Q&A
「さっと登録ができ、試してみる」とありますが、何をどのくらい試せることを考えていますか?
BtoCの人材系Webサービスにおいて、B側の新規アカウント登録のメールのバリデーションをどこまで厳しくするか
新規登録が済むと、すぐに求人DBを閲覧できる状態にあるサービスにです。
実在する企業の利用を前提(悪意のあるユーザーや、スパムは防ぎたい)としたいですが、
企業担当者がさっと登録ができ、サービスを気軽に試してみる、という利便性も損いたくありません。
よって、まずはフリーアドレスでの登録はまず避けたいと考えておりました。
・もっと緩い方が良い
・さらにバリデーションや認証をきつくした方が良い
などの意見を、セキュリティー、ユーザビリティの観点から頂戴できますと幸いでございます。
###現状の対策
メールアドレスの認証フロー、メールアドレスのバリデーション、共に行っていない状態です。
曖昧な表記で申し訳ございません。
現在、企業ユーザーが登録をする際に、
・メールアドレス
・パスワード
・社名
を入れると、ユーザーはすぐに利用の開始が可能となり、
求職者DBにアクセスができるようになります。
記入項目が少ないので、利便性は高いと言えるかと思います。
対して、企業担当者でなくても(悪意のあるユーザー)、
すぐに求人DBをみれてしまうのが、問題と感じており、
セキュリティーの観点から改善した方が良いかと考えておりました。
ビジネスモデルとして、求人の掲載に課金することは考えていますか?
maisumakun様
>求人の掲載に課金すること
はい。それを前提としております。。。
回答1件
0
ベストアンサー
SNSでのOAUTH-API認証をすれば、自前で作るよりも比較的セキュリティは安心かもですね。
あとは、メールの存在可否のために、認証コードをメール送信する方式でメアドご入力も防げると思います。
審査方式にして、運用舞台がSNSを確認してから捨てアドっぽいのは証人しないというB2Cサービスをしているものもありますね。
運用工数がかかりますけど・・・
こうしたセキュリティは、利便性と相反する仕様になりがちなのでしっかりと考えたいですね。
投稿2020/09/09 03:45
総合スコア241
>セキュリティは、利便性と相反する仕様
ご指摘の通りかと思いました!
また、
>SNSでのOAUTH-API認証をすれば、自前で作るよりも比較的セキュリティは安心
こちらのアドバイスも有り難うございます。
社内で検討してみます。
ご回答有り難うございました。
あなたの回答
tips
プレビュー
