Lập trình xung quanh địa chỉ email nhạy cảm

Giống như nhiều trang web, chúng tôi sử dụng địa chỉ email làm định danh người dùng để đăng nhập.

RFC 5321 [ # 2.3.11 ] nói rằng các phần cục bộ của địa chỉ email:

PHẢI được giải thích và chỉ định ngữ nghĩa bởi máy chủ được chỉ định trong phần tên miền của địa chỉ

Điều này có nghĩa là các ứng dụng xử lý địa chỉ email không thể đoán thứ hai, ví dụ, cách mà Gmail sẽ bỏ qua các dấu chấm khi xác định tên người dùng . Điều đó cũng có nghĩa là các ứng dụng phải coi địa chỉ email là các phần cục bộ như phân biệt chữ hoa chữ thường, vì đó là cách phần được chỉ định .

Tuy nhiên, người dùng thật ngu ngốc và trong một trường hợp gần đây, một người dùng đã đăng ký địa chỉ email viết hoa (và đã nhận và nhấp vào email xác minh thành công) thấy rằng họ không thể đăng nhập vì hiện tại họ đang sử dụng định dạng email viết thường Địa chỉ.

Tôi chưa bao giờ bắt gặp một máy chủ email thực thi phân biệt chữ hoa chữ thường trên hộp thư đến của nó. Tôi không nghi ngờ rằng một số tồn tại ở đâu đó, nhưng tôi đang đặt câu hỏi liệu không có lợi ích lớn hơn trong việc giảm độ nhạy trường hợp cho tên người dùng email của chúng tôi hơn là có vấn đề trong việc giữ nó.

Tôi sẽ không đi xa đến mức mô phỏng xử lý dấu chấm của GMail, hoặc bất kỳ loại địa chỉ cộng nào , bởi vì những thứ đó dường như không phổ biến hoặc được giả định tự động như phân biệt chữ hoa chữ thường. Tuy nhiên, tôi biết đó không phải là một kịch bản đen trắng nên tôi quan tâm nếu có ai biết địa chỉ email phân biệt chữ hoa chữ thường như thế nào.

http://tools.ietf.org/html/rfc5321#page-42 (nhấn mạnh thêm):

Mặc dù định nghĩa trên cho Phần cục bộ tương đối dễ cho phép, để có khả năng tương tác tối đa, một máy chủ dự kiến ​​sẽ nhận thư NÊN tránh xác định hộp thư trong đó Phần cục bộ yêu cầu (hoặc sử dụng) dạng Chuỗi trích dẫn hoặc trong trường hợp Phần cục bộ là trường hợp -sự nhạy cảm.

Các rfc không khuyến khích trường hợp nhạy cảm. Ngoài ra, cá nhân tôi chưa bao giờ thấy một máy chủ lưu trữ với các bộ phận địa phương nhạy cảm.

Địa chỉ email không phân biệt chữ hoa chữ thường là một tiêu chuẩn không chính thức.

Do đó, tôi nghĩ rằng bạn đã đúng khi nói rằng có lợi ích lớn hơn trong việc giảm độ nhạy trường hợp cho tên người dùng email của bạn hơn là có vấn đề trong việc giữ nó.

Đoạn 2.4. Nguyên tắc cú pháp chung và Mô hình giao dịch của các tiểu bang RFC 5321 (nhấn mạnh của tôi):

Do đó, việc triển khai SMTP PHẢI cẩn thận để bảo vệ trường hợp hộp thư cục bộ. Đặc biệt, đối với một số máy chủ, người dùng "smith" khác với người dùng "Smith". Tuy nhiên, việc khai thác độ nhạy trường hợp của các bộ phận cục bộ hộp thư cản trở khả năng tương tác và không được khuyến khích. Các miền hộp thư tuân theo các quy tắc DNS thông thường và do đó không phân biệt chữ hoa chữ thường.

AFAIK tất cả các máy chủ thư phổ biến tránh các email phân biệt chữ hoa chữ thường và bạn cũng nên như vậy. Tôi đã không sử dụng một dịch vụ giả định trường hợp nhạy cảm cho email và tôi ghét phải ngạc nhiên.

Những gì bạn nên làm là sử dụng địa chỉ email như được cung cấp để gửi email và chuyển đổi nó thành một thứ ít bị lỗi hơn khi sử dụng nó làm định danh tài khoản hoặc ít nhất là sử dụng nó làm dự phòng khi bạn không tìm thấy kết quả khớp chính xác.

Đây sẽ là một sự tương tự rất thô với những gì thuật toán Soundex làm cho các từ hoặc tên bằng tiếng Anh bằng cách loại bỏ những thứ tạo ra sự mơ hồ. Ví dụ: bạn có thể chuyển đổi toàn bộ địa chỉ thành chữ thường và xóa các phần tử con và ký hiệu không chữ và số khỏi phần cục bộ (ví dụ: Lance.Boyle+sometag@Example.comsẽ chuyển xuống lanceboyle@example.com). Áp dụng cùng một chuyển đổi cho bất kỳ địa chỉ nào được sử dụng trong quá trình đăng nhập sẽ giúp bạn có nhiều kết quả phù hợp hơn và người dùng không phải là người khôn ngoan hơn vì bất kỳ việc sử dụng địa chỉ nào khác sẽ là phiên bản được cung cấp.

Từ một quan điểm kỹ thuật, điều này làm cho thông tin đăng nhập của bạn nhẹ dễ dàng hơn để brute force. Nếu đó là một mối quan tâm, bạn luôn có thể yêu cầu một kết quả khớp chính xác để đăng nhập và cung cấp tùy chọn "quên đăng nhập hoặc mật khẩu của tôi" có thể chấp nhận được khi tra cứu tài khoản vì bất kỳ email nào bạn gửi sẽ đến địa chỉ "đúng".

Nếu một địa chỉ như địa chỉ ở trên thực hiện mọi cách thông qua đăng ký và xác minh, tôi không nghĩ rằng việc từ chối những người khác chuyển đổi theo cách tương tự như trùng lặp là không hợp lý. Tôi muốn thừa nhận rằng bất kỳ trang web đó chuyển nhượng địa chỉ địa phương thích Lance.Boyle, LanceBoyle, lance.boylevà lanceboylevà xử lý chúng như khác nhau có thể là nguồn gốc của các loại rắc rối.