Sécurisation d'un mail d'inscription
nico_73
Messages postés
180
Statut
Membre
-
nico_73 Messages postés 180 Statut Membre -
nico_73 Messages postés 180 Statut Membre -
Bonjour,
Je suis en train de mettre un place un système d'inscription et je souhaiterais avoir votre avis, non pas sur de le technique de programmation, mais sur de la pratique.
Lorsque la personne s'inscrit, elle reçoit un e-mail afin de valider et finaliser son inscription. J'ai pensé au départ activer le compte par l'id, mais je voie bien un gars faire :
Et hop, du coup tous les comptes sont validés LOL
Je pense mettre en plus une clé de type :
Et du coups ça ferais une url de type :
Pensez vous que se soit assez ?
Merci d'avance de votre avis
Bien cordialement.
Je suis en train de mettre un place un système d'inscription et je souhaiterais avoir votre avis, non pas sur de le technique de programmation, mais sur de la pratique.
Lorsque la personne s'inscrit, elle reçoit un e-mail afin de valider et finaliser son inscription. J'ai pensé au départ activer le compte par l'id, mais je voie bien un gars faire :
http://url/id/1 http://url/id/2 http://url/id/3 ...
Et hop, du coup tous les comptes sont validés LOL
Je pense mettre en plus une clé de type :
$cle = md5(microtime(TRUE)*100000);
Et du coups ça ferais une url de type :
http://url/id/1/cle/1e374561851a32afcd802cf5bc97b707
Pensez vous que se soit assez ?
Merci d'avance de votre avis
Bien cordialement.
A voir également:
- Sécurisation d'un mail d'inscription
- Wetransfer gratuit sans inscription - Guide
- Twitter inscription - Guide
- Windows live mail - Télécharger - Mail
- Facebook inscription - Guide
- Leboncoin inscription - Guide
7 réponses
Si tu veux vraiment éviter les robots, ce n'est pas suffisant.
Avec un robot, tu peux facilement récupérer un email, aller chercher une url et lancer une requête sur cette URL.
Tu peux ajouter sur cette page de validation un captcha, ou en mettre un sur la page d'inscription.
Ton ordinateur ne fait pas ce que tu veux ... mais ce que tu lui dis de faire.
Avec un robot, tu peux facilement récupérer un email, aller chercher une url et lancer une requête sur cette URL.
Tu peux ajouter sur cette page de validation un captcha, ou en mettre un sur la page d'inscription.
Ton ordinateur ne fait pas ce que tu veux ... mais ce que tu lui dis de faire.
« Ensuite pour ce qui est des e-mail déjà utilisées, je le vérifie lors de la saisie de l'inscription »Biensûr, mais il faut quand même envoyer un email pour éviter que le visiteur mette n'importe comme adresse.
Pense aussi à ajouter un lien pour annuler l'inscription, si jamais le visiteur mets une adresse qui n'est pas la sienne.
Oui je pense que c'est intéressent de mettre un captcha sur le formulaire d'inscription.
Après je sais pas si ca va éviter les robots sur le page de validation, puisque la personne qui clique sur le lien d'activation à déjà été identifiée comme n'étant pas un robot.
Qu'en penses-tu ?
Ensuite, j'ai peur que ça effraie l'utilisateur de mettre autant de captcha. Non ?
En tout cas pour le moment je vais opter pour un captcha sur le formulaire d'inscription.
Ensuite, point de vu sécurité au niveau des liens, y a t'il beaucoup de chance qu'un robot trouve l'id et la clé ?
Merci pour cette réponse.
Après je sais pas si ca va éviter les robots sur le page de validation, puisque la personne qui clique sur le lien d'activation à déjà été identifiée comme n'étant pas un robot.
Qu'en penses-tu ?
Ensuite, j'ai peur que ça effraie l'utilisateur de mettre autant de captcha. Non ?
En tout cas pour le moment je vais opter pour un captcha sur le formulaire d'inscription.
Ensuite, point de vu sécurité au niveau des liens, y a t'il beaucoup de chance qu'un robot trouve l'id et la clé ?
Merci pour cette réponse.
Si tu mets un captcha sur la page d'inscription, tu peux être sûr que ce n'est pas un robot. À la limite, tu n'as même pas besoin d'envoyer un email. Mais si tu veux éviter qu'une personne s'inscrive avec une adresse email déjà utilisée, là tu peux envoyer un email de confirmation (pour éviter que cette personne mette n'importe quoi).
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Effectivement, si j'envoie un e-mail, c'est pour vérifier si l'adresse est bonne et aussi pour éviter les curieux du type je m'inscris juste pour voir et après je ne reviens plus (bon il y en aura tout de même, mais ca va peut être freiner un peu ;) ).
Après si l'inscription n'est pas validée au bout de X jours le compte est supprimé.
Ensuite pour ce qui est des e-mail déjà utilisées, je le vérifie lors de la saisie de l'inscription, comme ça je ne peux pas avoir deux e-mail identique dans la db.
Enfin il y a de fortes chance que ce n'en soit pas un ;)
Après si l'inscription n'est pas validée au bout de X jours le compte est supprimé.
Ensuite pour ce qui est des e-mail déjà utilisées, je le vérifie lors de la saisie de l'inscription, comme ça je ne peux pas avoir deux e-mail identique dans la db.
tu peux être sûr que ce n'est pas un robot
Enfin il y a de fortes chance que ce n'en soit pas un ;)
Pense aussi à ajouter un lien pour annuler l'inscription, si jamais le visiteur mets une adresse qui n'est pas la sienne.
Tu veux dire dans le mail qui est envoyé, mettre un lien d'annulation.
J'y avais pas pensé à ça bien vu. En plus je pense que c'est dans la politique du cnil.
Pour éviter d'avoir un captcha lors de la validation de l'inscription, je pense ainsi lui demander uniquement sont login.
Comme ca je vérifie :
- que sont mail est valide,
- que la clé et l'id sont du même compte
- et que l'utilisateur fournit bien en plus le bon login.
Ce qui permettra pas la même occasion de le connecter en même temps. Et je pense que point de vue sécurité ça ne posera pas de problèmes.
De plus je pense que cette méthode va éliminer pas mal de robots "standard" qui se chargeraient de générer de clés bidons sur des méthodes standard.
Comme ca je vérifie :
- que sont mail est valide,
- que la clé et l'id sont du même compte
- et que l'utilisateur fournit bien en plus le bon login.
Ce qui permettra pas la même occasion de le connecter en même temps. Et je pense que point de vue sécurité ça ne posera pas de problèmes.
De plus je pense que cette méthode va éliminer pas mal de robots "standard" qui se chargeraient de générer de clés bidons sur des méthodes standard.
