xoa*_*ail 7 security email email-spam unsubscribe
给我几个理由,为什么不以纯文本形式包含电子邮件地址,以便在我们的新闻通讯中发送取消订阅链接.
现在是:
xyz.net/unsubscrible?uid=123&email=user@domamin.com
我在推动:
xyz.net/unsubscrible?uid=123&key=(encrpted_email_md5hash).
我真的不喜欢以纯文本形式发送电子邮件地址的想法,但需要说服我的经理可能存在威胁.
更新:虽然所有答案都表明我应该如何保护它并且没有理由我应该保护它,但我发现do-ob的答案是最合适的.
因为那时你可以取消订阅其他人.理想情况下,您只想使用一个键:
xyz.net/unsubscrible?key=<some unique cryptographic hash>
我不应该猜测ids和电子邮件,并导致其他人采取某些行动.
小智 6
出于同样的原因,银行没有类似的链接
bank.com/applycredit?ssn=123456789&name=john+smith&dob=19500101&married=true&address=...
它很容易被截获和解释.
我得到的每一份通讯都在底部有一个免责声明,例如:
此电子邮件已发送至YourName@Domain.com.要取消订阅,请单击此链接:xxxx
我发现在简报中明确列出我自己的电子邮件地址是有帮助的.电子邮件是否在取消订阅链接中,似乎与我无关.
假设您不在邮件的实际文本或取消订阅链接中发布电子邮件地址.电子邮件地址仍在电子邮件标题中.因此,我并没有真正看到在取消订阅链接中隐藏它的背后的需要或推理.