GORAGOD.com
freelance, web developer, web designer, hosting, domain name
Home
Host & Domain
Portfolio
ความปลอดภัยในการส่ง link ผ่านทาง email
Home
Forum
ความปลอดภัยในการส่ง link ผ่านทาง email
yoojuy
ความปลอดภัยในการส่ง link การยืนยัน หรือ การ Verified การ Approve งาน ผ่านทาง email
ไม่ทราบว่าควรออกแบบอย่างไร และส่ง link ไปอย่างไรครับ เพื่อให้เกิดความปลอดภัยในการใช้งานครับ
goragod
ก็แค่อย่าใส่ข้อมูลส่วนตัวลงในลิงค์ไปในลิงค์เท่านั้นก็พอครับ ซึ่งเราสามารถใช้ id หรือ คีย์ เพื่อเขาถึงข้อมูลส่วนตัวบนเว็บไซต์ของเราได้แทนอยู่แล้วครับ
นอกนั้นก็แล้วแต่ระดับความปลอดภัยที่ต้องการละครับ ถ้าต้องการความปลอดภัยสูง ก็คงจะต้องเพิ่มขั้นตอนการทำงาน เพื่อให้มีความปลอดภัย ซึ่งก็ต้องพิจารณาตามความเหมาะสมครับ
yoojuy
ท่านอาจารย์ครับ
ผมขอยกตัวอย่างเช่น
ผมได้ร้องขอให้ทำงานผ่านทางเว็บ หลังจากที่ของานแล้ว ระบบจะส่งข้อมูลไปยังหัวหน้าแผนกเพื่อทำการยืนยันผ่านทางอีเมลล์
เมื่อหัวหน้าแผนกเช็คอีเมลล์ ก็จะได้ link ตัวอย่างเช่น confirm.php?id='12345'&user='user_confirm'
หลังจากที่คลิกไปแล้ว ระบบจะเช็คว่ามีค่า user และ id หรือไม่ถ้ามี ก็จะยอมให้ผ่าน
แต่นี่แหละครับที่เป็นปัญหาตรงที่ว่า ถ้ามีคน copy url นี้ไป ก็จะสา่มารถเ้ข้าระบบได้ทันที แต่ถ้าผมจะทำให้ต้อง login ก่อนเข้า
จะทำให้ส่วนหัวหน้าแผนก เสียเวลาในการเข้าถึงข้อมูลครับ T-T
goragod
555+++
ประเด็นอยู่ที่ลิงค์ครับ และ ผมบอกแล้วว่า ความสะดวกกับความปลอดภัยมักสวนทางกัน
ในกรณีที่ URL ที่ต้องการ จะถูกส่งไปยังอีเมล์ของผู้รับ ในความเป็นจริงก็นับว่าปลอดภัยนะครับ เพราะ อีเมล์ปลายทาง ย่อมเป็นของผู้รับเพียงคนเดียวเท่านั้น คนอื่นไม่สามารถเห็นได้ ดังนั้น ถ้าคลิกลิงค์จากอีเมล์กลับมา ก็น่าจะเป็นการปลอดภัยเพียงพอ
คำถามถามว่า ถ้าคนอื่นได้ URL ไป....ในกรณีนี้ตามความเป็นจริงแล้วไม่ควรเกิด ผู้รับมีหน้าที่ในการรักษาความปลอดภัยของตัวเองในการรักษา ข้อมูลส่วนตัว เพราะผู้ให้บริการคงไม่สามารถสามารถ สร้างความปลอดภัยได้ทั้งหมด ยกตัวอย่างเช่น ถ้ามีคนได้ username และ password ของท่านไป เขาย่อมมีสิทธิ์ login เป็นท่านในทันที
กรณีอื่นๆที่เป็นไปได้ เช่น อาจยอมให้มีการ login ค้างไว้ได้ครับ เช่น สามารถ login ได้คราวละ 7 วันเป็นต้น และ กำหนดให้ URL นั้นๆสามารถเปิดอ่านได้โดยผู้มีสิทธิ์ ตามที่ login ค้างไว้เท่านั้น ก็จะช่วยเพิ่มความสะดวกได้ระดับหนึ่งครับ ซึ่งวิธีนี้จะเหมาะกับการใช้งานคอมพิวเตอร์ส่วนบุคคลครับ (ใช้ร่วมกันคงไม่ดีแน่)
