Смена пароля на вход в форум.
SATtva, здравствуйте!
Попытался зайти на сайт и получил сообщение, что старый пароль не действителен.
Пришлось получать новый пароль по электронной почте. Не считаете, что это небезопасно? Может быть лучше давать настоятельное предупреждение о том, что пароль пора сменить, а делать это уже непосредственно в разделе личных настроек?
А какая разница? Сайт ведь тоже по SSL не шифруется. Если Вам некомфортно именно от пересылки нового пароля на мэйл, можете после успешного входа изменить его в своих настройках.
Я то же уже думал об этом. Разницы большой нет. Просто если кто-то конкретно ящик "прослушивает", то и пароль теперь может знать, а трафик пусть нешифрованный, но по крайней мере на почтовом ящике его нет. Ну в целом это у меня уровень паранойи наверное приподнялся. :shock:
SATtva, добрый день!
Столкнулся с таким вопросом. Запрашиваю новый пароль, получаю по почте. Как написано, сначала активирую пароль, после под ним вхожу – все нормально. Однако на следующий день пытаюсь войти под полученным накануне паролем и получаю сообщение, что пароль просрочен. Не могу понять почему? Может где нибудь в памяти старый пароль остался? Но ведь на странице входа ввожу новый. Теперь каждый раз зарашиваю новый пароль.
Заглянув в БД, я удивился... но всё исправил.
SATtva, здравствуйте!
Опять та же ситуация с паролем. Здесь по моему что-то связано со сменой пароля. Хотел войти в форум с другого браузера и трижды ввел неверный пароль. После пришлось ожидать разблокировки входа и менять пароль. После получения нового пароля успещно вошел, но после опять сообщение – пароль прострочен.
Та же странная проблема... Вроде бы исправил, проверяйте.
Просроченный пароль? А зачем? Эта фича ещё действует? У меня Мозилла, и она хранит все пароли в зашифрованном файле (там сейчас около 400 паролей, доступ к ним закрыт мастер-паролем, который я ввожу при запуске Мозиллы). Вставляет их в форму автоматически – я никогда не запоминаю пароли. Какой смысл в этой фиче? От прослушки порта он не спасёт – если подслушали старый, то подслушают и новый. Куки? Применение SSL на конференции вероятно, снимет все проблемы.
А давайте еще всем участникам форума раздадим почётные цифровые сертификаты и обяжем использовать электронные подписи И проблема с регистрацией отпадёт
Вот только мороки с хостингом и проблем у самих участников будет возникать еще на порядок больше.
Хотя – если для SSL ничего не связано с ресурсами и затратами по хостингу, то почему бы и нет?
Можно подумать, что каждый юзер Windows их НЕ ИМЕЕТ... Имеет... каждый. Персональный сертификат создаётся при инсталляции ОС и при создании нового юзера ОС. Это я так, к слову... К сожалению, есть проблемы при использовании самбы в интернете... Я тут не очень... спец.
Кстати, я сначала получил сертификат (на verysign), а потом под него создал юзера. Именно под этим юзером я теперь всегда и работаю на своём компе.
Каждый юзер Windows? Уже жалею, что сказал об этом. Не надо нам самбы в Инете :-). Это же не домашняя локалка.
Вот ещё одна абсурдная идея – скрытый сервис в сети tor:
будет легкозапоминающееся имя сайта, наподобие https://dphfybemjauhrqfh.onion
;-)
Я отвечал на высказывание о персональной сертификации. Никто не мешает экспортнуть этот Вынь-сертификат в файл .pfx и использовать его "где надо".
SATtva, здравствуйте!
А возможно выполнить смену пароля с высылкой его нового варианта в зашифрованном виде, с использованием открытого ключа пользователя, если таковой есть?
ps Ну это конечно я загнул наверное, но интересно. :)
Пока не установлена SSL-защита для всего сайта, такая тяжёлая артиллерия не имеет большого смысла, поскольку злоумышленник, имеющий доступ к каналу, всегда может считать пароль (его хэш, вернее, но это не принципиально) из cookie, когда Вы открываете любую страницу форума. В дальнейшем можно будет об этом подумать.