Отправка пароля на email после регистрации на сайте

Что, прямо-таки открытым текстом пароль передают? Ну, это клиника... Они, небось, еще и https не используют для передачи логина-пароля?

При смене пароля, наверняка тоже отправляют.

http://thewhineseller.com/wp-content/uploads/2011/03/facepalm.gif

И что? Защита этого пароля стоит действий на ресурсе? Если тупо потрындеть — имхо, ничего страшного.

Зато пароль безопасный, а не 12345. А пароль можно и предложить сменить, после первого входа.

а вы держите почтовый сервер на локалхосте с авторизацией только ssl/tls, другое дело, что быдлохостинг может не суметь вам доставить письмо. так например, я не смог получить письмо от яндекса, github'а.. пока не убрал ssl/tls авторизацию с почтовика. такие дела.

вообще, пора бы делать альтернативные варианты, и помимо e-mail, сделать еще и жаббер: сущность та же, но зато надежнее. e-mail пережиток прошлого.

Зато пароль безопасный, а не 12345.

Есть ресурсы, которые отправляют тебе на почту твой же собственный введённый пароль.

это что же, значит, у них в БД пароли не хешируются? да не, таких кретинов не бывает.

это что же, значит, у них в БД пароли не хешируются?

Возможно, сообщение отправляется до хэширования.

да не, таких кретинов не бывает.

Я только вчера переписывал систему на IIS 5, ASP (VBScript) и MS SQL, где пароли в открытом виде лежали в базе, а вместо cookies использовался activex плагин. К слову, после аутентификации клиенту отдавался его ID в базе и уровень полномочий, который клиент после этого каждой странице скармливал в get-запросе. То есть, если скормить, скажем, админские полномочия, можно делать что угодно, даже логиниться по сути не надо, ведь user id все по-очереди стоят, 1..N. Да, система работала только под IE6 :D

Теперь, после пары дней моей работы, пароли там хэшируются с солью, activex оторван, сервак переведён на IIS 6, введены рандомные session id, к которым и привязаны полномочия текущей сессии, добавлена поддержка современных браузеров.

Даже так бывает.

Но все равно не вижу проблемы с безопасностью. Если есть доступ к почте, то есть и доступ к аккаунту.

Но все равно не вижу проблемы с безопасностью. Если есть доступ к почте, то есть и доступ к аккаунту.

А теперь представьте, что тот же пароль используется для электронного кошелька пользователя. Я понимаю, владельцам ресурса вообще пофигу, но из-за таких идиотов часто достаточно вскрыть почту, чтобы узнать вообще все пароли.

При работе с финансами как правило два пароля используется (двухфакторная аутентификация), так что это ничего не даст. При этом, имея доступ к почте, можно восстановить доступ ко всем остальным аккаунтам, завязанным на эту почту, и без знания пароля.

Знаю контору, которая «работает с финансами» (форекс-брокер, хотя средств в обороте у них некисло и они имеют выход на межбанк), которая отправляет тебе твой же пароль в открытом виде на почту.

Практически везде одна и та же ситуация - пока гром не грянет, то будет работать то, что написал самый первый подрядчик, никаких аудитов безопасности и пр. проводиться не будет.

В случае таких контор конечно так не правильно делать, но почему бы не высылать пароль от какого-нибудь сайта с рефератами? Если почту уже удалось увести, то почти ничего не спасет, а так забывчивым пользователям удобно будет.

Если почту уже удалось увести, то почти ничего не спасет

Почт у юзера может быть хоть десять штук, а паролей обычно помнят один-два. У меня 4 почтовых ящика сейчас активны, например.

А может и один ящик, а может и разные пароли, а может пользователь удаляет такую почту с паролями. Это все частные случаи.

Тут вообще хорошо действует правило неуловимого Джо — автоматически сбор паролей из писем не сделать, а заморачиваться с каждым отдельным пользователем никто не будет.

