Je veux créer une application de newsletter et les utilisateurs devront naturellement confirmer qu'ils se sont inscrits à la newsletter afin de ne pas les spammer si un bot a entré des adresses.Un e-mail d'activation de compte d'utilisateur sans secret conservé dans le DB est-il raisonnablement sécurisé?
Mon idée était de simplement envoyer à l'utilisateur un email qui contient un lien qui a un secret dans l'URL, qui est un hachage de l'adresse e-mail et une clé de site secrète.
Mes questions sont les suivantes: Quelqu'un peut-il en enregistrant quelques comptes et donc recevoir le hachage du secret avec son adresse, devinez le sitekey et ainsi enregistrer chaque adresse e-mail qu'elle veut?
Je ne vois rien qui pourrait être gagné de faire cela, mais si c'est très facile, il y a de fortes chances que quelqu'un le fasse et que je sois mis sur une liste noire.
La raison pour laquelle je ne stocke pas un compte utilisateur non activé est simplement que je ne veux pas les supprimer tous les x jours de la base de données.
Merci pour la paix d'esprit :) – nasmorn