是否可以使用经过验证的电子邮件地址的任何帐户与未经验证的电子邮件地址合并?
比方说,如果使用OpenID Selector(Stock Overflow的登录系统)或JanRain(实际上允许使用Facebook或Twitter登录以及OpenID),那么,某些电子邮件地址不会被验证。
在原始网站上,如果未验证电子邮件地址,我们可以合并两个帐户(将其视为一个用户)
OpenID或JanRain使用经过验证的电子邮件地址登录用户,我们当前的用户帐户也有一个用户
电子邮件地址(但未经验证) - 真实用户现在可以控制帐户。
但是,如果黑客注册了一个名人,该怎么办?
电子邮件地址,然后等待几个月,直到名人使用OpenID或Facebook与经过验证的电子邮件地址“合并”
两个帐户。
(该网站可以宣布合并的帐户,但名人可能不记得他或她以前是否已在该网站注册。所以他或她可能不会感到安全漏洞)。因此,安全风险是。
现在无论名人做什么 - 将项目保存到列表等,黑客现在可以默默地监视正在做的事情。
因此,如果任何帐户具有未经验证的电子邮件地址,则其他帐户不应与其合并。只有两个帐户
拥有相同的经过验证的电子邮件地址,那么这些帐户可以被视为一个帐户。
这是真的,还是规则比这更灵活?
没有找到相关结果
已邀请:
1 个回复
羔磺