web-dev-qa-db-ja.com

ほとんどのウェブサイトに登録するとき、なぜあなたのメールアドレスを確認する必要があるのですか?

ユーザーがサービスにサインアップできるサイトに取り組んでいます。ユーザー名/パスワードを選択し、個人情報などを入力してサイトに進み、詳細情報は今後のアクセスのために保存されます。

現在、ほとんどのウェブサイトのように、ユーザーのメールアドレスの確認を求めていません。

このサイトの主な機能は、提供されているサービスの支払い情報を処理することですが、クライアントは近い将来、サイトの機能を拡張したいと考えるでしょう。

だから私の質問は、私は新しいユーザーのために電子メール確認システムを実装する必要があるのか​​、そうでなければサイトへのリスクは何ですか?

15
bobble14988

次のいずれかでメールを送信する場合は、ユーザーの電子メールアドレスが正しいことを確認する必要があります。

  • セキュリティの影響を受けやすい(パスワードリセットトークンを忘れたなど)、または
  • 繰り返し/大量、アドレスが入力された他の人への嫌がらせを避けるため。

これは通常、何らかの悪意のある攻撃よりも、誤って入力された誤ったアドレスを排除することに関するものです。

そのアドレスにメールを送信するつもりがない場合は、実際にそれを固定形式のユーザー名として使用しているだけであり、特に検証する必要はありません。しかし、それはおそらくオープンにしたいオプションだと思います。

電子メールの検証は、レート制限のサインアップに関するものではありません。電子メールアドレスに不足の要因がないため、これはモチベーションが低く標的を絞った攻撃以外にはまったく効果がありません。攻撃者が一部のドメインを登録し、無制限にランダムな電子メールアドレスを使用し、自動化ツールを使用して受信トレイを読み取ることは簡単です。

15
bobince

そのアドレスにsend emailを予定している場合は、スパマーとして識別されないように確認する必要があります。

ユーザーにcontractへの同意を求め、CC#などの他の情報に基づいてIDを確認できない場合は、確認する必要があります。そうでない場合、契約違反のために法廷に行く必要がある場合でも、あなたが訴えている人がサービスを使用した人であったという証拠はありません。

あなたが合法的にアクセスを制限するために必要自分のサイト(たとえば、特定の年齢の人々)にいる場合、メールの確認などの一般的な手順を踏まないことは、あなたが反対している証拠として使用される可能性がありますフィルタリングする他の方法がある場合でも、クライアントをフィルタリングすることについて真剣です。

7
Mike Samuel

新しいユーザーに電子メールの確認を実装する必要があります。「セキュリティシアター」以外にない場合、ユーザーは、電子メールを識別子として使用してサービスにサインアップすると、確認が必要になることを期待します。

それ以上の仮定をせずに質問を真空で行うと、ユーザーまたは本当に潜在的なユーザーへのリスクは比較的低くなります。ユーザーIDを修正して精査するための工数が、システムを立ち上げて電子メールアドレスを確認するのにかかる時間を超えると、インフラストラクチャへのリスクが大きくなる可能性があります。

4
M15K

メールの確認は、自分のメールが[email protected]であると言っている人が実際にこのメールを制御していることを確認するのに役立ちます。

メールの確認を強制する利点は次のとおりです。

  • メールアドレスが存在し、メールを送信できることを確認します
  • 彼らが実際に受信トレイにアクセスできることを確認します

新規ユーザー向けのメール確認システムを実装する必要がありますか。実装しない場合、サイトにどのようなリスクがありますか?

何らかの理由でメールを送信する場合は、メールアドレスを確認することをお勧めします。

ユーザーのメールアドレスを確認しないと、次のようなリスクがあります。

  • 望まない人にメールを送る
  • メールが存在しないために返送される
  • 機密情報を間違ったアドレスに送信します(これはユーザーの意図的なものであるか、ユーザーが電子メールを誤って入力した可能性があります)
2
Drew Khoury

チャンスはあなたが1時間に数千のアカウントを作成するスパマーを引き付けるからです。メールアドレスを登録すると、この数を大幅に減らすことができます。

1
Lucas Kauffman