Тут вообще хорошо действует правило неуловимого Джо — автоматически сбор паролей из писем не сделать, а заморачиваться с каждым отдельным пользователем никто не будет.

Если атака не направлена против конкретного пользователя.

вообще, пора бы делать альтернативные варианты, и помимо e-mail, сделать еще и жаббер: сущность та же, но зато надежнее. e-mail пережиток прошлого.

Да. Имейл - прошлый век. Надо чтобы бот постил пароль на стеночку вконтактике.

Что за фильм?

Если атака не направлена против конкретного пользователя.

Ладно, убедил :) В этом случае безопасность конечно страдает.

Вообще не понимаю в чем смысл отправлять пользователю его же пароль, я думал так делают только когда сервис сам генерирует надежный. Восстановить забытый пароль через форму на сайте гораздо проще, чем искать его в куче писем, а использовать почту для хранения паролей это странно.

Вообще не понимаю в чем смысл отправлять пользователю его же пароль, я думал так делают только когда сервис сам генерирует надежный. Восстановить забытый пароль через форму на сайте гораздо проще, чем искать его в куче писем, а использовать почту для хранения паролей это странно.

Полностью согласен. Более того, восстанавливать пароли по запросу не нужно, нужно их менять по запросу :)

вообще, пора бы делать альтернативные варианты, и помимо e-mail, сделать еще и жаббер: сущность та же, но зато надежнее. e-mail пережиток прошлого.

Как мне отправить через jabber файл в оффлайн? Заливать на хостинг не предлагать. Даже в онлайне нормально не отправишь, т.к. нужен либо SOCKS, либо белый IP и настроенный файрволл.
Как в jabber сгруппировать сообщения по теме? Часто бывает нужно просмотреть старые сообщения, а веток переписки может быть несколько.
Если ты занят другими делами, то ответить на email ты можешь потом. Можешь вообще не проверять почту, если у тебя нет времени. Если тебя начнут заваливать короткими сообщениями через IM, видя твой статус «Онлайн», и ждать ответа («привет. ты тут?»), то это сильно раздражает и мешает работе. Уход в оффлайн будет расценен как неуважение. Уведомления «xxx набирает сообщение...» тоже мешают.

http://thewhineseller.com/wp-content/uploads/2011/03/facepalm.gif

Что за фильм?

Ввел в гугл ссылку на эту картинку и 4-ым результатом попал на какой-то форум в тему «Как сделать отправку логина и пароля на e-mail?» :D Интересное совпадение

Зато пароль безопасный, а не 12345.

Зато в БД хранится открытым текстом, лол.

Не обязательно. Можно отправить пароль при регистрации и параллельно сохранииь хэшированный пароь в БД.

Уже обсуждалось в начале треда.

Не обязательно. Можно отправить пароль при регистрации и параллельно сохранииь хэшированный пароь в БД.

Может, и не обязательно, но 100% подобных сайтов, которые я видел, при восстановлении пароля точно так же присылают его открытым текстом в письме, что развеивает всякие сомнения.

да не, таких кретинов не бывает

Yahoo например. Еще adobe ЕМНИП.

у них в БД пароли не хешеруются?

Не факт, вполне можно отправить, а потом захешировать.

e-mail пережиток прошлого.

Не пей больше.

К слову, после аутентификации клиенту отдавался его ID в базе и уровень полномочий, который клиент после этого каждой странице скармливал в get-запросе

Ох жесть. Увидеть бы погромистов которые это писали...

Не надо ставить статус «Онлайн». Большинство людей воспринимают его как «Готов поболтать». Лучше «Do not disturb». Если и в этом случае начнут писать что-то не по делу типа «Превед как дела вышли фотку», то сами виноваты что нарвутся на грубость.

то сами виноваты что нарвутся на грубость

Для этого придется опять же отвлечься (чтобы нагрубить). Да и всем пофиг на этот статус.

Есть ресурсы, которые отправляют тебе на почту твой же собственный введённый пароль.

Вот я ж о таких ресурсах и говорю