Не высылать пользователям пароль при восстановлении.

Board index phpBBex 1.x Поддержка

Description: У вас проблемы с phpBBex 1.x и вам необходима помощь? Спрашивайте здесь!
Forum rules: Одна тема — один вопрос или группа связанных вопросов. Обязательно формируйте внятный заголовок, максимально отражающий суть вопроса. Подробно описывайте проблему. Не забудьте указать версию phpBBex и какие моды установлены, по возможности добавьте скриншоты проблемы или ссылку на страницу с проблемой.
Moderator: Поддержка

Post #1by maxys146 » 14.05.2015, 13:05

Добрый день.
Можно-ли не высылать новый пароль пользователям при восстановлении пароля, а высылать ссылку на страницу ввода нового пароля?
А то как-то некошерно открытые пароли на почту слать.
maxys146 M
Topic author, Новичок
Avatar
Age: 35
Reputation: 3
With us: 4 yaers 6 months

Post #2by dnHyper » 22.05.2015, 05:55

Боимся перехвата?

А давай поразмышляем. Теоретически (для безопасности) отправку почты можно сделать через сторонний почтовый сервер, тот-же гугл. А у них впоследнее время наблюдается переход от открытой передачи к TLS/SSL (благодаря которому я в своё время не мог понять чо-ж почта-то не шлется…). Что это даёт? Всего-лишь то, что генерированный на форуме пароль отправляется в закрытом (eg. зашифрованном) виде от скрипта на сервере хостера до сервера почтовой службы. Перехватывать отправку пароля от сервера к почте злоумышленники в современных реалиях не станут (как говорится, делать им больше нефиг), ибо если они получили возможность «слушать» канал от вашего сервера к серверу, значит могут и более глобальные вещи делать. Ну а если даже и станут, то с той-же лёгкостью они перехватят и ссылку на восстановление пароля. Другой вопрос что в данном случае оно будет закриптовано и потребуется расшифровывать (за чем дело скорее-всего не станет). А если быть не сказачником, то пароль узнают когда вскроют почту. И скорее всего он будет такой-же :eh:

Предлагаю взглянуть на проблему с другой стороны — в какой момент вероятный злоумышленник узнает пароль. Я вижу только такие варианты
1) Когда взломает почту, в таком случае восстановить пароль уже не будет большой проблемой.
2) Когда будет прослушивать WiFi эфир и данные аутентификации (передаваемые от компьютера к серверу в открытом виде) попадут к нему…
3) Кода просто будет прослушивать ваше соединение с «глобальным миром» (ну не все-же выходят через зашифрованные VPN). Это на уровне заговоров спецслужб (Вы сидите через GPON? Таки с оптики данные тоже снимаются…)
4) … ну … фантазия кончилась :think: :smile:

В результате получается лишняя возня, поскольку для пхпББ я не видел модов которые реализовывали данный метод восстановления пароля (то есть придётся допиливать самому. Готовы?). А пароль один черт будет передаваться в открытом виде через WiFi в публичных (и домашних) сетях, где его можно вполне перехватить. И я не думаю что злоумышленник будет сидеть и ждать пока вы запросите изменение пароля на почту, скорее перехватит данные аутентификации, что гораздо проще (И, в дальнейшем, гораздо проще будет выдать себя за вас).

Ну как-то так… :beer:
:drunk: Человек и пароход :drunk:
dnHyper
Мастер
Reputation: 46
With us: 6 years 7 months

Post #3by maxys146 » 22.05.2015, 07:31

Спасибо за развернутый ответ.
Дело вот в чем. Мало кто заморачивается сменой сгенерированного пароля(личные наблюдения), в основном просто ставят галку в браузере "Запомнить пароль". То есть если у злоумышленника есть доступ к почте он может тупо посмотреть пароль и пользоваться учеткой на форуме скрытно от пользователя. А если высылать на почту одноразовую ссылку для восстановления пароля то посмотреть пароль уже не получится, минимум менять, а это уже станет ясно жертве при следующей попытке входа на форум когда пароль не подойдет.
P.S. Как вариант принудительно заставлять менять сгенерированный пароль при первом логине после восстановления, но такого я что-то тоже не нашел(
maxys146 M
Topic author, Новичок
Avatar
Age: 35
Reputation: 3
With us: 4 yaers 6 months

Post #4by sag-sag » 22.05.2015, 08:45

maxys146, все что выше написано, можно сказать коротко: "ты слишком заморачиваешься" :wink:. Если вдруг уж кто-то и захочет что-то у тебя ломануть, то тебе ничего не поможет, чтоб ты не делал.
Заметки администратора [TEHADM.RU]
sag-sag M
Гуру
Avatar
Age: 33
Reputation: 399
With us: 6 years 2 months

Post #5by maxys146 » 22.05.2015, 09:14

sag-sag, согласен на 100% что если захотят сломают.
Да даже если не учитывать безопасность то это тупо неудобно, запоминать новый пароль или копипастить его на другую страницу, а потом в настройках менять на привычный.
Лучше дать пользователю возможность самому его задать, то есть высылать ссылку на форму восстановления пароля.
Ну это мое мнение.
maxys146 M
Topic author, Новичок
Avatar
Age: 35
Reputation: 3
With us: 4 yaers 6 months

Post #6by sag-sag » 22.05.2015, 16:35

maxys146 wrote:Лучше дать пользователю возможность самому его задать, то есть высылать ссылку на форму восстановления пароля.
Ну это мое мнение.
ну это не то, над чем стоит заморачиваться админу... Каким образом происходит восстановление пароля.
Заметки администратора [TEHADM.RU]
sag-sag M
Гуру
Avatar
Age: 33
Reputation: 399
With us: 6 years 2 months

Post #7by factotum » 22.05.2015, 19:24

maxys146, смотрите в сторону двухфакторной аутентификации. Это должно решить Ваши вопросы.
Если "улучшение" стало "граблями" - Вы его переросли
factotum
Гуру
Location: Люксембург
Reputation: 234
With us: 7 years 6 months

Post #8by dnHyper » 22.05.2015, 19:54

maxys146 wrote:это тупо неудобно
Эх…

Одним неудобно получать пароль на почту, а потом его менять (а зачем?!)
Другим неудобно бегать по ссылкам, десять раз заходить в почту, придумывать пароль, вбивать его…
Третьим в принципе неудобно всё это и хочется просто нажать кнопку «авторизация через Сатанасеть»

Всем не угодишь. Кроме того дай волю пользователю и он введет наипростейший 1234567 потому что «его легко запомнить в отличие от вашего ]Zb&wGsfdoi87^%24e3hgfvdas» ;-)

И напоминаю!
maxys146 wrote:некошерно открытые пароли на почту слать
Речь шла не о удобстве, а о беспокойстве сохранности. Надеюсь этот вопрос мы закроем, поскольку
maxys146 wrote:это уже станет ясно жертве при следующей попытке входа на форум когда пароль не подойдет.
— это уже шпионские страсти. Такое должно беспокоить только того, кто боится спалиться перед женой. Взломщику как правило на такое наплевать. Ну узнает конечный юзверь что его аккаунт «увели» ну и что? Как правило уводят-то для каких-то конкретных одномоментных действий…

sag-sag wrote:"ты слишком заморачиваешься"
ППКС. А ещё можно вспомнить анехдот про неуловимого Джо…
:drunk: Человек и пароход :drunk:
dnHyper
Мастер
Reputation: 46
With us: 6 years 7 months


Return to Поддержка