( Ar0n | 2021. 09. 24., p – 19:10 )

Szerkesztve: 2021. 09. 24., p – 19:54

Válasz FeriX üzenetére

xD

Na hat akkor ... mondjuk akkor max a felhasznalo szemelyes adataihoz lehet hozzaferni egy ilyen linklopasi hadmuvelettel. Mondjuk esetleg a payment szolgaltatohoz elmentett kartyaval lehet rendelni. De mivel a banki szolgaltatonal legtobb esetben van 2FA es fraud protection igy nagy kar nem keletkezhet. Ha olyanok a korulmenyek, hogy atmegy es a user nem veszi eszre a fizetest, akkor max visszakerul az aru ezaltal csokken a kar.

Ugyhogy a legnagyobb kar akkor keletkezik ha valaki a user neveben rendel valamit. Tegyuk fel rendlenek 100 doboz macskakajat aminek a szallitasi dija 5 ezer forint, utanvettel. Ezt a felhasznalo nem akarja kifizetni mert nem o rendelte. Kereskedo torli az acocuntjat es benyeli a szallitasi koltseget.

Azt gondolom, hogy megfelelo policyvel el lehet kerulni meg ezt a kart is, ha egy telefonhivas be van iktatva mondjuk nagyobb erteku rendeleseknel.

Ebben az esetben szerintem kb. tomind1, hogy jelszavas vagy email-es login van -> user es kereskedo szempontjabol is alacsony a kockazat.

Ajanlom a figyelmedbe ezen az oldalon a "The security implications of magic links" es a "Magic links can provide a great customer experience" reszt.

En ezekkel pimpelnem fel egy kicsit:

* login utan kikuldenek a browsernek egy cookie-t egy megfeleloen nagy azonositoval. A magic linkre valo kattintas utan ezt is ellenoriznem, hogy a browser ezt visszakuldi-e. Ez persze problemat fog okozni ha masik browserben vagy masik eszkozon nyitja meg az oldalt, ilyenkor bekernem a jelszavat erre valo hivatkozassal.

* time limit lenne ra, ami persze megint porblemas lesz, ha valamiert kesik a level, de akkor ott a fallback password megoldas

* fallback megoldaskent mindig ott lenne a password auth

* mindenkepp megyozodnek rola, hogy az en smtp szerverem titkositott csatornan juttatja el a leveleket

* nem engednem a dupla bejelentkezest, ha megis elofordul, a felhasznalonak jeleznem, hogy volt egy eppen aktiv sessionje, amit most kizartunk a rendszerbol es lehetoseget biztositanek ra, hogy megnezhesse mikor es honnan jelentkezett be

Btw, van olyan security scanner ami kinyitogatja a levelekben levo linkeket, hogy beleturjon, hogy mi van az oldalon. A problema az, hogy igy bizony siman beenged akarkit, ugyhogy erre figyelni kelll, kell valami user interaction legyen a login-nal. Erre mondjuk jo a fent emlitett cookie-s megoldas, hisz a security sw-nel az nem lesz meg.

Mackakakjas oldalra tulzas az otp, szvsz. nem kell. Jelszoemlekezteto: Mivel alacsony a kar ami keletkezhet, erre jo egy sima jelszoemlekezteto szvsz, nothing fancy.

Kb. ezek jutottak eszembe hirtelen, remelem segit!