วิธีการอาจมีหลากหลายครับ ซึ่ง ถ้าต้องการความปลอดภัยสูงขั้นตอนก็จะต้องเยอะตามมา แต่ จะไม่มีระบบที่ปลอดภัยเพียงพอ ถ้าผู้ใช้ไม่ได้ระมัดระวังตัวเองครับ
ความคิดเห็น
รายละเอียด
ไฟล์อัปโหลด ชนิด jpg, jpeg ขนาดไฟล์ไม่เกิน 1024
^
นอกนั้นก็แล้วแต่ระดับความปลอดภัยที่ต้องการละครับ ถ้าต้องการความปลอดภัยสูง ก็คงจะต้องเพิ่มขั้นตอนการทำงาน เพื่อให้มีความปลอดภัย ซึ่งก็ต้องพิจารณาตามความเหมาะสมครับ
ผมขอยกตัวอย่างเช่น
ผมได้ร้องขอให้ทำงานผ่านทางเว็บ หลังจากที่ของานแล้ว ระบบจะส่งข้อมูลไปยังหัวหน้าแผนกเพื่อทำการยืนยันผ่านทางอีเมลล์
เมื่อหัวหน้าแผนกเช็คอีเมลล์ ก็จะได้ link ตัวอย่างเช่น confirm.php?id='12345'&user='user_confirm'
หลังจากที่คลิกไปแล้ว ระบบจะเช็คว่ามีค่า user และ id หรือไม่ถ้ามี ก็จะยอมให้ผ่าน
แต่นี่แหละครับที่เป็นปัญหาตรงที่ว่า ถ้ามีคน copy url นี้ไป ก็จะสา่มารถเ้ข้าระบบได้ทันที แต่ถ้าผมจะทำให้ต้อง login ก่อนเข้า
จะทำให้ส่วนหัวหน้าแผนก เสียเวลาในการเข้าถึงข้อมูลครับ T-T
ประเด็นอยู่ที่ลิงค์ครับ และ ผมบอกแล้วว่า ความสะดวกกับความปลอดภัยมักสวนทางกัน
ในกรณีที่ URL ที่ต้องการ จะถูกส่งไปยังอีเมล์ของผู้รับ ในความเป็นจริงก็นับว่าปลอดภัยนะครับ เพราะ อีเมล์ปลายทาง ย่อมเป็นของผู้รับเพียงคนเดียวเท่านั้น คนอื่นไม่สามารถเห็นได้ ดังนั้น ถ้าคลิกลิงค์จากอีเมล์กลับมา ก็น่าจะเป็นการปลอดภัยเพียงพอ
คำถามถามว่า ถ้าคนอื่นได้ URL ไป....ในกรณีนี้ตามความเป็นจริงแล้วไม่ควรเกิด ผู้รับมีหน้าที่ในการรักษาความปลอดภัยของตัวเองในการรักษา ข้อมูลส่วนตัว เพราะผู้ให้บริการคงไม่สามารถสามารถ สร้างความปลอดภัยได้ทั้งหมด ยกตัวอย่างเช่น ถ้ามีคนได้ username และ password ของท่านไป เขาย่อมมีสิทธิ์ login เป็นท่านในทันที
กรณีอื่นๆที่เป็นไปได้ เช่น อาจยอมให้มีการ login ค้างไว้ได้ครับ เช่น สามารถ login ได้คราวละ 7 วันเป็นต้น และ กำหนดให้ URL นั้นๆสามารถเปิดอ่านได้โดยผู้มีสิทธิ์ ตามที่ login ค้างไว้เท่านั้น ก็จะช่วยเพิ่มความสะดวกได้ระดับหนึ่งครับ ซึ่งวิธีนี้จะเหมาะกับการใช้งานคอมพิวเตอร์ส่วนบุคคลครับ (ใช้ร่วมกันคงไม่ดีแน่)
วิธีการอาจมีหลากหลายครับ ซึ่ง ถ้าต้องการความปลอดภัยสูงขั้นตอนก็จะต้องเยอะตามมา แต่ จะไม่มีระบบที่ปลอดภัยเพียงพอ ถ้าผู้ใช้ไม่ได้ระมัดระวังตัวเองครับ