उपयोगकर्ता के स्वामित्व में दिए गए डोमेन को कैसे मान्य किया जाए?

मैं एक सॉफ्टवेयर लिख रहा हूं, जो ज्यादातर कंपनियों द्वारा उपयोग किया जाएगा।

मुझे तब कंपनियों को अपने ईमेल डोमेन को पंजीकृत करने का एक तरीका देने का विचार था ताकि प्रत्येक उपयोगकर्ता जो दिए गए डोमेन के ईमेल के साथ पंजीकृत हो, स्वचालित रूप से कंपनी समूह में डाल दिया जाएगा।

मुझे पता है कि स्लैक ऐसा कुछ करता है और यह काम करता है, लेकिन कुछ समस्याएं हैं ... उदाहरण के लिए मैंने अभी "live.it" (Microsoft द्वारा live.com इतालवी संस्करण) पंजीकृत किया है।

मैं बस यह नहीं मान सकता कि यदि किसी उपयोगकर्ता ने किसी विशिष्ट डोमेन के साथ एक ईमेल को मान्य किया है तो प्रत्येक उपयोगकर्ता को उसी डोमेन में उसी डोमेन_मेल के साथ रखना सुरक्षित है।

उदाहरण के लिए, अगर मैं me@gmail.com के साथ पंजीकरण करता हूं, तो मैं उपयोगकर्ता को "gmail.com" पंजीकृत नहीं करने देना चाहता हूं।

मैं "डोमेन के रूट में एक html फ़ाइल डाल" या "एक TXT रिकॉर्ड सेट" जैसी विधियों के उपयोग से बचना चाहूंगा, इसलिए मैं सोच रहा था कि मुझे कैसे करना चाहिए।

रूट डायरेक्टरी में फाइल करें

कॉर्पोरेट वेबसाइट की रूट डायरेक्टरी में फाइल डालने की संभावना को न भूलें। यह अच्छी तरह से काम करता है और व्यापक रूप से उपयोग किया जाता है: Google वेबमास्टर टूल ऐसी तकनीक का एक उदाहरण है। यह इस दृष्टिकोण को आकर्षक बनाता है: चूंकि अधिकांश उपयोगकर्ता पहले से ही जानते हैं, वे खो नहीं जाएंगे। इसके अलावा, इसे एमएक्स रिकॉर्ड को संशोधित करने के विपरीत, किसी भी तकनीकी ज्ञान की आवश्यकता नहीं है (अधिकांश छोटी कंपनियों को यह भी पता नहीं होगा कि एमएक्स रिकॉर्ड क्या है)।

रूट डायरेक्टरी को प्रदूषित करने से बचने के लिए, आपको अपने चेक करते समय केवल एक फाइल लगाने के लिए कहना चाहिए। एक बार जब आप फ़ाइल पा लेते हैं, तो उपयोगकर्ता इसे हटाने में सक्षम हो सकता है।

ध्यान दें कि जिन उपयोगकर्ताओं के पास कोई कॉर्पोरेट वेबसाइट नहीं है, वे आपकी सेवा तक नहीं पहुंच पाएंगे, लेकिन मुझे नहीं लगता कि इस मामले में कई ग्राहक हैं।

ध्यान दें कि:

• आपको http://example.com/file और http://www.example.com/file , दोनों की जांच करनी चाहिए , क्योंकि कुछ वेबसाइट इस तरह से कॉन्फ़िगर की जाती हैं कि वे http://example.com/ फॉर्म का समर्थन नहीं करती हैं ।

• आप HTTPS का भी समर्थन कर सकते हैं, यह देखते हुए कि मुझे नहीं लगता कि HTTP से HTTPS तक कोई पुनर्निर्देशन वाली बहुत सी कंपनियां हैं।

• आपको किसी अन्य तृतीय-स्तरीय डोमेन जैसे कि http://mysite.example.com/ को स्वीकार नहीं करना चाहिए , क्योंकि यह किसी ऐसे व्यक्ति के लिए संभव होगा जिसने यह दावा करने के लिए कि वह दूसरे-स्तर के डोमेन का मालिक है, तीसरे-स्तर के डोमेन खरीदे। example.com ।

