеш будет генериться для каждого письма
 
scorpion-ds

scorpion-ds

Новичок
ksnk написал(а):
Осталось только гарантировать, что сами ссылки не позволяют автоматически зайти админом на сайт.
Нажмите для раскрытия...
А чем это опасно?

Дело в том, что у меня есть такие же ссылки и кроме управляющей команды, они могут выполнять автоматическую авторизацию на сайте в роли администратора, правда для входа в АЦ надо ввести пароль еще раз, но на сайте выдаются максимальные права, хотя у такой сессии есть специальный атрибут, который сообщает каким методом прошла авторизация, по нему я могу запретить некоторые опасные действия.
 
Absinthe

Absinthe

жожо
Это не только небезопасно(нет же авторизации? любой по этой ссылке перейдет и что-то натворит), но и неправильно(GET-запросы не должны изменять состояние)

Если не боятся слива почты, то и сомневаться в таком способе авторизации нет особых оснований.
Нажмите для раскрытия...
Наивный :) Проиндексируется(ссылка будет получена через плагин поисковика в браузере) - и будет в открытом доступе.
 
scorpion-ds

scorpion-ds

Новичок
Absinthe написал(а):
Это не только небезопасно(нет же авторизации? любой по этой ссылке перейдет и что-то натворит), но и неправильно(GET-запросы не должны изменять состояние)

Наивный :) Проиндексируется(ссылка будет получена через плагин поисковика в браузере) - и будет в открытом доступе.
Нажмите для раскрытия...
Разве, что проиндексируется моя почта, а ссылка одноразовая, второй раз она не сработает, так что индексация тут не причем.

Какие еще могут быть опасности?
 
artnik7

artnik7

Новичок
Получается что если поисковик таким способом прочтет ссылку, то он по идее должен будет по ней перейти, чтобы проиндексировать ее? Если так то он может накуралесить... Ссылка хоть и один раз сработает, но поисковик при переходе выполнит на серваке команду.
Можно как вариант сделать ссылку вида <a href="#" onclick="javascript.location.href = СЦЫЛКА"> но не факт что она сработает в почтовом клиенте или на сайте почты. Или капчу простецкую, типа введите цифру 5, при переходе по ссылке отображать
 
artnik7

artnik7

Новичок
Кто ни-будь знает, поисковик когда сканирует страницы то он юзает яваскрипт? Конечно врядли... Если нет то можно после перехода js редиректом перенаправлять на страницу команды
 

ksnk

прохожий
Разве, что проиндексируется моя почта,
Нажмите для раскрытия...
О боже. А еще что-то я говорил о злых дядях, которые сливают почту... Тут просто в открытом доступе все лежит? Нада исчо и сервис восстановления паролей побыстрее туда включить
 
scorpion-ds

scorpion-ds

Новичок
artnik7 написал(а):
Кто ни-будь знает, поисковик когда сканирует страницы то он юзает яваскрипт? Конечно врядли... Если нет то можно после перехода js редиректом перенаправлять на страницу команды
Нажмите для раскрытия...
Поисковики по JS не исполняют, но ваш вариант не будет работать в "декстопных" почтовых клиентах, так как они не обрабатываю JS, а веб-интерфейсы почтовиков обычно считают их опасным кодом и тоже блокируют. Так, что остается только обычная ссылка, если мы учли что она одноразовая и всяким плагинам бесполезно их индексировать, то есть еще какие-то варианты реальной угрозы?

Мой начальник, тоже считает что такие ссылки могут быть опасными, так может так и есть?
 
С.

С.

Продвинутый новичок
Те, кто считает эти ссылки опасными, может сделать на вызванной странице примитивное подтверждение операции.
 
Absinthe

Absinthe

жожо
Получается что если поисковик таким способом прочтет ссылку, то он по идее должен будет по ней перейти, чтобы проиндексировать ее? Если так то он может накуралесить...
Нажмите для раскрытия...
Именно. И таких случаев за последние полгода стооооооооолько... Личные кабинеты со счетами, сиськиписьки на закрытых фотоальбомах, история покупок в порношопах и т.д.
Особо наглые типа Мегафона заявляют "не виноватая я, я всего лишь голая перед ним нагнулась и булки раздвинула, а он взял и изнасиловал".

Те, кто считает эти ссылки опасными, может сделать на вызванной странице примитивное подтверждение операции.
Нажмите для раскрытия...
Не может, а нужет © Фанат.
Пароль в таких случаях запрашивать обязательно.
 
scorpion-ds

scorpion-ds

Новичок
Как может быть проиндексирована ссылка которая отправляется только на E-mail? Разве, что к примеру mail.ru начнет публиковать письма своих пользователей.
 
флоппик

флоппик

promotor fidei
Команда форума
Партнер клуба
scorpion-ds написал(а):
Как может быть проиндексирована ссылка которая отправляется только на E-mail? Разве, что к примеру mail.ru начнет публиковать письма своих пользователей.
Нажмите для раскрытия...
Угадай, как это гугло-мейл показывает рекламу соответствующей тематике письма?
Яндекс, кстати, тоже это дело, ЕМНИП.
 

ksnk

прохожий
флоппик написал(а):
Угадай, как это гугло-мейл показывает рекламу соответствующей тематике письма?
Яндекс, кстати, тоже это дело, ЕМНИП.
Нажмите для раскрытия...
Индексировать (вываливать в общий поисковый кэш) и "работать почтовой программой" все-таки немного разные вещи. И разные статьи уголовного кодекса ;)
 
Absinthe

Absinthe

жожо
ksnk индексируются только те страницы, которые в общем доступе. Т.е. бот просто получает список ссылок и индексирует те, которые не закрыты.
Т.е. бот никаким образом не попадет на страницу почтовика. А вот на страницу, на которую почтовик ссылается - попадет.
 

ksnk

прохожий
Absinthe
по моему - так не бывает.... Регистрация на разных ресурсах часто сопровождается рассылкой "ссылки подтверждения логина". Если бы почтовики вели себя так нагло - механизм бы не работал...

Впрочем, создать тестовую страничку с левым адресом, послать ее себе по почте и проверить в логах количество посещений никто не мешает...
 
Absinthe

Absinthe

жожо
Регистрация на разных ресурсах часто сопровождается рассылкой "ссылки подтверждения логина". Если бы почтовики вели себя так нагло - механизм бы не работал...
Нажмите для раскрытия...
Плагин получает ссылку только после перехода.
Когда бот пройдет по ссылке, то ничего не случится:
1) Ссылка экспайрилась
Если бы даже это не случилось, то:
2) Покажет окно логина - и все. А если система не требует вводить пароль - то эти данные должны были бы быть в куках. А их нет.
 

ksnk

прохожий
Absinthe написал(а):
Плагин получает ссылку только после перехода.
Когда бот пройдет по ссылке, то ничего не случится:
1) Ссылка экспайрилась
...
Нажмите для раскрытия...
Какой такой плагин?
при таком поведении почтовика(плагина) никакого вреда от рассылки секретных одноразовых ссылок я не вижу.
 
Войдите или зарегистрируйтесь для ответа.
Сверху