Comments 13
Просто в ссылке были указаны параметры для заполнения формы.
Не знаю, зачем давать такие ссылки кому-то еще, но во избежание таких случаев можете прямо в письме указать, что ссылка ваша личная и передавать ее крайне не рекомендуется.
Не знаю, зачем давать такие ссылки кому-то еще, но во избежание таких случаев можете прямо в письме указать, что ссылка ваша личная и передавать ее крайне не рекомендуется.
В общем случае двоякая стуация.
С одной стороны, сам себе злобный буратино. Если вы перешлете не персональную ссылку, а логин с паролем, то еще больших дел можно натворить.
С другой стороны всегда очевидно, что ссылка персональная, особенно, если не очень-то разбираешься в таких делах.
В данном случае, имхо, ничего страшного.
По поводу управления подпиской.
Если это просто информационные письма, то удобство персональной ссылки гораздо выше, чем потери в безопасности.
Единственное, что я предлагаю в таких ситуациях не просто отписывать клиента от всех рассылок, а давать ему полный вариант настроек подписки, как в личном кабинете, если такие предполагаются. Но не более того, никаких других дополнительных прав на сайте.
Под персональной ссылкой я понимаю ссылку содержащую в себе информацию, которая дает некоторые дополнительные возможности, предназначенные для конкретного человека, на ресурсе-адресате.
С одной стороны, сам себе злобный буратино. Если вы перешлете не персональную ссылку, а логин с паролем, то еще больших дел можно натворить.
С другой стороны всегда очевидно, что ссылка персональная, особенно, если не очень-то разбираешься в таких делах.
В данном случае, имхо, ничего страшного.
По поводу управления подпиской.
Если это просто информационные письма, то удобство персональной ссылки гораздо выше, чем потери в безопасности.
Единственное, что я предлагаю в таких ситуациях не просто отписывать клиента от всех рассылок, а давать ему полный вариант настроек подписки, как в личном кабинете, если такие предполагаются. Но не более того, никаких других дополнительных прав на сайте.
Под персональной ссылкой я понимаю ссылку содержащую в себе информацию, которая дает некоторые дополнительные возможности, предназначенные для конкретного человека, на ресурсе-адресате.
Один из работных сайтов пишет в своих письмах такое:
Мой Круг:
Думаю, надо просто придумать аналогичную фразу и вставлять ее в письма с удобными ссылками.
Обратите внимание! Не отсылайте это письмо никому. Письмо может содержать ваши персональные реквизиты доступа на сайт.
Мой Круг:
Внимание! По ссылке в этом письме можно зайти в Ваш профиль без ввода пароля, поэтому никому ее не передавайте. Перейти в ваш профиль по этой ссылке можно только один раз.
Думаю, надо просто придумать аналогичную фразу и вставлять ее в письма с удобными ссылками.
Заранее подставлять в форму персональные данные не нужно, т.к. это создает риск вот такой ситуации, которую вы описали.
Плюс, как вы и описали, нельзя поделиться ссылкой с другими.
Поэтому, заранее заполнять поля в форме в такой ситуации — это медвежья услуга.
А если ссылка содержит данные в GET параметрах, да ещё и ведет на http страничку… то это прямое раскрытие персональных данных клиентов.
Ещё можно подумать вот о чем.
Смысл тогда вообще в форме, если все данные о вас уже есть?
Можно было бы, при нажатии по ссылке сразу получать сообщение «вы зарегистрированы».
Плюс, как вы и описали, нельзя поделиться ссылкой с другими.
Поэтому, заранее заполнять поля в форме в такой ситуации — это медвежья услуга.
А если ссылка содержит данные в GET параметрах, да ещё и ведет на http страничку… то это прямое раскрытие персональных данных клиентов.
Ещё можно подумать вот о чем.
Смысл тогда вообще в форме, если все данные о вас уже есть?
Можно было бы, при нажатии по ссылке сразу получать сообщение «вы зарегистрированы».
Не являясь специалистом задам вопрос:
мне только кажется или более правильным решением, чем GET-запрос с параметрами, в этом случае будет использование cookies? Тогда можно было бы и открывать по ссылке предзаполненную форму, и передавать её другим без раскрытия ПД.
мне только кажется или более правильным решением, чем GET-запрос с параметрами, в этом случае будет использование cookies? Тогда можно было бы и открывать по ссылке предзаполненную форму, и передавать её другим без раскрытия ПД.
Насколько я знаю, cookies нельзя поставить из письма.
А на сам сайт мероприятия человек мог ранее и не заходить.
Не вижу больших плюсов от предзаполненной формы.
Вы часто встречали такое?
А на сам сайт мероприятия человек мог ранее и не заходить.
Не вижу больших плюсов от предзаполненной формы.
Вы часто встречали такое?
Мы пошли более простым путем, каждому пользователю будет присвоен некий guid. В ссылке будет указываться именно он. Таким образом сайт, при получении ссылки с номером клиента и корректным guid будет выполнять отписку данного пользователя от всех рассылок.
Удивительно, за что слили то, что нельзя произносить? Ну правда значок дали.
Можно отписывать без пароля, но уведомлять по e-mail, чтобы не было ситуации, когда пользователь не подозревает, что его отписали. Либо вместо логина и пароля использовать подтверждение по e-mail, но это как-то долго.
Мы включаем в рассылки параметр для идентификации пользователя, но он работает только один раз — при первом клике. Если вы сами открыли ссылку и потом переслали другу — он уже не сможет войти «под вами». Код уникален в рамках одного письма.
Sign up to leave a comment.
Безопасность в ссылках для e-mail рассылок