Тимур!

Важно, чтобы во время действия, повлекшего такую прозрачную регистрацию — например, при покупке в интернет‑магазине — покупателю уже выдавалась кука, которая позволит его узнавать, даже если он не перейдёт по отправленной ссылке. Тогда, если ссылка уйдёт по почте «злоумышленнику», наш покупатель останется в своём акаунте и сможет поменять почту.

Но что если покупатель поймёт, что ошибся, слишком поздно, и злоумышленник успеет воспользоваться его акаунтом?

В интернет‑магазине злоумышленник сможет узнать, что покупатель купил. Кажется, это не беда. Возможно, сможет отменить заказ — неприятно, но тоже не критично. Если же злоумышленник может воспользоваться деньгами со счёта покупателя, то это уже плохо. Возможно, тут схему нужно скорректировать, например не давать пополнять счёт до подтверждения почты. Естественно, это может несколько снизить работоспособность вашего сайта, поэтому нужно подумать, что хуже — упущенная из‑за этого выгода или затраты на работу по разрешению единичных неприятных ситуаций.

Регистрация пользователя
Отправить
Поделиться
Запинить

Комментарии

Тимур, в какой ситуации почта указывается после ввода данных, об утрате которых вы беспокоитесь?

Что мешает вам «повесить» на сайте предупреждение с текстом «Адрес эл. почты не подтверждён…» и тогда пусть пользователь совершает действия на свой страх и риск, если он не хочет подтверждать адрес своей почты?

8 янв 2013

А кто мешает привязать этот пароль (если я правильно понял, он одноразовый) к айпи посетителя? Тогда при заходе с левого айпи‑адреса пароль не сработает. Ведь предполагается, что человек сгенерил себе эту ссылку, и сразу по ней перешёл, и дальше там чё‑то пыхтит на сайте.

Кстати, чем такая авторизация лучше авторизации через соцсеть? Ну да, есть небольшое кол‑во людей, которые не имеют аккаунта в соцсети — ну так им не грех и полную регистрацию предложить.

8 янв 2013

Что‑то странное вы говорите мне кажется. Почему нельзя просто проверять соответствие введенного адреса реально существующему пользователю? То есть если пользователь ошибется с адресом, но такого адреса нет в базе юзеров — письмо не уйдёт. А если существует, то ему придет ссылка на вход в его профиль, того чей адрес вбит. В таком случае кому бы не ушла ссылка, она будет вести на вход в его профиль, и никто не сможет войти в чужой.

9 янв 2013

Вообще‑то, перед отправкой «ссылки‑восстанавливалки» адрес электронной почты должен быть проверен на присутствие в базе магазина, а сама ссылка должна генериться с учётом адреса эл. почты и работать только для этого адреса.

Поэтому даже если пользователь ошибся и ввёл не свою эл. почту, это никак не повлияет на его аккаунт в интернет‑магазине.

9 янв 2013

Обощая то, что предложил Илья — давайте пользователю делать максимум на вашем сайте без подтверждения почты, и только для критических операций просите сделать это.

Ещё обратите внимание на альтернативные варианты подтверждения личности — код в смс, код в почтовой открытке (реальный пример с trustcloud.com).

9 янв 2013

Егор, Алексей, никакого «реально существующего пользователя» в базе нет, здесь речь идёт о новом пользователе, а не о восстановлении пароля существующим.

5 мар 2013

Рекомендуем другие советы

Свежак

Текст

Насколько эффективны манипуляции?

Совет Ильяхова 🗩+1
ВС

Дизайн

Нет доступа к камере

Совет Чикина 🗩1
СБ

Вёрстка

В каких случаях уместно писать только прописными?

Совет Нозика
СР

Визуализация

Табличка Формулы‑1

Совет Бирмана
ВТ

Текст

Как оптимизировать процесс оценки текста и не задерживать выпуск?

Совет Ильяхова
ВС

Бирман пилит таблицы

Собрал Дима Шиш­кин · Визу­а­ли­за­ция 17577
38 сове­тов

Принцип «Убрать всё лишнее»

Собрал Роберт Бли­нов · Интер­фейс 8419
7 советов