- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Добрый день, коллеги.
Хотел бы поднять вопрос по безопасности данных пользователей.
Имеет CMS столкнулся с тем что мне как администратору, так просто приходят пароли пользователей при попытке восстановить доступ к аккаунту. Написал в ТП - проблему устранили, из шаблона письма удалили переменную пароля.
Вроде... и так сойдет, но вернуть все обратно не сложно.
Далее решил стать лояльнее к клиентам и подключил сервис смс информирования о статусах заказов, поработав неделю заметил что при регистрации на сайте, данные (логин/пароль) идут через СМС сервис. Как подобное расценивать?
ТП CMS считает это нормой, у меня паранойя?
Любые автоматически сгенеренные пароли отправленные на почту - зло.
Пользователь должен сам придумать новый пароль, а для этого ему высылается временная ссылка.
Чтобы таких вопросов не возникало, посмотрите как работает любой крупный сервис.
Любые автоматически сгенеренные пароли отправленные на почту - зло.
Пользователь должен сам придумать новый пароль, а для этого ему высылается временная ссылка.
Чтобы таких вопросов не возникало, посмотрите как работает любой крупный сервис.
Так оно и есть, это знающие юзеры используют разные пароли для доверенных и публичных сервисов. Мое мнение подобное решение это ЗЛО. Поэтому и вышел на серч чтобы услышать альтернативное мнение.
Пить таблетки от неё.
Вы мысль то свою развивайте до конца. Ну пришли, дальше что?
Посылка автогенереных паролей не создает проблем как таковых.
Если у злого хакера есть доступ к почте, то он по ссылке точно так же установит пароль. Если же доступа к почте нет, то и пароль он не увидит.
Не надо выдумывать проблемы там где их нет.
Посылка автогенереных паролей не создает проблем как таковых.
Не создаёт для тех, кто не понимает в безопасности.
Пароли не должны даже храниться в открытом виде, не то что "передаваться".
Ни одна уважающая себя система так не должна поступать, опираясь на верования в неуловимости Джо.
---------- Добавлено 19.05.2019 в 21:58 ----------
Если у злого хакера есть доступ к почте, то он по ссылке точно так же установит пароль.
Не также.
Про время жизни ссылки для восстановления пароля (ограниченое несколькими [десятком] минутами) надо рассказывать ?
А про сверку соответствия IP/UA/етс?
А про разные контрольные вопросы?
Пароли не должны даже храниться в открытом виде, не то что "передаваться".
Я хотел про соль спросить, она тоже небезопасна уже? В соседних темах ты писал про безопасность, но я смутно понял, я вообще отстаю от этого :) Все больше задания раздаю...
P.S. Тему потерял, с пьяну, простите все, если что :)
Я хотел про соль спросить, она тоже небезопасна уже?
"Соль" и "открытый вид" взаимоисключающие понятия :)
"Соль", если по-бытовому - своего рода шифрация.
"Соль" и "открытый вид" взаимоисключающие понятия :)
"Соль", если по-бытовому - своего рода шифрация.
Не, ты писал, что md5 и т.п. уже не очень... Я и хотел уточнить, с солью норм или тоже уже не катит?
P.S. Прости, я выпил немного 🤪 Давно не беседовал тут 🤪
Не, ты писал, что md5 и т.п. уже не очень... Я и хотел уточнить, с солью норм или тоже уже не катит?
Я писал, что "md5 и т.п. уже не очень"? Ты что-то путаешь.
Я мог писать, что они без соли менее устойчивы к взлому или что могут быть коллизии. И то при определённых условиях (напр хеши всех известных паролей так же известны).
Ида без соли (на сегодня) хранят пароли только ламеры. Но их к сож немало
Я писал, что "md5 и т.п. уже не очень"? Ты что-то путаешь.
Я мог писать, что они без соли менее устойчивы к взлому или что могут быть коллизии. И то при определённых условиях (напр хеши всех известных паролей так же известны).
Ида без соли (на сегодня) хранят пароли только ламеры. Но их к сож немало
Я про эту тему:
/ru/forum/1014946
Там на первом месте md5 :p