Добрый день.
Можно-ли не высылать новый пароль пользователям при восстановлении пароля, а высылать ссылку на страницу ввода нового пароля?
А то как-то некошерно открытые пароли на почту слать.
Не высылать пользователям пароль при восстановлении.
Список разделов › phpBBex 1.x (поддерживается) › Поддержка 1.x
Сообщений: 8
• Страница 1 из 1
dnHyper » 22.05.2015, 05:55
Боимся перехвата?
А давай поразмышляем. Теоретически (для безопасности) отправку почты можно сделать через сторонний почтовый сервер, тот-же гугл. А у них впоследнее время наблюдается переход от открытой передачи к TLS/SSL (благодаря которому я в своё время не мог понять чо-ж почта-то не шлется…). Что это даёт? Всего-лишь то, что генерированный на форуме пароль отправляется в закрытом (eg. зашифрованном) виде от скрипта на сервере хостера до сервера почтовой службы. Перехватывать отправку пароля от сервера к почте злоумышленники в современных реалиях не станут (как говорится, делать им больше нефиг), ибо если они получили возможность «слушать» канал от вашего сервера к серверу, значит могут и более глобальные вещи делать. Ну а если даже и станут, то с той-же лёгкостью они перехватят и ссылку на восстановление пароля. Другой вопрос что в данном случае оно будет закриптовано и потребуется расшифровывать (за чем дело скорее-всего не станет). А если быть не сказачником, то пароль узнают когда вскроют почту. И скорее всего он будет такой-же
Предлагаю взглянуть на проблему с другой стороны — в какой момент вероятный злоумышленник узнает пароль. Я вижу только такие варианты
1) Когда взломает почту, в таком случае восстановить пароль уже не будет большой проблемой.
2) Когда будет прослушивать WiFi эфир и данные аутентификации (передаваемые от компьютера к серверу в открытом виде) попадут к нему…
3) Кода просто будет прослушивать ваше соединение с «глобальным миром» (ну не все-же выходят через зашифрованные VPN). Это на уровне заговоров спецслужб (Вы сидите через GPON? Таки с оптики данные тоже снимаются…)
4) … ну … фантазия кончилась
В результате получается лишняя возня, поскольку для пхпББ я не видел модов которые реализовывали данный метод восстановления пароля (то есть придётся допиливать самому. Готовы?). А пароль один черт будет передаваться в открытом виде через WiFi в публичных (и домашних) сетях, где его можно вполне перехватить. И я не думаю что злоумышленник будет сидеть и ждать пока вы запросите изменение пароля на почту, скорее перехватит данные аутентификации, что гораздо проще (И, в дальнейшем, гораздо проще будет выдать себя за вас).
Ну как-то так…
А давай поразмышляем. Теоретически (для безопасности) отправку почты можно сделать через сторонний почтовый сервер, тот-же гугл. А у них впоследнее время наблюдается переход от открытой передачи к TLS/SSL (благодаря которому я в своё время не мог понять чо-ж почта-то не шлется…). Что это даёт? Всего-лишь то, что генерированный на форуме пароль отправляется в закрытом (eg. зашифрованном) виде от скрипта на сервере хостера до сервера почтовой службы. Перехватывать отправку пароля от сервера к почте злоумышленники в современных реалиях не станут (как говорится, делать им больше нефиг), ибо если они получили возможность «слушать» канал от вашего сервера к серверу, значит могут и более глобальные вещи делать. Ну а если даже и станут, то с той-же лёгкостью они перехватят и ссылку на восстановление пароля. Другой вопрос что в данном случае оно будет закриптовано и потребуется расшифровывать (за чем дело скорее-всего не станет). А если быть не сказачником, то пароль узнают когда вскроют почту. И скорее всего он будет такой-же
Предлагаю взглянуть на проблему с другой стороны — в какой момент вероятный злоумышленник узнает пароль. Я вижу только такие варианты
1) Когда взломает почту, в таком случае восстановить пароль уже не будет большой проблемой.
2) Когда будет прослушивать WiFi эфир и данные аутентификации (передаваемые от компьютера к серверу в открытом виде) попадут к нему…
3) Кода просто будет прослушивать ваше соединение с «глобальным миром» (ну не все-же выходят через зашифрованные VPN). Это на уровне заговоров спецслужб (Вы сидите через GPON? Таки с оптики данные тоже снимаются…)
4) … ну … фантазия кончилась
В результате получается лишняя возня, поскольку для пхпББ я не видел модов которые реализовывали данный метод восстановления пароля (то есть придётся допиливать самому. Готовы?). А пароль один черт будет передаваться в открытом виде через WiFi в публичных (и домашних) сетях, где его можно вполне перехватить. И я не думаю что злоумышленник будет сидеть и ждать пока вы запросите изменение пароля на почту, скорее перехватит данные аутентификации, что гораздо проще (И, в дальнейшем, гораздо проще будет выдать себя за вас).
