Posílání přihlašovacích údajů emailem

Upozornění: Tohle vlákno je hodně staré a informace nemusí být platné pro současné Nette.
před 11 lety
Azathoth
Člen | 495
+
0
-

Zdravím,
jsem začátečník v Nette a vytvářím stránky s malým CMS a chci posílat email. Otevřel jsem tedy https://doc.nette.org/cs/mail a hle, velká rada: Nikdy neposílejte e-mailem hesla ani jiné přístupové údaje.

Mohl by mi někdo objasnit, co je tím myšleno? Jak jinak by mělo fungovat resetování či znovuzaslání zapomenutého hesla? Proč bych neměl registrovanému uživateli poslat emailem jeho přihlašovací jméno a heslo?
Proč navzdory této radě všechny stránky, kam se někdo registruje, posílají emailem své přihlašovací údaje?

Jsem zmaten.

před 11 lety
David Matějka
Moderator | 6445
+
+6
-

Jak jinak by mělo fungovat resetování či znovuzaslání zapomenutého hesla?

posles mu odkaz s tokenem (nejlepe s omezenou platnosti) a na te strance bude formular, kde zada nove heslo

Proč bych neměl registrovanému uživateli poslat emailem jeho přihlašovací jméno a heslo?

protoze to neni bezpecne. krom toho, ze by se mu nekdo mohl dostat do mailu a tam si udaje precist, tak je tu nebezpeci, ze velka cast emailove komunikace neni sifrovana

Proč navzdory této radě všechny stránky, kam se někdo registruje, posílají emailem své přihlašovací údaje?

vsechny? je pravda, ze stale celkem dost, ale nastesti uz ne tolik jako drive

Editoval matej21 (10. 7. 2014 16:32)

před 11 lety
David Kudera
Člen | 455
+
+2
-

Pokud ti některý web pošle takhle zpět zapomenuté přístupové údaje, je to známka toho, že ukládá hesla v plaintextu a nešifruje je. Kdokoliv s přístupem k db je může číst. Pokud se k ní dostane někdo z venku, tak má přístup ke všem údajům. Navíc spousta lidí používá jedno heslo na všechno, což je o to horší. A pokud má nějaký web tak zásadní bezpečnostní slabinu, tak je dost možné, že jich bude i o dost více.

Hesla se jednoduše musí šifrovat tak, aby k jejich původní podobě neměl nikdo přístup (nepočítám brute force apod.)

Edit: Před pár dny se tu řešila registrace a i obnova hesla

Editoval David Kudera (10. 7. 2014 16:35)

před 11 lety
Azathoth
Člen | 495
+
0
-

Takže posílat heslo, ale pouze s tokenem s omezenou platností? Díky, to je moc hezký nápad.
Nevíš, kde je návod na to, jak používat tokeny a jak nějak elegantně udělat časově omezená hesla?

A úplně všechny stránky asi heslo mailenm neposílají, ale valná většina ano. Například toto fórum.

před 11 lety
jiri.pudil
Nette Blogger | 1032
+
0
-

Neposílat heslo. Vůbec. Nikdy. Pošleš jen odkaz s tokenem (náhodný string, který si spolu s platností uložíš třeba někam do databáze). Na příslušné stránce pak tento token ověříš a pokud je platný, necháš uživatele zadat nové heslo.

před 11 lety
Mysteria
Člen | 797
+
0
-

Ale oni ti nemusí poslat přímo zapomenuté heslo. Můžou ti vygenerovat nové a to ti až poslat emailem. Hesla v plaintextu snad už nikdo neukládá.

před 11 lety
Azathoth
Člen | 495
+
0
-

Já jsem to napsal trochu špatně. Samozřejmě, že vygeneruje nové heslo a to pošle. Ale to je pořád ten problém s tím, že jde heslo (i když nové) emailem. Z toho bcryptu, který Nette používá bych se hodně divil, kdyby někdo vytřískal heslo.

před 11 lety
David Kudera
Člen | 455
+
0
-

@Mysteria jo no, pravda. Vůbec jsem si na to nevzpomněl, s moc weby, které to používají jsem se totiž nesetkal. A to s plaintextem… No.. Snad je to pravda