Moin,
ich mal wieder mit meinen komischen Problemen
Eine (legacy) Anwendung verschickt nach der Registrierung eines Nutzers zwei Links an den Administrator der Seite: Ein Link zum Bestätigen der Registrierung, einen zum Ablehnen.
Report vom Kunden: "Wenn sich jemand registriert, wird der immer automatisch abgelehnt"
Ich, als klassischer ITler: "Kann nicht sein"
Naja, ist natürlich auch nicht so, aber der Kunde hat aus seiner Sicht recht: Er tut nichts aktiv und die Registrierungen werden abgelehnt.
Was passiert?
Die Links werden von EC2-Computing-Instanzen aufgerufen (z.B. 3.86.165.80 oder 54.166.184.127). Es wird erst der "Angenommen"-Link aufgerufen und wenige Sekunden (2-4) später auch der "Ablehnen"-Link (andere IP).
Aktuelle Arbeitstheorie ist, dass die Links abgerufen werden, um die Inhalte zu scannen (Virenscanner o.ä.); wäre für mich generell auch plausibel. Durch Tests konnten wir auch herausfinden, dass die URLs nicht von einem Browser gecrawlt werden (JS, CSS werden nicht nachgeladen und weitere <a>-Tags auf der Seite nicht gecrawlt), sondern wohl tatsächlich nur als Dokument abgerufen.
Ich stehe jetzt ein bisschen vor der Qual der Wahl: Meine Vorschläge reichen von "Zugriff aus US unterbinden" (Registrierungen finden nur aus DACH statt und alle EC2-Zugriffe kamen aus US) bis zu Applikationsumbau, dass der Link in der E-Mail entweder gar nicht erst drinsteht oder nach Klick noch eine weitere Aktion unternommen werden muss, um die Registrierung zu bestätigen.
Basic-Auth vor dem Endpunkt ist leider nicht praktikabel, weil auch der Registrierende einen Link gegen diesen Endpunkt aufrufen muss.
Das Problem kann ja eigentlich nicht neu sein.
Hatte sojemand schonmal einen ähnlichen Fall? Ggf. mit welcher Lösung?
Jemand Lösungsansätze?