Furto di identità: modulo invio E-mail
Autor: Nicco P.
Visited 1472,
Followers 1,
Udostępniony 20
Salve a tutti,
nella funzione modulo invio E-mail è possibile (senza inserire password) digitare chi sia il mittente e chi sia il destinatario.
Volendo quindi potrei creare un modulo che invia mail a "***" con mittente "***" con susscritto ciò che voglio.
Ritengo sia un grave problema, perchè chiunque può mandare mail senza che il mittente o il destinatario si accorgino di nulla.
Posted on the
Questa non è affatto una novità. Non esiste un metodo per evitarlo se non si vuole adottare il sistema della email di conferma, che però non è supportato da website.
Autor
io credo che si potrebbe inserire la richiesta di password per il destinatario.
Salve, io ho risolto il problema facendo in modo che l'utente prima di accedere a qualsiasi pagina che contenga un modulo (se si è già loggato accede direttamente) e l'indirizzo di posta viene inserito in modo automatico, prelevandolo dal suo profilo. In questo modo so per certo che il modulo non è stato manipolato e le info in arrivo sono sicure.
E se l'utente non è loggato?
"l'utente prima di accedere a qualsiasi pagina che contenga un modulo (se si è già loggato accede direttamente)" ...altrimenti si registra...
Caterina, a meno che tu non abbia fatto ricorso a risorse non appartenenti a WSX5, una persona che vuole inviare una mail di contatto può farlo solo se preventivamente è stata inserita da te nella lista degli utenti certificati e dotati di password. Ma se un utente è nuovo e vuole contattarti apposta per valutare se registrarsi oppure no? Hai messo almeno un numero di telefono o una lista di faq?
Comunque chi riceve dal nostro sito una risposta automatica, fatto salvo diverse impostazioni, riceve una mail con riquadro che appare diversa dalle solite mail personali; forse si potrebbe rendere obbligatoria in questa mail di risposta automatica l'acclusione dei dati raccolti dal modulo di contatto, ovvero subordinare la spedizione di una mail di conferma alla spunta di "includi i dati raccolti".
Io utilizzo porzioni di codice PHP per ottenere delle funzioni meno rigide, in ogni caso il primo contatto che qualsiasi utente chiede, secondo me, non ci deve essere l'immediato controllo di chi ti contatta. Se poi devi proseguire con il rapporto, l'utente deve registrarsi e in quel momento devi mettere in atto un modulo di registrazione che sia abbastanza ricco di informazioni che ti permettano un minimo di incrocio dei dati, l'ideale prima di accettare la registrazione sarebbe quello di richiedere il numero dl cellulare a cui inviare un codice, affinchè l'utente tramite quello possa attivarsi. E' anche vero che l'utente non sia chi dice di essere, ma è anche vero che tu hai il suo numero di cellulare, che comunque riduce ma non elimina i rischi di falsa identità.
Naturalmente dopo la registrazione, pretenderai che l'utente esegua il loghin per accedere alle pagine riservate. Per me è un po più facile perchè in definitiva io ho un rapporto più diretto con l'utente, perchè per consolidare il rapporto di lavoro io mi devo poi recare effettivamente nella sua sede.
Login non loghin (errata corrige)
Sono d'accordo. E' esattamente quel che dicevo anche io. Per questo ti dicevo che con WSX5 se tu metti il modulo di posta in una pagina già riservata in partenza rimane inaccessibile a chi non è stato ancora registrato da te come utente; perciò non puoi.
Altrimenti per il primo contatto devi approntare un canale alternativo; dopodichè uno può decidere se vuole o non vuole registrarsi nel tuo sito fornendoti le informazioni che tu chiedi.
Comunque se il tuo caso è così particolare da aver bisogno di essere massimamente certa dell'autentica identità di chi ti chiede l'iscrizione, esiste un sistema ancora più affidabile del numero di cellulare a cui inviare manualmente la pwd, e cioè: inserisci una pwd uguale per tutti gli iscritti (un passpartout) nella e-mail di risposta automatica del modulo di acquisto; poi fai una cella di e-commerce mettendo come articolo unico l'iscrizione al sito con un prezzo simbolico (ma non inferiore a 5 euro altrimenti il pagamento tramite Paypal non funziona); chiaramente per la ricezione del pagamento devi preventivamente disporre un apposito account Paypal e la pagina con il modulo commerciale non deve essere riservata; inoltre è bene predisporre una dettagliata pagina di spiegazioni e faq per coloro che devono capire come procedere e se vogliono procedere.