Надсилання паролю на імейл це порушення безпеки

[Миха́йло Даниле́нко]

По-друге. Якщо ви не використовуєте паролі повторно (що є значно більшим порушенням безпеки), то те, що адміністратори сайту знають ваш пароль — не має мати особливого значення, бо адміністратори сайту мають доступ до бази даних (якщо не методами самого форуму, то завжди можна написати свій модуль, що надасть такий доступ і встановити його з адмінки), і можуть прямо без знання паролю вписати в базу будь-що від вашого імені.

По-третє — коли ви відправляєте будь-який текст кудись в інтернеті — ви не можете бути впевненими, що веб-сервер не логує дані, які ви відправляєте (якщо не адміністраторами сайту, то, наприклад, техпідтримкою хостинг-компанії, де розміщено сайт). І не можете бути впевненими, як ці дані будуть використані. Тому ще раз — не використовуйте однакові паролі ніде, і подібних питань не виникатиме.

[Миха́йло Даниле́нко]

Що такого таємного у тимчасовому паролі, переданому відкритим текстом через криптозахищений канал?

SMF при реєстрації просить вказати пароль, тобто пароль не генерується рушієм, а його вказує користувач. Наскільки я зрозумів топікстартера, саме в цьому і полягає суть проблеми — пароль, введений користувачем, відсилається листом.

[Cthulhu]

SMF при реєстрації просить вказати пароль, тобто пароль не генерується рушієм, а його вказує користувач. Наскільки я зрозумів топікстартера, саме в цьому і полягає суть проблеми — пароль, введений користувачем, відсилається листом.

А, ось звідки ці істерики. В принципі, причина їх зрозуміла, але жодної проблеми безпеки це, звісно, не становить.

[ZEN]

Ще один. Головне питання: навіщо це робити? Що такого таємного у тимчасовому паролі, переданому відкритим текстом через криптозахищений канал?

То перечитайте повідомлення alevikpes:

Вітаю! Щойно зареєструвався і відразу отримав МІЙ пароль на імейл.

Тобто є ризик того, що хтось отримає доступ до електронної пошти юзера та знайде там пароль відкритим текстом. Навідь не потрібно проходити процедуру відновлення паролю на цьому та інших сайтах, якщо це єдиний пароль. І будьте впевнені, у світі багато людей, які використовують один пароль на багатьох сайтах. Тому подбайте про своїх користувачів і не робіть нікому нерви.

[ZEN]

По-друге. Якщо ви не використовуєте паролі повторно (що є значно більшим порушенням безпеки), то те, що адміністратори сайту знають ваш пароль — не має мати особливого значення, бо адміністратори сайту мають доступ до бази даних (якщо не методами самого форуму, то завжди можна написати свій модуль, що надасть такий доступ і встановити його з адмінки), і можуть прямо без знання паролю вписати в базу будь-що від вашого імені.

По-третє — коли ви відправляєте будь-який текст кудись в інтернеті — ви не можете бути впевненими, що веб-сервер не логує дані, які ви відправляєте (якщо не адміністраторами сайту, то, наприклад, техпідтримкою хостинг-компанії, де розміщено сайт). І не можете бути впевненими, як ці дані будуть використані. Тому ще раз — не використовуйте однакові паролі ніде, і подібних питань не виникатиме.

Це все добре, але пароль відкритим текстом - ми що, повернулись до початку 2000-х років? Ви ж самі розумієте, що топікстартер має рацію. І відредагувати шаблон досить примітивна справа.

[Cthulhu]

Це все добре, але пароль відкритим текстом - ми що, повернулись до початку 2000-х років? Ви ж самі розумієте, що топікстартер має рацію. І відредагувати шаблон досить примітивна справа.

Сценарій атаки, будь ласка.

[prapor]

Тобто є ризик того, що хтось отримає доступ до електронної пошти юзера та знайде там пароль відкритим текстом. Навідь не потрібно проходити процедуру відновлення паролю на цьому та інших сайтах, якщо це єдиний пароль. І будьте впевнені, у світі багато людей, які використовують один пароль на багатьох сайтах. Тому подбайте про своїх користувачів і не робіть нікому нерви.

Якщо є доступ до електронної пошти, тобто до одного з методів відновлення паролю, то нема різниці чи є там пароль. Якщо людина використовує той самий пароль для різних місць, то нема різниці, чи є він у пошті чи ні.

Це все добре, але пароль відкритим текстом - ми що, повернулись до початку 2000-х років? Ви ж самі розумієте, що топікстартер має рацію. І відредагувати шаблон досить примітивна справа.

