Pourquoi vérifier les emails en entrée sur les formulaires peut être une fausse bonne idée


#1

Bonjour,

je lis souvent des détenteurs de liste d’email cherchant à nettoyer leurs listes d’email pour éviter une quantité trop importante de hard bounce. Certains sites proposent une API permettant de vérifier directement les emails rentrées au niveau du formulaire d’inscription, je vais vous montrer en quoi cette option si elle est mal configurée peut vous coûter cher.

Prenons l’exemple de ce site:


Comme on le voit quand j’entre un email invalide le site me retourne cette erreur:
messagederreur
Le site utilise donc une API de vérification pour savoir si le mail entré est valide ou non.

Du coté des requêtes:
requete2
On voit donc que le site fait une simple requête GET avec comme paramètre l’adresse mail
avec une réponse simple à exploiter:

A travers un script python d’une dizaine de ligne de code qui va chercher le fichier csv extrait l’email de celui ci et réalise un requête sur l’url avec comme paramètre l’email récupéré dans le fichier csv et récupère la réponse:

Le programme nous ressort les emails invalide du fichier csv:
sortie

Je vous invite donc à implémenter ces API avec prudence en utilisant par exemple un Captcha ou bien en limitant à 3, les erreurs de saisie de l’utilisateur grâce à son IP (contournable avec un proxy mais complique largement la tache).

Au vue du prix d’une requête l’addition peut facilement grimper en cas de détournement.


#2

Intéressant, merci du partage.

PS : j’adore tes films.


#3

Super partage.

C’est révélateur de l’implémentation de la plupart des APIs… Quand on sait combien il est facile d’aller “récupérer” la clé d’API de ceux qui payent des services, et qui utilisent leurs clés en clair dans le code HTML, ça fait mal.


#4

a se demander a quoi servent les fichier .env


#5

Tu fais quoi avec le .env ? Si tu fais la verif en front on pourra toujours simuler la requête .env ou pas.


Team : CamilleBriceJulienVivianBorisXavierSteven.