In tempi piuttosto recenti, Yahoo! ha annunciato che le caselle email in disuso da almeno un anno verranno automaticamente disattivate ed i relativi indirizzi verranno resi di nuovo utilizzabili.
Ciò però solleva un problema di sicurezza piuttosto notevole: il nuovo proprietario della casella email potrebbe vedersi recapitati messaggi destinati invece al precedente proprietario, e ciò può succedere anche in caso di informazioni sensibili – ad esempio, per le email di reimpostazione password.
Se succedesse una cosa del genere, il rischio che utenti non autorizzati potessero avere accesso ad account non propri diviene piuttosto alto: per arginare i rischi collegati a questo fenomeno, Facebook e la stessa Yahoo! hanno deciso di implementare una sorta di “estensione” per il protocollo SMTP attuando una specie di “verifica implicita” dell’identità del proprietario dell’email associata al profilo sociale.
In parole povere, il metodo che Facebook e Yahoo! intendono adottare utilizza un particolare timestamp – che corrisponde all’ultima verifica di validità dell’email – inserito nelle email di reimpostazione password o, in generale, che riguardano altre informazioni sensibili.
Grazie a questo timestamp, Yahoo! sarà in grado di rilevare se, nel frattempo, l’indirizzo di posta in questione abbia cambiato proprietario. In caso affermativo, Yahoo! evita di recapitare il messaggio di posta cosicché le informazioni sensibili non finiscano in mani sbagliate.
Esempio materiale: io utente Pippo, mi iscrivo a Facebook utilizzando l’email pippo@yahoo.com; lascio inattiva la casella email, di conseguenza l’anno dopo il mio indirizzo email viene riassegnato all’utente Pluto. L’utente Pluto, ora in possesso dell’indirizzo pippo@yahoo.com, sa che io ero iscritta al portale con quell’indirizzo email e, per tirarmi un brutto scherzo, prova a reimpostare la mia password utilizzandolo.
Facebook inserirà nell’email di reimpostazione l’ultima data in cui ha verificato che pippo@yahoo.com appartenesse effettivamente a Pippo. Yahoo! alla ricezione del messaggio si renderà conto che, dalla data specificata nel messaggio di posta, pippo@yahoo.com ha cambiato proprietario, di conseguenza non recapiterà affatto il messaggio.
Questa sorta di “arricchimento” del protocollo SMTP (che, in caso di mancata compatibilità con il servizio in questione, può diventare un’aggiunta all’header) prende il nome di RRVS (Require-Recipient-Valid-Since) e Facebook non vorrebbe si limiti ad essere un’alternativa soltanto per Yahoo! ma per tutti i servizi che dovessero averne bisogno. Infatti RRVS è stato documentato alla IETF ed è già diventato uno Standard Proposto.