Ага, топікстартер має рацію, а я маю до рації ще й кулемет. Якщо ви подивитесь у сучасні сервіси, то побачите цілу купу випадків, коли пароль відсилають відкритим текстом.
Але так, не думаю що хтось з користувачів LOU буде проти, якщо ви напишете до SMF модуль авторизації за одноразовими паролями та за власний рахунок відправлятимете усім по апаратному генератору.
Тут ще одна дірка є: Cookies зветься. У них зберігається сесія, й сесію можна встановити нескінченно довгою...

Коротше кажучи: не страждайте дурнею, та одноразова відправка паролю при реєстрації — лише захист від дурня, який подивиться у пошту, й хапаючись за голову побіжить міняти пароль, бо виявить що ввів зовсім не те, що хотів. Після зміни паролю він вже не надсилається. Кому не подобається що ТИМЧАСОВИЙ перший пароль відсилається відкритим текстом, той одразу його змінить.

[ZEN]

Сценарій атаки, будь ласка.

http://ua.opennet.ru/opennews/art.shtml?num=48914

[prapor]

Ну gentoo'шник забув про https://blog.github.com/2013-09-03-two-factor-authentication/
Він порушив правила безпеки, використавши однакові паролі для різних сервісів й не увімкнув двофакторну авторизацію, де можна. То й що?
При зміні паролю жодних повторних відправлень не відбувається. Відправка ПЕРШОГО паролю у листі підтвердження реєстрації не є порушенням правил безпеки. Все, крапка.

[Cthulhu]

Сценарій атаки, будь ласка.

http://ua.opennet.ru/opennews/art.shtml?num=48914

По-перше, яким чином це сценарій атаки на LOU чи навіть на ваш обліковий запис на LOU? Сценарії атак на вашу почтову скриньку і інші сервіси, якими ви користуєтесь, мене, звісно, не цікавлять.

По-друге, prapor все правильно пише - той гентушник сам винен. Ніколи не зберігайте критичну інформацію у місцях, де вона може бути навіть теоретично скомпрометована. Наприклад, якщо є підозра, що якийсь лист містить критичну інформацію, його краще видалити, або закриптувати і зберегти копію локально.

По-третє, опеннет. Фу таким бути.

[ZEN]

Відправка ПЕРШОГО паролю у листі підтвердження реєстрації не є порушенням правил безпеки. Все, крапка.

Це Є порушенням правил безпеки.
http://plaintextoffenders.com/faq/devs
Крапка.

Сценарії атак на вашу почтову скриньку і інші сервіси, якими ви користуєтесь, мене, звісно, не цікавлять.

А, ось воно що.

По-друге, prapor все правильно пише - той гентушник сам винен. Ніколи не зберігайте критичну інформацію у місцях, де вона може бути навіть теоретично скомпрометована.

Може ви не будете надсилати мою критичну інформацію куди не слід?

По-третє, опеннет. Фу таким бути.

Ви знаєте україномовну альтернативу OpenNet? Бо я не впевнений, що ви можете читати статті на англійській мові.

[prapor]

Це Є порушенням правил безпеки.
http://plaintextoffenders.com/faq/devs
Крапка.

Ще раз повторюю: відкритим текстом відсилається лише ПЕРШИЙ пароль. Далі — жодних паролів у plaintext, й користувач сам вільний змінювати паролі як йому заманеться й жодних повідомлень про це не отримає. Це є цілком прийнятною практикою. Посилання на нікому невідомий сайт не є прийнятною практикою. Більша частина листів розсилки щомісяця надсилають мені мій пароль відкритим текстом у листі нагадування. Це ще можна вважати якоюсь небезпекою, але це є правилом конкретних листів розсилки. Паролі передаються захищеними каналами (TLS-шифрування) й можуть бути видалені одразу після отримання, щоб не зберігати «критичну інформацію». Але, ніхто не заважає вам взяти, написати якийсь модуль, що дозволить надсилати ці листи з GPG-шифруванням. Або OTP-захист приробити. Хоча, нащо воно тут треба?
Читати вам лекцію з інформаційної безпеки, про необхідні та достатні заходи її забезпечення, я не буду — занадто дорого коштує мій час.

Може ви не будете надсилати мою критичну інформацію куди не слід?

Яку ще критичну інформацію? Цей форум ВЗАГАЛІ НЕ МІСТИТЬ подібної інформації. Хіба що хтось забудеться, й опублікує щось у якомусь шматку логів. Але то сам собі дурень.
От якби цей сайт мав відповідати HIPAA чи PCI DSS, тоді можна було б щось казати. Наразі — жодних причин.

Ви знаєте україномовну альтернативу OpenNet? Бо я не впевнений, що ви можете читати статті на англійській мові.