Ну как-то так…
- dnHyper
- Репутация: 46
- С нами: 11 лет
maxys146 » 22.05.2015, 07:31
Спасибо за развернутый ответ.
Дело вот в чем. Мало кто заморачивается сменой сгенерированного пароля(личные наблюдения), в основном просто ставят галку в браузере "Запомнить пароль". То есть если у злоумышленника есть доступ к почте он может тупо посмотреть пароль и пользоваться учеткой на форуме скрытно от пользователя. А если высылать на почту одноразовую ссылку для восстановления пароля то посмотреть пароль уже не получится, минимум менять, а это уже станет ясно жертве при следующей попытке входа на форум когда пароль не подойдет.
P.S. Как вариант принудительно заставлять менять сгенерированный пароль при первом логине после восстановления, но такого я что-то тоже не нашел(
Дело вот в чем. Мало кто заморачивается сменой сгенерированного пароля(личные наблюдения), в основном просто ставят галку в браузере "Запомнить пароль". То есть если у злоумышленника есть доступ к почте он может тупо посмотреть пароль и пользоваться учеткой на форуме скрытно от пользователя. А если высылать на почту одноразовую ссылку для восстановления пароля то посмотреть пароль уже не получится, минимум менять, а это уже станет ясно жертве при следующей попытке входа на форум когда пароль не подойдет.
P.S. Как вариант принудительно заставлять менять сгенерированный пароль при первом логине после восстановления, но такого я что-то тоже не нашел(
- maxys146
- Автор темы
- Репутация: 3
- С нами: 8 лет 11 месяцев
. Если вдруг уж кто-то и захочет что-то у тебя ломануть, то тебе ничего не поможет, чтоб ты не делал. maxys146 » 22.05.2015, 09:14
sag-sag, согласен на 100% что если захотят сломают.
Да даже если не учитывать безопасность то это тупо неудобно, запоминать новый пароль или копипастить его на другую страницу, а потом в настройках менять на привычный.
Лучше дать пользователю возможность самому его задать, то есть высылать ссылку на форму восстановления пароля.
Ну это мое мнение.
Да даже если не учитывать безопасность то это тупо неудобно, запоминать новый пароль или копипастить его на другую страницу, а потом в настройках менять на привычный.
Лучше дать пользователю возможность самому его задать, то есть высылать ссылку на форму восстановления пароля.
Ну это мое мнение.
- maxys146
- Автор темы
- Репутация: 3
- С нами: 8 лет 11 месяцев
sag-sag » 22.05.2015, 16:35
ну это не то, над чем стоит заморачиваться админу... Каким образом происходит восстановление пароля.maxys146:Лучше дать пользователю возможность самому его задать, то есть высылать ссылку на форму восстановления пароля.
Ну это мое мнение.
- sag-sag
- Репутация: 411
- С нами: 10 лет 8 месяцев
dnHyper » 22.05.2015, 19:54
Эх…maxys146:это тупо неудобно
Одним неудобно получать пароль на почту, а потом его менять (а зачем?!)
Другим неудобно бегать по ссылкам, десять раз заходить в почту, придумывать пароль, вбивать его…
Третьим в принципе неудобно всё это и хочется просто нажать кнопку «авторизация через Сатанасеть»
Всем не угодишь. Кроме того дай волю пользователю и он введет наипростейший 1234567 потому что «его легко запомнить в отличие от вашего ]Zb&wGsfdoi87^%24e3hgfvdas» ;-)
И напоминаю!
Речь шла не о удобстве, а о беспокойстве сохранности. Надеюсь этот вопрос мы закроем, посколькуmaxys146:некошерно открытые пароли на почту слать
— это уже шпионские страсти. Такое должно беспокоить только того, кто боится спалиться перед женой. Взломщику как правило на такое наплевать. Ну узнает конечный юзверь что его аккаунт «увели» ну и что? Как правило уводят-то для каких-то конкретных одномоментных действий…maxys146:это уже станет ясно жертве при следующей попытке входа на форум когда пароль не подойдет.
ППКС. А ещё можно вспомнить анехдот про неуловимого Джо…sag-sag:"ты слишком заморачиваешься"
- dnHyper
- Репутация: 46
- С нами: 11 лет
Сообщений: 8
• Страница 1 из 1