Wiele witryn, na których można założyć konto, stosuje do potwierdzenia rejestracji tzw. link aktywacyjny. Na podany podczas rejestracji adres e-mail otrzymujemy list, w którym podany jest link z kluczem aktywacyjnym. Dopiero wejście na ten adres sprawia, że konto jest w pełni aktywne i możemy się logować na witrynie. Taka procedura ma wymusić podawanie maila, do którego faktycznie mamy dostęp, a także utrudnić botom automatycznie tworzenie kont.
Szczegółowe rozwiązania takiego procesu rejestracji mogą być różne. I niektóre z nich uważam za mijające się z pierwotnym założeniem.
Najprostszy przypadek to mail, w którym dostajemy link, klikamy i konto jest aktywowane. Jeśli jednak pomylę się, mogę wpisać adres, który faktycznie istnieje, a z którym nie mam nic wspólnego (np. "zenek11" zamiast "zenek111"). Istnieje wtedy jakieś prawdopodobieństwo, że Zenek aktywuje konto. Dostał nagle jakiegoś maila i nie ma pojęcia, co to jest, bez wnikania w treść klika w link, żeby się zorientować. I gdzie tu weryfikacja mojego adresu?
Powyższy przypadek nie jest na szczęście zbyt dużym problemem. Karygodne jest natomiast przesyłanie z linkiem aktywacyjnym loginu i hasła. Większość osób pewnie zignoruje taki przypadkiem otrzymany list, ale jak trafi na kogoś złośliwego, może się on wtedy zalogować, poznać jakieś inne dane, które wpisałem podczas rejestracji, zmienić hasło itp. Gdzie tu weryfikacja, gdzie ochrona prywatności?
Witryny stosujące powyższą procedurę wzbudzają moją irytację. Za to nabieram większego zaufania do witryn, które nie przesyłają w mailu loginu i hasła, zaś po kliknięciu linku aktywacyjnego muszę wpisać login i hasło. Jest weryfikacja maila, a przy tym postronna osoba nie aktywuje konto ani się nie zaloguje.
4 komentarze