Судячи з вашого правопису, я маю сумнів у вашому володінні українською мовою. Як і здатність зрозуміти де саме ви знаходитесь. LOU, де-факто, є АНОНІМНИМ публічним сервісом. Для інформації: нормою на LOU довгим часом було використання чистого HTTP, без шифрування. Та й letsencrypt не є таким вже надійним засобом захисту.

[ZEN]

Ще раз повторюю: відкритим текстом відсилається лише ПЕРШИЙ пароль

Так ви ж його й відсилаєте у welcome email відкритим текстом. Скільки ще разів це повторювати?

Посилання на нікому невідомий сайт не є прийнятною практикою.

Завдяки цьому посиланню цю проблему було виправленно у багатьох CMS. А ще воно згадується у такій книзі, як Information Security Practice and Experience. Хоча наврядчи це вам про щось говорить.

Читати вам лекцію з інформаційної безпеки, про необхідні та достатні заходи її забезпечення, я не буду — занадто дорого коштує мій час.

Проблема в тому, що вам ніхто не може прочитати, бо ви не слухаєте.

Яку ще критичну інформацію?

Пароль при реєстрації на сайті. Уже другу сторінку балакаємо про це.

От якби цей сайт мав відповідати HIPAA чи PCI DSS, тоді можна було б щось казати. Наразі — жодних причин.

Це добре, що ви знаєте про PСI DSS. Але якого біса це не працює у випадку цього форума? Нагадую, ви відправляєте пароль користувача при реєстрації. Потрібна лише одна хвилина, що б виправити це. Хоч раз в житті зробіть гарне діло та виправте це.

Судячи з вашого правопису, я маю сумнів у вашому володінні українською мовою. Як і здатність зрозуміти де саме ви знаходитесь.

Ви знаєте, на одещині переважно розмовляють російською. Так, це не легко перейти на українську мову, коли все життя розмовляешь російською. Але проблема зараз у тому, що ви не в змозі вирішити малесеньку проблему. Тому я краще піду спілкуватися на DOU.

Усім дякую, ви не здатні відредагувати малесенький php файл.

[Re.]

Я пропоную забрати цей пароль і не розводити срачполеміки. Насправді він нікому не потрібен, забули — відновлять тим же незахищеним способом. Чи є аргументи проти?

[prapor]

Так ви ж його й відсилаєте у welcome email відкритим текстом. Скільки ще разів це повторювати?

So what? Ну відправили відкритим текстом по захищеному каналу (якщо ваш поштовий сервер не використовує TLS, то це не наші проблеми) ПЕРШИЙ пароль. Ви його отримали, переконались що це саме той пароль, що ви вводили, видали листа й все. Жодних проблем. У крайньому випадку — перепризначили його на інший, який вже не прийде. Якщо вважаєте що ваша скринька зкомпрометована, то якого біса ви на неї реєструєтесь?

Завдяки цьому посиланню цю проблему було виправленно у багатьох CMS. А ще воно згадується у такій книзі, як Information Security Practice and Experience. Хоча наврядчи це вам про щось говорить.

Якщо не в курсі, то гарним тоном є вказувати ще й автора й видавництво. Хоча б серію, в яку входить книга.

Проблема в тому, що вам ніхто не може прочитати, бо ви не слухаєте.

Ну так, дурню я не слухаю, особливо від людей, що ігнорують те, що їм пишуть.

Пароль при реєстрації на сайті. Уже другу сторінку балакаємо про це.

Ви вважаєте це критичною інформацією? У мене для вас погані новини. Вам вже не перший раз пояснюють, це лише перший пароль. Топікстартер волає про «паролі зберіга.ть

Це добре, що ви знаєте про PСI DSS. Але якого біса це не працює у випадку цього форума? Нагадую, ви відправляєте пароль користувача при реєстрації. Потрібна лише одна хвилина, що б виправити це. Хоч раз в житті зробіть гарне діло та виправте це.

Це не працює у випадку цього форуму, через причину про яку я вже вам написав. Ви, для початку, подивіться яку інформацію обробляють сайти, що сертифікуються за PCI DSS чи HIPAA. Тут такої інформації нема взагалі. Нема чого захищати.

Ви знаєте, на одещині переважно розмовляють російською. Так, це не легко перейти на українську мову, коли все життя розмовляешь російською.

У Дніпрі так само, але відкрию таємницю: це не легко, це — елементарно.

Але проблема зараз у тому, що ви не в змозі вирішити малесеньку проблему. Тому я краще піду спілкуватися на DOU.

Проблеми просто нема ніде, окрім вашої та топікстартера уяви. Ну а ви можете йти куди вам заманеться, ніхто тут нікого не тримає. На відміну від DOU, ми не вимагаємо від користувачів сюди викладати персональні дані.

Усім дякую, ви не здатні відредагувати малесенький php файл.

Не плутайте здатність та бажання.