我想创建一个时事通讯应用程序,用户自然必须确认他们已经注册了时事通讯,因此如果某些机器人输入了地址,我们就不会发送垃圾邮件.
我的想法是简单地向用户发送一封电子邮件,其中包含在网址中有秘密的链接,该链接是电子邮件地址和一些秘密网站密钥的哈希值.
我的问题如下:有人可以通过注册几个帐户,然后通过他的地址接收秘密的哈希值,猜测sitekey,从而注册她想要的每个电子邮件地址吗?
我没有看到任何可以通过这样做获得的东西,但如果它很容易,有可能有人会这样做,我被列入黑名单.
我没有存储未激活的用户帐户的原因很简单,我不想每隔x天从数据库中清除它们.
如果你确保使用sha1和完全随机的salt/sitekey之类的东西,那么尝试使用字典攻击对sitekey进行逆向工程将是徒劳的.
如果有人确实希望合成自己的哈希来注册任意地址,那么更有效地利用他们的时间将获得访问您的服务器以阅读源代码:)
京公网安备 11010802040832号 | 京ICP备19059560号-6 