?

Log in

No account? Create an account
 
 
25 March 2015 @ 10:41 pm
To autologin or not to autologin?  
At PostJobFree we are sending out multiple emails.
For example, job search alerts.

These emails have links, and these links allow us to track users.

In addition to tracking user we may autologin users to our web site to make their life easier.
At the same time autologin from email link could be a security concern: what if a job seeker forwarded that email to a recruiter, so now that recruiter can autologin as the job seeker.

It's pretty much a trade off between convenience and security.

So far we allow job seekers to autologin using links in job alerts we send to them.
But we do not autologin recruiters:
Recruiters on average are more computer savvy and are able to autologing.
Recruiter's account is move valuable than average job seekers' account.

We also do not autologin based on old links (only 7-days old links support autologin).

What do you think: should we autologin users based on email links?
 
 
 
Американский Наблюдатель: Uncle Samyostrov on March 26th, 2015 02:56 am (UTC)
Allow auto-login, but ask for password in case of any action with access to personal data.
For example, allow search, but not open profile.
Dennis Gorelikdennisgorelik on March 26th, 2015 04:55 am (UTC)
What if job seeker wants to apply for a new job - should we allow job seeker to rely on autologin or should we require user to enter a password?
Американский Наблюдатель: Uncle Samyostrov on March 26th, 2015 12:20 pm (UTC)
Yes, if no changes in resume made.
Dennis Gorelikdennisgorelik on March 26th, 2015 06:15 pm (UTC)
Why do you think we should require explicit login if user wants to update their resume?

Even if resume was updated or wiped out - it's easy to re-post it again and fix the damage, right?
Американский Наблюдатель: Uncle Samyostrov on March 26th, 2015 07:23 pm (UTC)
You should require explicit login if user wants to see their resume. I may have 5 resumes on my account(s) I don't want anyone see it.
Profile may contain personal information about user, references and old employers.
If I've got a damage from a service, I may not use it again.
Dennis Gorelikdennisgorelik on March 26th, 2015 07:29 pm (UTC)
PostJobFree uses resume that user used to apply to the previous job - as a template for the new job application.
That's a convenience feature.
If we do not allow autologin-ed user to see that resume - we pretty much cripple that convenience feature.

By the way, why would you as a job seeker send personal information (references) to a stranger (new recruiter), but would not want recruiter who you already know (and sending emails to) to see the same personal information?
Американский Наблюдатель: Uncle Samyostrov on March 26th, 2015 07:40 pm (UTC)
I can send resume without review.

"already know" is not equal to trust.
I may not want to share current manager address with some recruiter, for example.
occam_agaoccam_aga on March 26th, 2015 03:03 am (UTC)
Вместе с линком можно присылать кликабельную картинку с надписью "View alert". Автологинить только если зашли с картинки, с IP, с которого картинку загрузили самый первый раз и только в течении нескольких минут после каждой загрузки картинки с первого IP и только 1 или 2-3 раза.

Присылать две картинки, с автологином и без, вторую такую, чтоб ее не форвардили, не знаю, надпись там приделать "personal link" или еще чего.

А вообще, нет конечно, нельзя так делать.
Dennis Gorelikdennisgorelik on March 26th, 2015 05:18 am (UTC)
> Автологинить только если зашли с картинки, с IP, с которого картинку загрузили самый первый раз

А что если эту картинку загрузил Gmail server.
А у самого пользователя IP - другой.
Не разрешать автологин?

> в течении нескольких минут после каждой загрузки картинки

Вот это интересное предложение.
Но и здесь есть проблема: иногда autologin будет работать, иногда не будет (если пользователь слишком долго созерцал email прежде чем нажать на какой-то линк).
Link behavior would be not idempotent.
At least partially.

> надпись там приделать "personal link"

Очень многие пользователи не читают предупреждения, а потому что им ни пиши - всё равно отправят свой autologin link кому-нибудь.
Даже те, кто читают или просто знают, что так делать нельзя - всё равно по ошибке отправляют свой email кому-то.
Я лично отправил autologin линк от своего аккаунта знакомой рекрутёрше.
С тех пор мы отлючили autologin в email-ах для рекрутеров.

krechkrech on March 26th, 2015 02:20 pm (UTC)
Игры с картинками и айпишниками - еще плохи с точки зрения использования юзером разных устройств. Т.е. прочитав письмо в первый раз на одном устройстве - он не сможет автологиниться по ссылкам с другого устройства.

Таким образом пропадает половина смысла от автологина.
occam_agaoccam_aga on March 26th, 2015 04:26 pm (UTC)
Всё это небольшие шажки в сторону секьюрности с небольшой расплатой удобством. Да, 100% защиты эти шаги не дадут, но немного ее улучшат. Чтобы выбирать какие из них стоит делать, а какие нет, надо собирать статистику. Возможно дольше 1-й минуты е-мэйл созерцают только 0.0001 пользователей. Возможно, 99% сценариев это открыть е-мэйл, посмотреть что там за алерт и закрыть вебстараницу с алертом, тогда автологин вообще не нужен.
Dennis Gorelikdennisgorelik on March 26th, 2015 05:54 am (UTC)
> А вообще, нет конечно, нельзя так делать.

Почему нельзя?
Что страшного может произойти, если рекрутер, которому job seeker отправил email со своим автологин-линком сможет залогиниться от чужого имени?
krechkrech on March 26th, 2015 02:39 pm (UTC)
В данном сценарии рекрутер может:
а) не понять что случилось и запутаться
б) понять что случилось и плохо думать о безопасности сервиса


Это даже если не брать сценарии преднамеренного и злонамеренного использования этой фичи.
Dennis Gorelikdennisgorelik on March 26th, 2015 06:11 pm (UTC)
> не понять что случилось и запутаться

Это, действительно, возможно.
Хотя пока что никто не жаловался.
occam_agaoccam_aga on March 26th, 2015 04:30 pm (UTC)
Небольшие дыры в безопасности плохи тем, что масштаб последствий очень трудно предсказать.
журнал закрытjuan_gandhi on March 26th, 2015 03:35 am (UTC)
Send them a fast-expiring confirmation, big deal.
Dennis Gorelikdennisgorelik on March 26th, 2015 04:58 am (UTC)
We already have account recovery email.
Account recovery:
1) Is sent by user request only (not routinely with every job alert).
2) Expires in 1 hour.

But that is too complex for many job seekers (only minority of job seekers are programmers).

The question is - should we include autologin functionality into regular job alert email?
журнал закрытjuan_gandhi on March 26th, 2015 05:07 am (UTC)
У меня ответа нет, но тут был хороший ответ про картинку. Правда, не всегда сработает.
Dennis Gorelikdennisgorelik on March 26th, 2015 05:21 am (UTC)
Картинки мы используем, но они могут загружаться с совсем другого IP (e.g. Gmail server):
http://dennisgorelik.livejournal.com/82378.html?thread=1322442#t1322442