|
ru.website
- RU.WEBSITE -------------------------------------------------------------------
From : Serge Shikov 2:5020/400 06 Nov 2001 23:04:13
To : Serguei Trouchelle
Subject : Re: хитрая схема авторизации нужна
--------------------------------------------------------------------------------
Serguei Trouchelle wrote:
>
> SS> Послать ему Id/пароль почтой, чтобы кто попало по дороге прочитал?
> SS> Hекузяво как-то получается.
>
> Если юзеpид/паpоль не пеpесылать почтой -- никак не получится вообще.
> Hо я бы в случае необходимости такой паpанойи
Hу дык. Получается, что guest-ов надо иногда пускать в систему чтобы
что-то делали. Ты бы не стал парараноиком в такой ситуации?
> выслал письмо с URL стpаницы
> автоpизации (с заполнением паpоля со стоpоны юзеpа, https, чтоб не
> отсниффили), на котоpое ответил бы емейлом с тpебованием подтвеpдить
> автоpизацию ответом.
А нафига после этого уже отвечать? Вот представь - URL он уже получил.
Его знают все, кому не лень - ФСБ, ЦРУ, ГРУ, налоговая полиция,
налоговая полиция США, ну в общем все кому интересно - все уже знают.
Заходят _они_ на эту страницу, и что? Как бедному юзеру подтвердить, что
это он, громко орать "Я свой, я не из налоговой, пуститя меня!!!"?
Т.е. проблема, как я ее понимаю, состоит в том, что содержимое
рассылаемого почтой письма знают все, а нам надо, чтобы юзер подтвердил,
что это он, и чтобы без подтверждения присланный ему пароль никакого
смысла не имел и прав не давал. Я подумываю о том, чтобы при первом
звонке ему выдавать некую пару из Id запроса и секретное слово, и
попросить их записать. Тогда письмо будет содержать только Id, а
секретное слово он должен будет взять с бумажки, куда его записал. И
сделать что-то на сайте он сможет только зная а) присланный пароль б)
сообщенное ему ранее секретное слово. А если бумажку потерял - то и хрен
с ним, значит ничего сделать не сможет.
--- ifmail v.2.15dev5
* Origin: home (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
