ExBB Community ExBB Community
 Сайт проекта ExBB Общение объединяет!
Войдите на форум при помощиВойти через loginza
 Чат на форуме      Помощь      Поиск      Пользователи     BanList BanList


 Страниц (5): « 1 2 3 4 [5]   

> Описание: Как сделать?
Flat
Отправлено: 25 января 2019 — 07:17
Post Id



Пользователь
Full Member


Покинул форум
Сообщений всего: 187
Дата рег-ции: Май 2018  
Откуда: Красноярский край
Репутация: 14




Parapsixolog пишет:
Одним словом без почты ни как нельзя.

Вот вы написали, что никак нельзя, а сами пишите, что этими фичами практически не пользуетесь..
Массовая рассылка сейчас проблема, ибо все почтовые сервисы очень подозрительно к ней относятся.
Восстановление пароля, то есть генерация нового и отправка его на мыло, тоже проблема, ибо:
1) пароль летит по сети в открытом виде.
2) на почте пользователя хранится в открытом виде.
3) индетификация пользователя только по его почтовому адресу, а не по паролю, может привести к нежелательным атакам. И эта проблема на мой взгляд ещё не полностью решена в данном движке.

Честно говоря я против восстановления паролей из-за проблем с безопасностью. Знаю одного человека на одном форуме, которого банили 5-6 раз и регался под новым ником снова и снова. И все прекрасно знали кто пишет, так как стилистика текстов одна и та же. Под каждым ником у него было несколько тысяч сообщений. И все прекрасно жили и живут.Скажите мне: зачем восстанавливать свой профиль, если человек потерял свой пароль? Если человек знает, что всегда может восстановить свой профиль, то никогда не будет бережно относиться к хранению своего пароля. Он его будет постоянно забывать. а если он знает, что при потере пароля восстановить его не удастся, и ему придётся регистрироваться под новым логином, то будет хранить его как зеницу ока. Мы сами своими руками развращаем юзеров, при этом теряя в безопасности.
Ну, нельзя полагаться только на почтовый адрес юзера для того, чтобы его точно идентифицировать. По разным причинам. Данный форум уже ломали через восстановление, не помните?
На мой сугубо личный взгляд, который никому не навязываю, форумный движок должен быть полностью автономным. он должен быть закрыт от внешнего мира полностью. Он должен позволять юзерам определённые действия, но не выпускать их за рамки дозволенного. Почта должна быть только внутри движка и точка. Внешние ссылки должны быть только текстовые. Сейчас любой браузер позволяет по текстовой ссылке перейти на любой сайт, при этом никаких xss атак не будет.
Так я это вижу, и так делаю для себя. Если кто не согласен со мной то есть туева куча универсальных движков с сотнями разрабов и сотнями багов и уязвимостей, то им туда.

(Отредактировано автором: 25 января 2019 — 07:24)

 
 
Parapsixolog
Отправлено: 25 января 2019 — 15:02
Post Id



Пользователь
Advanced Member


Покинул форум
Сообщений всего: 487
Дата рег-ции: Сент. 2011  
Репутация: 14




Flat пишет:
Parapsixolog пишет:
Одним словом без почты ни как нельзя.

Вот вы написали, что никак нельзя, а сами пишите, что этими фичами практически не пользуетесь.


Лично я действительно практически не пользовался отправкой письма с форума на e-mail, так как для этого есть личные сообщения, и мне это было без надобности.

А вот приход на почту уведомления о новом личном сообщении очень востребовано мною.

Flat пишет:
Восстановление пароля, то есть генерация нового и отправка его на мыло, тоже проблема, ибо:
1) пароль летит по сети в открытом виде.
2) на почте пользователя хранится в открытом виде.
3) индетификация пользователя только по его почтовому адресу, а не по паролю, может привести к нежелательным атакам. И эта проблема на мой взгляд ещё не полностью решена в данном движке.


За всё время существования моего форума не было ничего подобного. Ни взлома, ни атак. Потом никто же не запрещает, после восстановления пароля, зайти в свой профиль, и поменять пароль.
 
 
Страниц (5): « 1 2 3 4 [5]
Сейчас эту тему просматривают: 1 (гостей: 1, зарегистрированных: 0)
« Обсуждение »

> Похожие темы: Отправить письмо администратору сайта
Темы Форум Информация о теме Обновление
Ответить с цитированием
Как сделать?
Обсуждение Ответов: 13
Автор темы: Светлана
29 апреля 2010 — 10:54
Автор: electron
Перенаправление
как сделать активной ссылкой?
Настройка форума Ответов: 14
Автор темы: team
24 апреля 2012 — 09:10
Автор: Anton B magnitazin
Список форумчан только форумчанам
Как сделать так, чтобы список пользователей не был доступен гостям
Обсуждаем Ответов: 15
Автор темы: ARW
14 февраля 2013 — 08:49
Автор: pigus
Подпись
сделать галочку активной в профиле
Общие вопросы Ответов: 1
Автор темы: eisventura
26 июля 2009 — 17:39
Автор: yura3d
Изменение ссылок в ветках форума после переноса на другой хостинг.
Как сделать?
Решение проблем Ответов: 18
Автор темы: drug
11 апреля 2012 — 08:47
Автор: 1Bot
 



Все гости форума могут просматривать этот раздел.
Только администраторы и модераторы могут создавать новые темы в этом разделе.
Только администраторы и модераторы могут отвечать на сообщения в этом разделе.
 




Яндекс.Метрика   

Powered by ExBB
ExBB FM 1.0 RC1 by TvoyWeb.ru
InvisionExBB Style converted by Markus®

[Script Execution time: 0.0917]     [ ]