Проверка — действительно ли клиент активировал почту по номеру телефона?

Question

NonameMeTrue @NonameMeTrue

Node.js

Проверка — действительно ли клиент активировал почту по номеру телефона?

Разрабатываю безопасное приложение на ноде.
Фактически, nodejs может отправлять любые запросы на почтовые сервисы(и сайты).
Законно ли делать такой запрос на восстановление пароля по введённому пользователем email'у и с помощью этого проверять, привязана ли его почта к номеру телефона?
Есть ли другие способы сделать такую проверку? (Api, которое такую возможность предоставляет не нашёл)
И, на некоторых сервисах(к примеру, yandex'е) требуется ввести капчу, дабы отправить запрос на восстановление. Возможно ли обойти её другим запросом на репасс-ссылку или же перенаправлять картинку пользователю, считывать ответ и возвращать его?
Также, собственно, не возникнет ли конфликт с капчами от тех сервисов(тот же mail), где изначально её вводить не нужно, а после нескольких попыток уже потребуется(возможно на сервисе есть какое-либо запоминание пришедших запросов и последующая попытка их отражения, домыслы..).

Вопрос задан более трёх лет назад
103 просмотра

10 комментариев

Подписаться 1 Средний 10 комментариев

Сергей delphinpro @delphinpro

Моя реакция как пользователя была бы такой: а ты не охренел?

Написано более трёх лет назад
NonameMeTrue @NonameMeTrue Автор вопроса

Сергей delphinpro, если такую проверку реализовать и не сообщать пользователю, то конечно же и такой реакции не будет, не так ли?

Написано более трёх лет назад
Сергей delphinpro @delphinpro

NonameMeTrue, это как не сообщать? запрос на восстановление до пользователя все равно дойдет.

Написано более трёх лет назад
NonameMeTrue @NonameMeTrue Автор вопроса

Сергей delphinpro, просто делать первый этап восстановления, а именно - обычный ввод названия почты. После этого там обычно не отправляется уведомление, а показываются способы. И вот, если есть пункт "по номеру телефона", то логично, что почта привязана.

Написано более трёх лет назад
Moskus @Moskus

NonameMeTrue, какие-то у вас странные идеи. Это так не работает.

Написано более трёх лет назад
NonameMeTrue @NonameMeTrue Автор вопроса

Moskus, значит, по Вашему это как должно работать?

Написано более трёх лет назад
Moskus @Moskus

NonameMeTrue, то, что вы хотите, не должно работать никак. Не должно быть возможно выяснить, привязана ли чья-то почта на стороннем сервисе к его телефону.

Написано более трёх лет назад

NonameMeTrue @NonameMeTrue Автор вопроса

Moskus, однако такая возможность есть. К примеру, для mail.ru подходит такой код:

var request = require("request");
request({
    uri: "https://e.mail.ru/api/v1/user/password/restore",
    headers: {
        host: "e.mail.ru"
    },
    form: {
        ajax_call: 1,
        "tab-time": Date.now(),
         email: "somemail@mail.ru",
         htmlencoded: false,
         api: 1,
         token: "",
         "x-email": "",
    },
    method: "POST",
    timeout: 10000,
    followRedirect: true,
    maxRedirects: 10
}, function(error, response, body) {
    console.log(body.includes('"phones":["'));
});

Написано более трёх лет назад

Moskus @Moskus

NonameMeTrue, mail.ru отличается пренебрежительным отношением к безопасности, мягко говоря.

Написано более трёх лет назад
NonameMeTrue @NonameMeTrue Автор вопроса

Moskus, факт того, что это возможно сделать с помощью ноды на любом сайте - есть. Любая безопасность практически может быть обойдена(можно лишь сильно ограничить того, кто попробует её перейти), а значит, думаю вполне реально ответить на этот вопрос:
И, на некоторых сервисах(к примеру, yandex'е) требуется ввести капчу, дабы отправить запрос на восстановление. Возможно ли обойти её другим запросом на репасс-ссылку или же перенаправлять картинку пользователю, считывать ответ и возвращать его?

Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Node.js

Простой
По какому принципу декораторы работают в Node JS?
- 1 подписчик
- 21 апр.
- 63 просмотра
1

ответ
Node.js

+3 ещё

Простой
Как настроить WSS на apache, учитывая что https (REST api) работает?
- 1 подписчик
- 21 апр.
- 99 просмотров
1

ответ
Node.js

+1 ещё

Средний
Как авторизироваться в вк через node js?
- 1 подписчик
- 20 апр.
- 41 просмотр
0

ответов
JavaScript

+2 ещё

Средний
Проблемы с telegram bot, а именно с сообщениями, как исправить?
- 1 подписчик
- 17 апр.
- 90 просмотров
1

ответ
Node.js

+1 ещё

Простой
Error during build: RollupError: Could not resolve. Как исправить ошибку?
- 1 подписчик
- 15 апр.
- 36 просмотров
2

ответа
JavaScript

+4 ещё

Простой
Что делать, если после залива приложения на VPS страница остается недоступной?
- 1 подписчик
- 15 апр.
- 100 просмотров
2

ответа
JavaScript

+2 ещё

Простой
Как на стороне сервера узнать что клиент закрыл браузер?
- 1 подписчик
- 13 апр.
- 181 просмотр
2

ответа
Node.js

Простой
Почему coverage в vitest не видит нужную версию node и падает?
- 1 подписчик
- 13 апр.
- 53 просмотра
1

ответ
Node.js

+1 ещё

Средний
Как подключиться к trust wallet при помощи node js?
- 1 подписчик
- 11 апр.
- 66 просмотров
1

ответ
Node.js

+1 ещё

Простой
Как загрузить в бакет Yandex Cloud файл, используя axios nodejs?
- 1 подписчик
- 11 апр.
- 35 просмотров
1

ответ
Показать ещё Загружается…

Node.js разработчик

ДАЛЕЕ • Москва

от 200 000 ₽

Senior Backend Developer Node.js

Radium Finance • Москва

от 300 000 до 400 000 ₽

Backend Developer (Node.js), Remote 🔥

Fundraise Up

от 3 800 до 6 300 $

Нарисовать рекламный креатив для ios приложения

25 апр. 2024, в 12:26

10000 руб./за проект

Верстка

25 апр. 2024, в 12:23

2500 руб./за проект

ASO дизайн для ios приложения (Иконка+Скриншоты)

25 апр. 2024, в 12:21

10000 руб./за проект

Моя реакция как пользователя была бы такой: а ты не охренел?
Сергей delphinpro, если такую проверку реализовать и не сообщать пользователю, то конечно же и такой реакции не будет, не так ли?
NonameMeTrue, это как не сообщать? запрос на восстановление до пользователя все равно дойдет.
Сергей delphinpro, просто делать первый этап восстановления, а именно - обычный ввод названия почты. После этого там обычно не отправляется уведомление, а показываются способы. И вот, если есть пункт "по номеру телефона", то логично, что почта привязана.
NonameMeTrue, какие-то у вас странные идеи. Это так не работает.
Moskus, значит, по Вашему это как должно работать?
NonameMeTrue, то, что вы хотите, не должно работать никак. Не должно быть возможно выяснить, привязана ли чья-то почта на стороннем сервисе к его телефону.
Moskus, однако такая возможность есть. К примеру, для mail.ru подходит такой код:
var request = require("request"); request({ uri: "https://e.mail.ru/api/v1/user/password/restore", headers: { host: "e.mail.ru" }, form: { ajax_call: 1, "tab-time": Date.now(), email: "somemail@mail.ru", htmlencoded: false, api: 1, token: "", "x-email": "", }, method: "POST", timeout: 10000, followRedirect: true, maxRedirects: 10 }, function(error, response, body) { console.log(body.includes('"phones":["')); });
NonameMeTrue, mail.ru отличается пренебрежительным отношением к безопасности, мягко говоря.
Moskus, факт того, что это возможно сделать с помощью ноды на любом сайте - есть. Любая безопасность практически может быть обойдена(можно лишь сильно ограничить того, кто попробует её перейти), а значит, думаю вполне реально ответить на этот вопрос:
И, на некоторых сервисах(к примеру, yandex'е) требуется ввести капчу, дабы отправить запрос на восстановление. Возможно ли обойти её другим запросом на репасс-ссылку или же перенаправлять картинку пользователю, считывать ответ и возвращать его?

Проверка — действительно ли клиент активировал почту по номеру телефона?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт