Full Member
Покинул форум
Сообщений всего: 187
Дата рег-ции: Май 2018
Откуда: Красноярский край
Репутация: 14
|
Parapsixolog пишет:Одним словом без почты ни как нельзя.
Вот вы написали, что никак нельзя, а сами пишите, что этими фичами практически не пользуетесь..
Массовая рассылка сейчас проблема, ибо все почтовые сервисы очень подозрительно к ней относятся.
Восстановление пароля, то есть генерация нового и отправка его на мыло, тоже проблема, ибо:
1) пароль летит по сети в открытом виде.
2) на почте пользователя хранится в открытом виде.
3) индетификация пользователя только по его почтовому адресу, а не по паролю, может привести к нежелательным атакам. И эта проблема на мой взгляд ещё не полностью решена в данном движке.
Честно говоря я против восстановления паролей из-за проблем с безопасностью. Знаю одного человека на одном форуме, которого банили 5-6 раз и регался под новым ником снова и снова. И все прекрасно знали кто пишет, так как стилистика текстов одна и та же. Под каждым ником у него было несколько тысяч сообщений. И все прекрасно жили и живут.Скажите мне: зачем восстанавливать свой профиль, если человек потерял свой пароль? Если человек знает, что всегда может восстановить свой профиль, то никогда не будет бережно относиться к хранению своего пароля. Он его будет постоянно забывать. а если он знает, что при потере пароля восстановить его не удастся, и ему придётся регистрироваться под новым логином, то будет хранить его как зеницу ока. Мы сами своими руками развращаем юзеров, при этом теряя в безопасности.
Ну, нельзя полагаться только на почтовый адрес юзера для того, чтобы его точно идентифицировать. По разным причинам. Данный форум уже ломали через восстановление, не помните?
На мой сугубо личный взгляд, который никому не навязываю, форумный движок должен быть полностью автономным. он должен быть закрыт от внешнего мира полностью. Он должен позволять юзерам определённые действия, но не выпускать их за рамки дозволенного. Почта должна быть только внутри движка и точка. Внешние ссылки должны быть только текстовые. Сейчас любой браузер позволяет по текстовой ссылке перейти на любой сайт, при этом никаких xss атак не будет.
Так я это вижу, и так делаю для себя. Если кто не согласен со мной то есть туева куча универсальных движков с сотнями разрабов и сотнями багов и уязвимостей, то им туда.(Отредактировано автором: 25 января 2019 — 07:24) |