Est-il sûr d'avoir un point de terminaison de création de compte ouvert?

Question

Je veux créer une page Web qui permet aux gens de créer un compte sur notre serveur de printemps. Ma mise en œuvre naïve ressemblerait à ceci:

• Créer un point « createaccount » où un site Web peut effectuer une méthode post (e-mail & mot de passe lui est envoyé)
• Créer un formulaire de création de compte (www.myurl. Lorsqu'un utilisateur remplit un courriel et un mot de passe sur ce site et clique sur Soumettre, les données sont stockées dans une base de données avec un drapeau indiquant que l'utilisateur n'a pas encore été confirmé, au même moment un courriel est envoyé. envoyé à son courrier avec un lien d'activation
• Lorsqu'il clique sur ce lien, l'utilisateur est confirmé

Depuis im pas un expert en sécurité web, je dois savoir si

• Il est sûr d'avoir un point final non protégé pour cette tâche
• Il y a une meilleure alternative pour permettre aux utilisateurs de créer des comptes

Merci à l'avance

Answer 1

Je ne suis pas un expert en sécurité, mais voici les risques que je peux penser:Quelqu'un peut écrire un script qui automatise la création de comptes sur votre système. Ces comptes peuvent être utilisés pour accéder aux points de terminaison sécurisés.

Quelqu'un peut écrire un script qui énumère les adresses électroniques et utilise votre point de terminaison pour déterminer si une adresse électronique existe ou non sur votre système.

Certaines choses que les gens font dans ce cas:

• Captcha, pour empêcher les scripts de la signature
• inscription sur invitation seulement: Les nouveaux comptes ne peuvent être créés par les utilisateurs existants du système, ou peut-être seulement par les utilisateurs admin. S'il n'y a pas beaucoup de trafic sur le site, alors peut-être que la chance d'une personne exploitant le point de terminaison n'est pas aussi grande que celle d'un site de haut niveau.