duda sobre email roboto típico de registros en webs

Dundee · #1 (**permalink**) 17/09/2008, 05:55

Hola estoy creando una web en la que para registrarse quiero que se le envie al usuario el típico mail robot "gracias por registrarse bla bla bla". El tema es que estoy investigando como lo hacen otras webs para que mi sistema sea lo más seguro posible (fuera del alcance de niñatos con ganas de destruir). Por ahora he hecho que se le envié junto al típico saludo un enlace tipo
http://www.miweb/[email protected]
El miedo que tengo es el tema de la seguridad , ahí van mis dudas:
¿Es esta manera segura?
¿puede algún desgraciado enviarme miles de peticiones con mails que no se encuentren registrados y hacer que se caiga el servidor de este modo?.
Me he registrado en una web linuexera para ver como lo hacen y he obtenido esto.

Gracias por registrarte en El centro de linux chachi pirulo. Puedes conectarte al sistema en esta direccion http://www.ggrr-es.org/user, usando este nombre de usuario y clave de acceso:
nota: logicamente los datos son falsos
usuario: manolete
clave: 456677hPMu

Tambien puedes entrar en el sistema pulsando en este enlace o copiando la direccion en tu navegador:

ggrr.org/usr/re/52/127887/rtr4444312a121b806cc7f881f60a63a
nota:he omitido las www porque no entraba toda la URL en el post

Esta conexion solo funcionara una vez. Una vez dentro del sistema seras redireccionado a http://www.ggrr-es.org/user/14555/ade para que cambies tu clave de acesso.

Para cualquier duda o pregunta ponte en contacto con el administrador en la direccion webmaster@linux.
//// HASTA AQUI EL MAIL ROBOT

He puesto en negrita la _URL que hay que pinchar para confirmar el registro . ¿Que son esos códigos rtr4444312a121b806cc7f881f60a63a ? ¿algo que genera del sistema? ¿como funciona este tipo de sistemas de confirmación mediante mails robot?.

Espero haberme explicado medianamente bien ,de no ser así mis disculpas por anticipado.

Saludos y gracias.

eastdev · #2 (**permalink**) 17/09/2008, 07:17

Hola, la idea es que en tu tabla de usuarios tengas un campo de validacion booleano que cuando el usuario se registre se guarde como 0 y en el email que le pasas, va una ruta que tu decides ejemplo:

www.tuweb.com/usuarios/validacion/?target=1

Donde target es el id de ese usuario registrado y en esa página que levantas con este link harías el update del campo de validación a 1.

En los casos que vez URL con muchos caracteres es porque normalmente se construyen URL donde cualquier usuario no pueda llegar navegando y los parametros que se pasan en ella estan encriptados con MD5 o base64_encode ... existen otras formas.

Cualquier cosa, vuelve a postear.
Saludos,

Dundee · #3 (**permalink**) 17/09/2008, 07:59

Bueno basicamente es lo que ya estoy haciendo , solo que utilizo en vez de id de usuario su propia Email que es la clave de la tabla usuarios de mi Bd. Lo que no entiendo bien es lo de encriptar los datos con md5, eso yo lo uso para la contraseña de usuario al registrarse y un valor de status 0 cuando se registra y 1 cuando confirma haciendo clic en el link del email robot (haciendo update etc etc). Pero el tema de la encriptación es lo que me pierde.

He editado mi respuesta porque he seguido probando varias formas y te respondo a varias cuestiones que en principio he planteado. Primeramente no se realmente la utilidad que tiene Md5 si dejamos a un lado que pueddan entrar en la Bd y copiar contraseñas y mails , te digo esto porque no entiendo la diferencia que habría entre hacer http://[email protected] o esto otro
http://www.miweb?user=00654521323423423 (código obtenido tras hacer ) md5($email), digo que no veo la diferencia porque según dices tú literalmente "En los casos que vez URL con muchos caracteres es porque normalmente se construyen URL donde cualquier usuario no pueda llegar navegando y los parametros que se pasan en ella estan encriptados con MD5 o base64_encode ... existen otras formas.
"
¿De verdad que no pueden llegar navegando si se hace con Md5¿ ¿porque? ¿no es lo mismo pegar en el navegador la url con ?user=$email que la de ?user=23423sdfsdfstg23 (md5)?? , la verdad no veo la diferencia. Lo que se creo sería buena idea sería un sistema que permita esta validación una y solo una vez para evitar ataques tipo consultas múltiples a la Bd.

Un saludo y gracias

Dundee · #4 (**permalink**) 17/09/2008, 13:33

Me respondo a mi mismo por si a alguien le puede servir:

He tomado la decisión de comprobar si un usuario ya había validado su cuenta anteriormente y de ser así no realizar el UPDATE nuevamente para evitar posibles peticiones para saturar la Bd.

He creado dos simples scripts , register.php (archivo que se ejecuta cuando un usuario se registra desde la web y envía el mail automático a la espera de ser validado) y valida_user.php (archivo que se ejecuta cuando el usuario hace clic en el link que se le envía al correo).

valida_user.php
Este archivo comprueba leyendo un archivo mails.txt si está el mail escrito y sino lo escribe , si lo está sale de la aplicación y no hace el UPDATE ¡¡oxígeno para la bd¡¡ (ahora me estoy planteando guardar las IPS de los usuarios para comprobar abusos intencionados del archivo mails.txt).

Código:

<? 


echo top_menu(); ?>

<?

//Comprobamos que no se ha validado previamente
if (check_validate($_GET['user']) ) //esta función devuelve true si ha encontrado
                                               //este email previamente registrado 
                                               //(abajo la pongo)
{
	echo "Usuario ya registrado";
	exit;
 }
 else
 {

//abrimos archivo y escribimos el mail para controlar que las validaciones desde el mail se hagan una sola vez 
		$archivo=fopen("users/mails.txt" , "a");
		if ($archivo) {
		fputs ($archivo, "$_GET[user]\n");
			}
		fclose ($archivo); 

}
 if (  is_prev_register_user($_GET['user'])  ){
	echo "<p>Completado registro de usuario ". $_GET['email']."</p>";
	echo "<p> Por favor haga <a href='categories.php'>Clic aqu</a> para identificarse y poder comenzar a utilizar andanuncios </p>";
	}	 
?>

function is_prev_register_user($email)

Código:

function is_prev_register_user($email) {
 $conex=db_connect();
 if (!$conex)
 return 0;

$password= md5 ($pwd); 

$query = "UPDATE users SET Status = '1' WHERE email= '$email' ";

$result = mysql_query($query, $conex) or die("<br><h3>El usuario no existe </h3>".mysql_error());

if (!$result)
return false;

return true;

}

Logicamente esto sucede despúes de haber hecho clic en el link del mail de confirmación que es tipo http://[email protected]

Ahora lo que se me ocurre es crear un script que lea las ips de los usuarios que intenten entrar por la web con el link que les llega por correo de forma abusiva, es decir si ejecutan el archivo de comprobación de emails 5 veces se les bannea ¿esto se puede hacer?.

Estaré encantado de cualquier sugerencia que me sirva para mejorar la seguridad.

Un saludo y gracias a todos

eastdev · #5 (**permalink**) 18/09/2008, 19:07

Hola, formas para hacer esto hay miles, todo dependera de la orientacion logica que le des a tu aplicacion

Saludos,