Acquisire credenziali tramite newsletter

[TheJoe]

Buonasera a tutti i linuxiani...
la questione che pongo è più che altro una curiosità, non ho intenzione di sviluppare nulla. Eheh.

Di recente la mia morosa ha bloccato un avanzamento di versione, riavviato il PC e messo me nelle condizioni di doverlo formattare. Avevo però la necessità di usarlo per alcuni acquisti di Natale, quindi ho avviato una chiavetta che avevo in giro con ubuntu live installata. Dopo l'avvio e il controllo delle mail mi è capitata fra le mail una newsletter con le offerte di un sito a cui sono iscritto. Ho cliccato su uno dei prodotti elencato nella newsletter e mi sono ritrovato nel loro sito... loggato.

Da notare che tutte le preferenze, le password salvate, la cronologia e i dati di navigazione di firefox non potevano essere sulla live distro (non ho sincronizzato nulla, i miei dati sono ancora nel disco).

Com'è possibile fare un lavoro del genere? Voglio dire... inoltrare una newsletter con le offerte e quando il cliente profilato viene indirizzato sul sito non deve loggarsi, perché proviene dalla newsletter...

Ho cercato a lungo su Google, ma... non so proprio cosa cercare di preciso. Questa tecnica ha un nome in particolare?

[Zoff]

Sì chiama autenticazione attraverso token.
Nel link viene inserito un codice identificativo, non contiene utente o password ma identifica univocamente un utente, quando il server trova questo codice va a vedere nella sua lista degli utenti a quale corrisponde e lo logga automaticamente.

Non è una bestpractice perché chiunque possieda quel link può loggarsi e sniffare il traffico delle mail se non viene utilizzato SSL/TLS è MOLTO semplice.

[TheJoe]

E infatti non mi sembrava particolarmente sicuro... se mando la newsletter a un mio amico, quello clicca sulle fotine e si logga con il mio account...