Dzisiaj chciałem zmienić adres e-mail na portalu dobre programy. I się zdziwilem. Po wejściu w menu “zmiana e-mail” portal pyta o nowego maila. Podaje go i tyle. Dostaje info że wysłano mail aktywacyjny. Ale na nowego maila!! Według mnie mail aktywacyjny powinien pójść na stary mail żeby potwierdzić czy to aby na pewno ja prosilem o zmianę maila. Jak ktos zapomni się wylogowac tylko z konta dobreprogramy na jakimś publicznym komputerze to przejęcie konta to pestka. Zmieniam maila, dostaje link na nowego maila, klikam go, dostaje potwierdzenie że zmieniono i nie każe mi się ponownie zalogować tylko od razu przenosi do portalu i jestem zalogowany! Teraz wystarczy kliknąć nie pamiętam hasła, wpisac nick i maila już tego nowego i zresetowac hasło na nowe.
Według mnie mail powinien przychodzić na starego maila żeby potwierdzić czy aby na pewno to my chcemy zmienić adres.
No niezbyt ciekawie… Przejęcie sesji w dzisiejszych czasach to nie jest aż taki wielki wyczyn (nie trzeba nawet korzystać z tego samego komputera). Ma to swoje jakieś tam plusy (jak np. straci się dostęp do starego maila), ale powinna być jakaś dodatkowa weryfikacja (ponowne pytanie o hasło).
Z rożnych powodów czasem przepada mail. Może być zablokowany, czy adres obiektem spamu i jest podejrzenie, że ktoś zahakował konto mailowe. W takim przypadku, to nawet może dojść do przejęcia nowego adresu mailowego, gdyby trzeba było zmianę potwierdzać na starym mailu. Owszem, ponowne pytanie o hasło ma uzasadniony sens podczas zmiany adresu maila. Niechby był przycisk z pytaniem, na który adres mailowy przesłać mail z opcją potwierdzenia zmiany.
Jest jeszcze kontakt mailowy do admina, modów na portalu. Zawsze można napisać do Nich o jakiejś podejrzanej sytuacji, nawet z innego konta poczty mail. Sprawdzą, w razie czego.
Portal, to nie bank, ale zawsze dane użytkownika powinny być bezpieczne.
Widziałeś to ciastko ? O ile te dane nie są tylko by tam były to wątpię byś jakoś tą sesję przejął bez dostępu do urządzenia ofiary.
Co do weryfikacji, racja bez pytania o hasło to mija się z celem - np pomylę email, albo nie wyloguję się i mam po koncie ;( Co prawda jeśli masz kontakt do admina to pewnie ci konto przywróci, ale wątpię by jakiś random mógł napisać maila i ktoś by mu dostęp do konta “przywrócił”
A ja uważam, że rozwiązanie w przypadku chęci zmiany poczty na portalu mogłoby wyglądać tak:
na stary adres e-mail jest wysyłana wiadomość o zainicjowanej zmianie i możliwości w ciągu 24h jej odwołania (poprzez portal - po zalogowaniu się na nim);
na nowy adres (po odczekaniu - lub nie - wspomnianych 24h “karencji”) wysyłany jest link aktywacyjny, ale po jego otwarciu trzeba się zalogować do portalu, żeby zatwierdzić zmianę.
Macie rację, dzięki za zwrócenie na to uwagi. Dodaliśmy weryfikację hasła przed zmianą maila. Zdecydowaliśmy się nie wysyłać linków na stary email bo do starego maila nie zawsze jest przecież dostęp… Teraz natomiast możemy zmienić hasło mając dostęp do obecnego maila lub zmienić maila znając obecne hasło - to chyba dobry kompromis