Poważny błąd w zabezpieczeniach portalu


(pocolog) #1

Nie wiem jak można było to w ten sposób wymyślić, ale do zmiany adresu e-mail nie jest wymagany dostęp do starego adresu. Można to zrobić samodzielnie.
Moim zdaniem jest to duży błąd i takiego rozwiązania nie widziałem nigdzie indziej. Łatwo można sobie wyobrazić sytuację, kiedy ktoś uzyskuje dostęp do mojego konta DP (odgadnięcie hasła, niewylogowana sesja etc) sam zmienia adres email, następnie hasło i jestem całkowicie pozbawiony możliwości odzyskania takiego konta.
@tomekb, @Docent, @narandill czy kto tam się takimi rzeczami zajmuje…


(krystian3w) #2

No w sumie lipa…


(iJuliusz) #3

i to okorowana
więc zagłosuję za poprawką
może przejdzie, choć nie jestem z partii rządzącej


(Madafaker) #4

Gdy ktoś uzyska taki “swobodny” dostęp do twojego konta, i zada sobie troszkę “trudu”, aby zrobić Ci “psikusa” ,to tak czy owak, będzie miał dostęp również do “starego” adresu email…“przeskoczy” na forum i już ma “komplet”.


(pocolog) #5

Co w związku z tym, że pozna mój aktualny adres email, skoro nie będzie mógł go zmienić bez zalogowania się na niego? Mi chodzi właśnie o jakieś zabezpieczenie dwustopniowe.


(Madafaker) #6

Aaaaa takie triko, “grubo grasz”…

Chcesz, aby do zmiany adresu email, konieczne było zalogowanie się na “stary” adres i klik na link aktywacyjny, zatwierdzający / potwierdzający stosowną zmianę ??

Gdy ktoś “przypomniał” sobie, iż od dawna ma “nieaktywny / usunięty” stary adres email, bo gdzieś tam, kiedyś go skasował,…i czas na “aktualizację” w postaci nowego adresu, w ustawieniach swojego konta na DP…wtedy “dwustopniowe” zabezpieczenie ma przyjąć jaką formę ??


(pocolog) #7

Kontakt z administracją z aktualnego konta DP, a kiedy zapomni hasła na DP to kontakt mailowy.

Zauważyłem ten problem bo właśnie straciłem możliwość zalogowania się na stary e-mail, a tu takie numery, że sobie sam zmieniam adres :wink: Tylko nie wiem co z mailem konkursowym o nagrodę :smiley: Chyba muszę poprosić o ponowne wysłanie :stuck_out_tongue_winking_eye:


(Madafaker) #8

W tym konkretnym “przypadku” to raczej dobrze…


(pocolog) #9

No i właśnie w tym wypadku mnie zmroziło, że ktoś włamuje się na moje konto, zmienia adres, podaje swój adres pocztowy do wysyłki nagrody i Legendarny Puchar Bezdennej Przyjemności +5 - zwany potocznie kubeczkiem DP ląduje w niepowołanych rękach :smiley:


(iJuliusz) #10

już widzę tego hakera z kubkiem w łapach.
tosz to szok !


(krystian3w) #11

O ile już nie przeznaczyli jej dla osoby numer 21.


(tomekb) #12

Wiesz co, sprawdzilem wlasnie kilka roznych uslug i wszedzie da sie zmienic adres e-mail na nowy bez koniecznosci odebrania czegokolwiek pod starym adresem.

Przeanalizujemy to oczywiście, ale wydaje mi się że konieczność “zweryfikowania” starego adresu przed jego zmianą na nowy mija się trochę z celem operacji zmiany adresu (np. z powodu utraty dostępu do starego).


(pocolog) #13

@tomekb Przy okazji załatwię drugą sprawę. Były już rozsyłane maile po konkursie urodzinowym? Jeśli tak, to czy można dostać jeszcze jednego? :wink:


(freshmeat) #14

Mogę prosić o przykłady tych usług?


(tomekb) #15

Google? :slight_smile: iCloud? :slight_smile:


(freshmeat) #16

Ale to Ty się mnie pytasz?


(tomekb) #17

To były pytania retoryczne :wink:


(LORDEK) #18

Trochę głupie, bo skoro chce zmienić mail to raczej z ważnego powodu w tym brak dostępu do starego… Blokowanie tej możliwości jest dziwne.


(pocolog) #19

Nie blokowanie tylko z wykorzystaniem starego. Portal nie ma żadnych innych zabezpieczeń, a mi właśnie o nie chodzi. Nie o wygodę, bo ja wiem że tak jest wygodniej jak teraz.


(LORDEK) #20

To nie jest jakieś ważne konto by utrudniać coś tak prozaicznego jak zmiana adresu e-mail. Nie ma tu jawnie podanych ważnych danych osobowych. Przy zmianę e-mail prosi o hasło, to raczej wystarczy. Ktoś kto przyłapał Cię na niewylogowaniu, raczej go nie zna.

Jeżeli boisz się, że ktoś odgadnie Twoje hasło to może warto użyć jakiegoś bardziej skomplikowanego? Administracja nie uwierzy też złodziejowi, że nagle zapomniał hasła do konta i nie może zmienić adresu e-mail.