Estou tentando pensar em maneiras de, da maneira mais segura possível, verificar se um usuário é dono de um site que ele afirma possuir.
Aqui estão algumas maneiras que eu já vi:
- Carregar um arquivo HTML com nome obscuro no diretório raiz com o conteúdo fornecido
- Inclua uma metatag ou outro comentário em algum lugar da fonte da página inicial
- Envie um email para um endereço
@domainwearetryingtovalidate.tld
com um link de verificação - Verifique um registro CNAME ou TXT
- Verificar registros WHOIS
- Valide fisicamente ligando ou enviando um e-mail para a linha de suporte, atualizando manualmente os registros
E aqui estão os problemas com esses métodos, em ordem:
- Algumas configurações de sites podem não permitir o simples upload de um arquivo para a raiz
- O design inadequado do site pode permitir que um usuário desse site adicione ele mesmo essa metatag
- Sites que fornecem serviços de email tornam isso inútil; tome
gmail.com
por exemplo - Isso é muito complexo para a maioria dos proprietários de sites pequenos descobrir como fazer
- Aqueles são públicos; qualquer um pode reivindicar ser quem quer que seja. Sem mencionar na maioria das vezes imprecisos.
- Huuuuge perda de tempo
Existem outras maneiras de verificar se um usuário do seu site possui um site específico? Dos métodos listados, quais são os melhores e os piores? Eu os ordenei do melhor para o pior na minha opinião, mas gostaria de ver o que os outros pensam também.
Eu planejo implementar um ou mais desses em PHP.
Respostas:
Eu definitivamente acho
é o melhor caminho a percorrer. Eu realmente tive que fazer isso uma vez. E eu não acho que muitas configurações de sites o impeçam de fazer isso.
Se você está realmente preocupado com isso, por que não permitir todas as opções (seguras)?
Em relação ao seu comentário:
Nesses casos raros , deixe esses administradores irem com os registros CNAME / TXT ou chame-os :-)
fonte
Carregar um arquivo com nome obscuro é o caminho a percorrer.
Você escreveu a desvantagem é que eles podem não ter permissão para carregar um arquivo na raiz. Bem, nesse caso, significa que eles não possuem o site, e é isso que você está tentando descobrir.
fonte
html
ouwww
.Eu recomendaria usar a meta tag ...
fonte
Pessoalmente, eu iria com a opção de email automatizado.
Peça ao usuário para inserir seu URL e endereço de email, verificando se o domínio é o mesmo nos dois casos. O uso do mesmo sistema que os sistemas de redefinição de senha usam:
Para aumentar a segurança, armazene o tempo em que o hash foi gerado e espere o tempo limite após uma ou duas horas.
fonte
O site de microformatos está desativado agora enquanto escrevo isso, mas o cache do Google está disponível. Esta é uma solução para você:
http://microformats.org/wiki/RelMeAuth
fonte