ความปลอดภัยในการส่ง link ผ่านทาง email

ความปลอดภัยในการส่ง link การยืนยัน หรือ การ Verified การ Approve งาน ผ่านทาง email 

ไม่ทราบว่าควรออกแบบอย่างไร และส่ง link ไปอย่างไรครับ เพื่อให้เกิดความปลอดภัยในการใช้งานครับ

06 ธ.ค. 2554 3 1,172

ก็แค่อย่าใส่ข้อมูลส่วนตัวลงในลิงค์ไปในลิงค์เท่านั้นก็พอครับ ซึ่งเราสามารถใช้ id หรือ คีย์ เพื่อเขาถึงข้อมูลส่วนตัวบนเว็บไซต์ของเราได้แทนอยู่แล้วครับ



นอกนั้นก็แล้วแต่ระดับความปลอดภัยที่ต้องการละครับ ถ้าต้องการความปลอดภัยสูง ก็คงจะต้องเพิ่มขั้นตอนการทำงาน เพื่อให้มีความปลอดภัย ซึ่งก็ต้องพิจารณาตามความเหมาะสมครับ



#1

ท่านอาจารย์ครับ



ผมขอยกตัวอย่างเช่น



ผมได้ร้องขอให้ทำงานผ่านทางเว็บ หลังจากที่ของานแล้ว ระบบจะส่งข้อมูลไปยังหัวหน้าแผนกเพื่อทำการยืนยันผ่านทางอีเมลล์



เมื่อหัวหน้าแผนกเช็คอีเมลล์ ก็จะได้ link ตัวอย่างเช่น confirm.php?id='12345'&user='user_confirm'



หลังจากที่คลิกไปแล้ว ระบบจะเช็คว่ามีค่า user และ id หรือไม่ถ้ามี ก็จะยอมให้ผ่าน 



แต่นี่แหละครับที่เป็นปัญหาตรงที่ว่า ถ้ามีคน copy url นี้ไป ก็จะสา่มารถเ้ข้าระบบได้ทันที แต่ถ้าผมจะทำให้ต้อง login ก่อนเข้า



จะทำให้ส่วนหัวหน้าแผนก เสียเวลาในการเข้าถึงข้อมูลครับ T-T

#2

555+++



ประเด็นอยู่ที่ลิงค์ครับ และ ผมบอกแล้วว่า ความสะดวกกับความปลอดภัยมักสวนทางกัน



ในกรณีที่ URL ที่ต้องการ จะถูกส่งไปยังอีเมล์ของผู้รับ ในความเป็นจริงก็นับว่าปลอดภัยนะครับ เพราะ อีเมล์ปลายทาง ย่อมเป็นของผู้รับเพียงคนเดียวเท่านั้น คนอื่นไม่สามารถเห็นได้ ดังนั้น ถ้าคลิกลิงค์จากอีเมล์กลับมา ก็น่าจะเป็นการปลอดภัยเพียงพอ



คำถามถามว่า ถ้าคนอื่นได้ URL ไป....ในกรณีนี้ตามความเป็นจริงแล้วไม่ควรเกิด ผู้รับมีหน้าที่ในการรักษาความปลอดภัยของตัวเองในการรักษา ข้อมูลส่วนตัว เพราะผู้ให้บริการคงไม่สามารถสามารถ สร้างความปลอดภัยได้ทั้งหมด ยกตัวอย่างเช่น ถ้ามีคนได้ username และ password ของท่านไป เขาย่อมมีสิทธิ์ login เป็นท่านในทันที



กรณีอื่นๆที่เป็นไปได้ เช่น อาจยอมให้มีการ login ค้างไว้ได้ครับ เช่น สามารถ login ได้คราวละ 7 วันเป็นต้น และ กำหนดให้ URL นั้นๆสามารถเปิดอ่านได้โดยผู้มีสิทธิ์ ตามที่ login ค้างไว้เท่านั้น ก็จะช่วยเพิ่มความสะดวกได้ระดับหนึ่งครับ ซึ่งวิธีนี้จะเหมาะกับการใช้งานคอมพิวเตอร์ส่วนบุคคลครับ (ใช้ร่วมกันคงไม่ดีแน่)



วิธีการอาจมีหลากหลายครับ ซึ่ง ถ้าต้องการความปลอดภัยสูงขั้นตอนก็จะต้องเยอะตามมา แต่ จะไม่มีระบบที่ปลอดภัยเพียงพอ ถ้าผู้ใช้ไม่ได้ระมัดระวังตัวเองครับ

#3
ความคิดเห็น
ไฟล์อัปโหลด ชนิด jpg, jpeg ขนาดไฟล์ไม่เกิน 1024
^