Волшебные ссылки в письмах и безопасность

Я разбирал интерфейс тупейшей регистрации Аэрофлота. Человеку приходит письмо с напоминанием о регистрации, а переходя по ссылке он вынужден указывать почту для получения посадочного. Зачем? Аэрофлот знает мою почту — он же сам на неё только что письмо прислал, с которого я перешёл!

Студентка школы бюро пишет (сокращаю):

В работе я сталкиваюсь с кейсами взаимодействия с пользователями через письма. При переходе на сайт для безопасности мы не подставляем данные пользователя, т. к. пользователь мог переслать письмо другим, не догадываясь, что его данные будут раскрыты при переходе по определённым ссылкам. Мы не одобряем автоматический вход в акаунты из писем, если это только не сценарий «Забыли пароль?». Нужно ли учитывать безопасность данных клиента или ею можно пренебречь, если утеря данных минимальна?

Учитывать безопасность нужно, конечно. Но практика показывает, что чаще всего безопасность учитывается бездумно (отключается всё полезное, как бы чего не вышло) или вообще используется в качестве оправдания (забыли подумать, а когда попались — оправдались безопасностью).

В данном случае перед нами пример второго: по ссылке из письма я уже могу зарегистрироваться на рейс безо всякой дополнительной аутентификации. Если я действительно перешлю это письмо, то другой человек сможет зарегистрировать меня без моего ведома, да ещё и прислать об этом письмо себе вместо меня. Где тут безопасность?

Подписаться на блог
Отправить
Дальше
2 комментария
qwe 3 мес

Дело не в регистрации, а в паспортных данных, которые видны

Илья Бирман 3 мес

Что здесь написано?

Petr 3 мес

Если я действительно перешлю это письмо, то другой человек сможет зарегистрировать меня без моего ведома, да ещё и прислать об этом письмо себе вместо меня.

А если он отменит рейс? А если он купит место в дорогущем бизнесе с трехразовым питанием? А если он оформит багаж на десять чемоданов?

Вы пишете так, словно письмо получит ваш лучший друг.

Ну и пока вы нажмете на ссылку из письма, по ней десять раз сходят антивирусы и трекеры гугла/эпла, так что одноразовой ее делать нельзя.

Илья Бирман 3 мес

Я не пишу «так, словно». Какую мысль вы пытаетесь донести и с чем поспорить? Как предложение заставить меня ввести почту для присылания посадочного талона помогает преодолеть все эти проблемы?

Мои книги