ई-मेल भेजना

गुप्त लिंक के साथ ई-मेल भेजना समस्याग्रस्त है। आप इसे firstname.lastname@example.com पर नहीं कर सकते, क्योंकि किसी दिए गए व्यक्ति का कॉर्पोरेट ई-मेल पता नहीं हो सकता है (यह अक्सर स्टार्टअप्स का मामला होता है, जहाँ लोग अपने व्यक्तिगत पते का उपयोग करना पसंद करते हैं)।

ई-मेल का उपयोग करना जैसे कि admin@example.com कुछ मामलों में काम नहीं करेगा।

• सबसे पहले, हमेशा ऐसी कंपनियां होती हैं जिनके पास पोस्टमास्टर @example.com, admin@example.com आदि नहीं होते हैं, लेकिन उनके विशेष "सिस्टम" ई-मेल पते जिन्हें आपने श्वेत नहीं किया है। विशेष रूप से विदेशी कंपनियों पर विचार करें; उदाहरण के लिए, फ्रांस में, "प्रशासक " के बजाय "प्रशासक यूरो आर" का उपयोग करना असामान्य नहीं है , जिसमें ई-मेल पते और खाता नाम शामिल हैं।

• दूसरा, कई छोटी कंपनियां पहुंच नहीं पाती हैं और न ही यह जानती हैं कि अपने सिस्टम ई-मेल का उपयोग कैसे करें। वे यह भी नहीं जानते हैं कि उनके पास दुरुपयोग की बात है @example.com सैकड़ों ई-मेल के साथ उनके उत्तर की प्रतीक्षा कर रहे हैं।

  उसी कारण से, आप ई-मेल पते के लिए WHOIS रिकॉर्ड पर खुद को आधार नहीं बना सकते।

प्रश्न प्रभाव में है: " ईमेल डोमेन के मालिक होने का क्या मतलब है ?"।

किसी फ़ाइल को रूट में रखने की क्षमता के कारण एक वेबसाइट का मालिक होना परिभाषित किया गया है । साधारण उपयोगकर्ता फ़ाइल को चालू करने में सक्षम हो सकते हैं http://example.com/~user42/validation.txtलेकिन चालू नहीं http://example.com/validation.txt।

ईमेल के लिए, ऐसा कोई पदानुक्रम नहीं है। हालाँकि, postmasterपता विशेष है। (प्रति RFC2142 आरक्षित ) आप नहीं बना पाएंगे postmaster@gmail.com। इस प्रकार, बनाने और / या उपयोग करने की क्षमता postmaster@वह प्रमाण है जो आपको ईमेल डोमेन स्वामित्व के लिए चाहिए।

अपनी टिप्पणियों में देखकर कि आप फाइल-इन-रूट-ऑफ-वेबसाइट विधि का उपयोग करना पसंद नहीं कर सकते हैं, एक विकल्प जो काम कर सकता है वह है

WHOIS का उपयोग करके स्वामित्व सत्यापित करें

आपको डोमेन के लिए अनुरोध किया जा रहा है (उदाहरण के लिए stackexchange.com), और उस डोमेन के लिए WHOIS आउटपुट में सूचीबद्ध ईमेल में से एक । (ध्यान दें कि यह गुप्त / निजी पंजीकरण के लिए काम नहीं करेगा, लेकिन अगर आपके दर्शक निगम हैं तो यह आमतौर पर कोई समस्या नहीं है)

उदाहरण के लिए:

WHOIS information for stackexchange.com:**
...
Domain Name: STACKEXCHANGE.COM 
Registrar WHOIS Server: whois.name.com 
Registrar URL: http://www.name.com 
Updated Date: 2014-05-14T16:49:02-06:00 

Registrant Name: Sysadmin Team 
...
Registrant Email: sysadmin-team@stackoverflow.com 
Admin Name: Sysadmin Team 
Admin Organization: Stack Exchange, Inc. 
...
Admin Email: sysadmin-team@stackoverflow.com 
Tech Name: Sysadmin Team 
...
Tech Email: sysadmin-team@stackoverflow.com 
Name Server: cf-dns02.stackexchange.com 
Name Server: cf-dns01.stackexchange.com 
DNSSEC: NotApplicable 

