Не высылать пользователям пароль при восстановлении.

Список разделов phpBBex 1.x (поддерживается) Поддержка 1.x

Описание: У вас проблемы с phpBBex 1.x и вам необходима помощь? Спрашивайте здесь!
Правила раздела: Одна тема — один вопрос или группа связанных вопросов. Обязательно формируйте внятный заголовок, максимально отражающий суть вопроса. Подробно описывайте проблему. Не забудьте указать версию phpBBex и какие моды установлены, по возможности добавьте скриншоты проблемы или ссылку на страницу с проблемой.
Модератор: Поддержка

Сообщение #1 maxys146 » 14.05.2015, 13:05

Добрый день.
Можно-ли не высылать новый пароль пользователям при восстановлении пароля, а высылать ссылку на страницу ввода нового пароля?
А то как-то некошерно открытые пароли на почту слать.
maxys146 M
Автор темы
Аватара
Репутация: 3
С нами: 9 лет 1 месяц

Сообщение #2 dnHyper » 22.05.2015, 05:55

Боимся перехвата?

А давай поразмышляем. Теоретически (для безопасности) отправку почты можно сделать через сторонний почтовый сервер, тот-же гугл. А у них впоследнее время наблюдается переход от открытой передачи к TLS/SSL (благодаря которому я в своё время не мог понять чо-ж почта-то не шлется…). Что это даёт? Всего-лишь то, что генерированный на форуме пароль отправляется в закрытом (eg. зашифрованном) виде от скрипта на сервере хостера до сервера почтовой службы. Перехватывать отправку пароля от сервера к почте злоумышленники в современных реалиях не станут (как говорится, делать им больше нефиг), ибо если они получили возможность «слушать» канал от вашего сервера к серверу, значит могут и более глобальные вещи делать. Ну а если даже и станут, то с той-же лёгкостью они перехватят и ссылку на восстановление пароля. Другой вопрос что в данном случае оно будет закриптовано и потребуется расшифровывать (за чем дело скорее-всего не станет). А если быть не сказачником, то пароль узнают когда вскроют почту. И скорее всего он будет такой-же :eh:

Предлагаю взглянуть на проблему с другой стороны — в какой момент вероятный злоумышленник узнает пароль. Я вижу только такие варианты
1) Когда взломает почту, в таком случае восстановить пароль уже не будет большой проблемой.
2) Когда будет прослушивать WiFi эфир и данные аутентификации (передаваемые от компьютера к серверу в открытом виде) попадут к нему…
3) Кода просто будет прослушивать ваше соединение с «глобальным миром» (ну не все-же выходят через зашифрованные VPN). Это на уровне заговоров спецслужб (Вы сидите через GPON? Таки с оптики данные тоже снимаются…)
4) … ну … фантазия кончилась :think: :smile:

В результате получается лишняя возня, поскольку для пхпББ я не видел модов которые реализовывали данный метод восстановления пароля (то есть придётся допиливать самому. Готовы?). А пароль один черт будет передаваться в открытом виде через WiFi в публичных (и домашних) сетях, где его можно вполне перехватить. И я не думаю что злоумышленник будет сидеть и ждать пока вы запросите изменение пароля на почту, скорее перехватит данные аутентификации, что гораздо проще (И, в дальнейшем, гораздо проще будет выдать себя за вас).

Ну как-то так… :beer:
dnHyper
Репутация: 46
С нами: 11 лет 1 месяц

Сообщение #3 maxys146 » 22.05.2015, 07:31

Спасибо за развернутый ответ.
Дело вот в чем. Мало кто заморачивается сменой сгенерированного пароля(личные наблюдения), в основном просто ставят галку в браузере "Запомнить пароль". То есть если у злоумышленника есть доступ к почте он может тупо посмотреть пароль и пользоваться учеткой на форуме скрытно от пользователя. А если высылать на почту одноразовую ссылку для восстановления пароля то посмотреть пароль уже не получится, минимум менять, а это уже станет ясно жертве при следующей попытке входа на форум когда пароль не подойдет.
P.S. Как вариант принудительно заставлять менять сгенерированный пароль при первом логине после восстановления, но такого я что-то тоже не нашел(
maxys146 M
Автор темы
Аватара
Репутация: 3
С нами: 9 лет 1 месяц

Сообщение #4 sag-sag » 22.05.2015, 08:45

maxys146, все что выше написано, можно сказать коротко: "ты слишком заморачиваешься" :wink:. Если вдруг уж кто-то и захочет что-то у тебя ломануть, то тебе ничего не поможет, чтоб ты не делал.
sag-sag M
Аватара
Репутация: 411
С нами: 10 лет 9 месяцев

Сообщение #5 maxys146 » 22.05.2015, 09:14

sag-sag, согласен на 100% что если захотят сломают.
Да даже если не учитывать безопасность то это тупо неудобно, запоминать новый пароль или копипастить его на другую страницу, а потом в настройках менять на привычный.
Лучше дать пользователю возможность самому его задать, то есть высылать ссылку на форму восстановления пароля.
Ну это мое мнение.
maxys146 M
Автор темы
Аватара
Репутация: 3
С нами: 9 лет 1 месяц

Сообщение #6 sag-sag » 22.05.2015, 16:35

maxys146:Лучше дать пользователю возможность самому его задать, то есть высылать ссылку на форму восстановления пароля.
Ну это мое мнение.
ну это не то, над чем стоит заморачиваться админу... Каким образом происходит восстановление пароля.
sag-sag M
Аватара
Репутация: 411
С нами: 10 лет 9 месяцев

Сообщение #7 factotum » 22.05.2015, 19:24

maxys146, смотрите в сторону двухфакторной аутентификации. Это должно решить Ваши вопросы.
factotum
Откуда: Люксембург
Репутация: 234
С нами: 12 лет 1 месяц

Сообщение #8 dnHyper » 22.05.2015, 19:54

maxys146:это тупо неудобно
Эх…

Одним неудобно получать пароль на почту, а потом его менять (а зачем?!)
Другим неудобно бегать по ссылкам, десять раз заходить в почту, придумывать пароль, вбивать его…
Третьим в принципе неудобно всё это и хочется просто нажать кнопку «авторизация через Сатанасеть»

Всем не угодишь. Кроме того дай волю пользователю и он введет наипростейший 1234567 потому что «его легко запомнить в отличие от вашего ]Zb&wGsfdoi87^%24e3hgfvdas» ;-)

И напоминаю!
maxys146:некошерно открытые пароли на почту слать
Речь шла не о удобстве, а о беспокойстве сохранности. Надеюсь этот вопрос мы закроем, поскольку
maxys146:это уже станет ясно жертве при следующей попытке входа на форум когда пароль не подойдет.
— это уже шпионские страсти. Такое должно беспокоить только того, кто боится спалиться перед женой. Взломщику как правило на такое наплевать. Ну узнает конечный юзверь что его аккаунт «увели» ну и что? Как правило уводят-то для каких-то конкретных одномоментных действий…

sag-sag:"ты слишком заморачиваешься"
ППКС. А ещё можно вспомнить анехдот про неуловимого Джо…
dnHyper
Репутация: 46
С нами: 11 лет 1 месяц


Вернуться в Поддержка 1.x



cron