Was ist der beste Weg zur Umsetzung einer "unsubscribe" - link für Ihren newsletter?

Ich denke, dass ich schaffen Sie ein Deaktivierungs-code setzen, dass in den unsubscribe-link zusammen mit Ihrer Benutzer-id. Dann, wenn ein Empfänger meiner newsletter auf den link klickt, ich kann schauen, Ihre Benutzer-id und sehen, ob die Deaktivierung-code entspricht.

Klingt wie der beste Weg?

Was sind einige andere Möglichkeiten?

InformationsquelleAutor Tony | 2009-05-12
  1. 9

    Könnte man nur verwenden eines Hash-Algorithmus zur Sicherung der Benutzer-id (so, dass keiner Registrierung alle Ihre DB mit einem fiesen loop).

    Werden Sie am Ende mit zwei Parameter : Benutzer-id und hash.

    Der Vorteil ist, dass Sie nicht brauchen, um zu speichern Sie eine beliebige Zuordnung zwischen den Deaktivierungs-code und Benutzer-id.

    • Let me get this straight... die userID param wäre in diesem Fall ein Hashwert mit der hash-param. Also die Parameter sind Benutzer-id und hash und hash(hashedUserID,hash) = userID ....richtig?
    • Ich denke er meint url = /unsub?userID=x&hash=$hash(x + secret), wo Geheimnis ist etwas, das Sie nicht verraten.
    • Dann habe ich die keep the secret in der Datenbank, die würden im wesentlichen die Deaktivierung-code. Was ist der Vorteil?
    • Keine Datenbank erforderlich, da müssen Sie nur ein Geheimnis für alle Ihre Anwendung. Das Geheimnis wird nur angezeigt (einmal) in deinem code.
    • Ich würde nicht die userID aus der DB, anstatt nur die E-Mail benutzen, da dies ein bereits ausgesetzt-Informationen in einer E-Mail. Siehe duplizieren von hier: stackoverflow.com/questions/1240915/...
    InformationsquelleAutor MatthieuP
  2. 10

    Von einem end-user-Sicht, ein-Klick-Abmeldung ist ausgezeichnet.

    Jedoch mit hash(id + secret) ist unsicher, weil ein cleverer Angreifer kann sehr schnell "brute force" - das Geheimnis, dann gehen Sie zum abbestellen, die jeder Benutzer in der DB einfach durch Inkrementieren das ID.

    Es ist viel sicherer, halten Sie die ID "semi-geheimes" auf dem server und verwenden Sie die e-mail-Adresse zum nachschlagen der Benutzer auf Abmelden. So, einen erfolgreichen Abmeldung erfordert die Kopplung ein E-Mail-Adresse mit der richtigen ID. Sie können diese noch sicherer durch speichern von einem wirklich geheimen Schlüssel für jeden Benutzer und verwenden, die anstelle der ID. Dies ist insbesondere erforderlich, wenn die E-Mail-ID + - Paare veröffentlicht werden.

    So, zum Beispiel, Ihre Abmelde-link würde so Aussehen:

    http://mydomain.com/unsubscribe?email={$email}&hash={$hash}

    - Und eine server-seitige Funktion zum generieren $hash Aussehen würde, wie dies in PHP:

    <?php
function unsubscribeHash($id, $email) {
    $hashSecret = 'Fz!Fx~36N66>io3B-vlPDshdRxos8JjCd4+Ld-s2^ca{19Q/5u';
    return sha1($id . $email . $hashSecret);
}
?>

    Klicken Sie dann zum abschließen der Abmeldung, die Sie lookup wird die Nutzer per E-Mail, und überprüfen Sie,

    $_GET['hash'] == unsubscribeHash($user_id, $_GET['email'])

    InformationsquelleAutor jchook
  3. 4

    Aus der Sicht der Nutzer, nicht erfordern, dass der Nutzer zur Eingabe der e-mail-Adresse zu kündigen. Ein Ansatz, der über alle Informationen verfügt, eingebettet in den link (wie Sie beschreiben) ist viel besser.

    InformationsquelleAutor g .
Schreibe einen Kommentar