आप whoisलुकअप को अंतःक्रियात्मक रूप से भी कर सकते हैं और मान्य ईमेल की ड्रॉपडाउन सूची प्रदान कर सकते हैं (इस मामले में, बस sysadmin-team@stackoverflow.com)। फिर आप चुने हुए ईमेल पर एक सत्यापन कोड / लिंक भेजेंगे।

अपने उपयोगकर्ताओं को अपनी साइट पर उनके उपयोगकर्ता खाते (उनके उपयोगकर्ता नाम, आईडी, या उपयोगकर्ता द्वारा अपने डोमेन को सत्यापित करने के लिए पूछे जाने पर उत्पन्न एक मनमाना टोकन) के संदर्भ में एक TXT रिकॉर्ड जोड़ने के लिए कहें।

मुझे याद है कि मैंने adn_verification=<my user name>अपने डोमेन को सत्यापित करने के लिए एक सामाजिक नेटवर्क पर एक रिकॉर्ड जोड़ने के लिए कहा था, और मुझे लगा कि यह बहुत साफ-सुथरा है और इसके लिए आपको डोमेन को वेब सर्वर की ओर संकेत करने की आवश्यकता नहीं है।

पृष्ठ पर पहले से ही सुझावों को जोड़ने के लिए: मैं उपयोगकर्ता विकल्प देने की सलाह देता हूं कि वह अपने डोमेन को कैसे मान्य करता है। पृष्ठ पर अन्य सुझाव पूरी तरह से उपयोग करने योग्य हैं, लेकिन कभी-कभी आप उस स्थिति में होते हैं, जब कोई व्यक्ति जो अपने डोमेन को सत्यापित करना चाहता है, केवल उनके सर्वर या यहां तक ​​कि उनकी वेबसाइट तक सीमित पहुंच होती है। उदाहरण के लिए, हो सकता है कि आपका उपयोगकर्ता डोमेन रूट में डोमेन रिकॉर्ड या फ़ाइलें जोड़ने में सक्षम न हो।

उदाहरण के लिए, ट्रॉय हंट उपयोगकर्ताओं को समझौता किए गए खातों के अपने डेटाबेस में पूरे डोमेन की खोज करने की अनुमति देता है, लेकिन आपको पहले सत्यापित करने की आवश्यकता है। वह उपयोगकर्ता को 4 विधियों का विकल्प देता है:

1. ईमेल के माध्यम से;
2. मेटा टैग के माध्यम से;
3. एक फ़ाइल अपलोड;
4. एक TXT रिकॉर्ड।

इन सभी मामलों में, उसे उपयोगकर्ता को एक विशिष्ट मूल्य में कहीं प्रवेश करने की आवश्यकता होती है, जिसके खिलाफ वह सत्यापित करता है।

स्पष्टीकरण http://www.troyhunt.com/2014/01/im-pwned-youre-pwned-were-all-pwned.html पर है ।

क्या आप पंजीकरण के लिए मुफ्त वेबमेल के उपयोग से बच सकते हैं?

यही कारण है कि क्या Brium करता है: आप साइन-इन एक साथ नहीं कर सकते हैं @gmail.com,@live.com , आदि ई-मेल - आप अपने खुद के उपयोग करने के लिए है।

और यह आपको इसके द्वारा क्लस्टर करता है।

यदि आप व्यवसायों को लक्षित कर रहे हैं, तो यह एक अच्छा तरीका है।

आपको अभी भी यह जानने की समस्या हो सकती है कि बॉस कौन है (कहते हैं, उस समूह का व्यवस्थापक), लेकिन यह महत्वपूर्ण नहीं हो सकता है - मालिक के पास स्वामित्व को स्थानांतरित करने के लिए किसी भी कर्मचारी को बताने के लिए उपकरण होना चाहिए, बशर्ते कि कोई हो। बॉस के सामने पंजीकृत।