A-AA+then

ความปลอดภัยในการส่ง link ผ่านทาง email

1,143
ความปลอดภัยในการส่ง link การยืนยัน หรือ การ Verified การ Approve งาน ผ่านทาง email 
ไม่ทราบว่าควรออกแบบอย่างไร และส่ง link ไปอย่างไรครับ เพื่อให้เกิดความปลอดภัยในการใช้งานครับ

3 ความคิดเห็น

ก็แค่อย่าใส่ข้อมูลส่วนตัวลงในลิงค์ไปในลิงค์เท่านั้นก็พอครับ ซึ่งเราสามารถใช้ id หรือ คีย์ เพื่อเขาถึงข้อมูลส่วนตัวบนเว็บไซต์ของเราได้แทนอยู่แล้วครับ

นอกนั้นก็แล้วแต่ระดับความปลอดภัยที่ต้องการละครับ ถ้าต้องการความปลอดภัยสูง ก็คงจะต้องเพิ่มขั้นตอนการทำงาน เพื่อให้มีความปลอดภัย ซึ่งก็ต้องพิจารณาตามความเหมาะสมครับ

1

ท่านอาจารย์ครับ

ผมขอยกตัวอย่างเช่น

ผมได้ร้องขอให้ทำงานผ่านทางเว็บ หลังจากที่ของานแล้ว ระบบจะส่งข้อมูลไปยังหัวหน้าแผนกเพื่อทำการยืนยันผ่านทางอีเมลล์

เมื่อหัวหน้าแผนกเช็คอีเมลล์ ก็จะได้ link ตัวอย่างเช่น confirm.php?id='12345'&user='user_confirm'

หลังจากที่คลิกไปแล้ว ระบบจะเช็คว่ามีค่า user และ id หรือไม่ถ้ามี ก็จะยอมให้ผ่าน 

แต่นี่แหละครับที่เป็นปัญหาตรงที่ว่า ถ้ามีคน copy url นี้ไป ก็จะสา่มารถเ้ข้าระบบได้ทันที แต่ถ้าผมจะทำให้ต้อง login ก่อนเข้า

จะทำให้ส่วนหัวหน้าแผนก เสียเวลาในการเข้าถึงข้อมูลครับ T-T
2

555+++

ประเด็นอยู่ที่ลิงค์ครับ และ ผมบอกแล้วว่า ความสะดวกกับความปลอดภัยมักสวนทางกัน

ในกรณีที่ URL ที่ต้องการ จะถูกส่งไปยังอีเมล์ของผู้รับ ในความเป็นจริงก็นับว่าปลอดภัยนะครับ เพราะ อีเมล์ปลายทาง ย่อมเป็นของผู้รับเพียงคนเดียวเท่านั้น คนอื่นไม่สามารถเห็นได้ ดังนั้น ถ้าคลิกลิงค์จากอีเมล์กลับมา ก็น่าจะเป็นการปลอดภัยเพียงพอ

คำถามถามว่า ถ้าคนอื่นได้ URL ไป....ในกรณีนี้ตามความเป็นจริงแล้วไม่ควรเกิด ผู้รับมีหน้าที่ในการรักษาความปลอดภัยของตัวเองในการรักษา ข้อมูลส่วนตัว เพราะผู้ให้บริการคงไม่สามารถสามารถ สร้างความปลอดภัยได้ทั้งหมด ยกตัวอย่างเช่น ถ้ามีคนได้ username และ password ของท่านไป เขาย่อมมีสิทธิ์ login เป็นท่านในทันที

กรณีอื่นๆที่เป็นไปได้ เช่น อาจยอมให้มีการ login ค้างไว้ได้ครับ เช่น สามารถ login ได้คราวละ 7 วันเป็นต้น และ กำหนดให้ URL นั้นๆสามารถเปิดอ่านได้โดยผู้มีสิทธิ์ ตามที่ login ค้างไว้เท่านั้น ก็จะช่วยเพิ่มความสะดวกได้ระดับหนึ่งครับ ซึ่งวิธีนี้จะเหมาะกับการใช้งานคอมพิวเตอร์ส่วนบุคคลครับ (ใช้ร่วมกันคงไม่ดีแน่)

วิธีการอาจมีหลากหลายครับ ซึ่ง ถ้าต้องการความปลอดภัยสูงขั้นตอนก็จะต้องเยอะตามมา แต่ จะไม่มีระบบที่ปลอดภัยเพียงพอ ถ้าผู้ใช้ไม่ได้ระมัดระวังตัวเองครับ
3
^