اخیرا در چند سایت و برنامه دیدم که موقعی که ایمیل اکانت رو تغییر میدی یک ایمیل صحت سنجی به آدرس ایمیل جدید ارسال میکنن.
قدیما اینطور چیز ندیده بودم یا خیلی کم دیده بودم و خودم هم در پروژم چنین امکانی نذاشتم.
اما اخیرا که این موارد رو دیدم و فکر کردم دیدم اصولیش هم اینه که چنین امکانی حداقل بصورت آپشنال هم که شده در سیستم وجود داشته باشه.
یکی از مزایای نیاز به تایید صحت ایمیل اینه که میتونه در جلوگیری از ایجاد چندین اکانت توسط یک نفر تاثیر قابل توجهی داشته باشه. البته نه لزوما و همیشه و خیلی زیاد، ولی بهرحال موثره در خیلی موارد.
شاید بجز این مزایای دیگری هم داشته باشه.
اگر ما صحت ایمیل جدید و تعلق داشتنش به فرد رو بررسی نکنیم، اونوقت طرف میتونه یه اکانت درست کنه با ایمیل صحیح، بعد آدرس ایمیل خودش رو تغییر بده به یک آدرس ایمیل دیگر که میتونه جعلی هم باشه یا متعلق به خودش نباشه، بعد دوباره با همون تک ایمیل صحیح که داره یک اکانت جدید ایجاد کنه و به همین ترتیب با فقط یک ایمیل معتبر میتونه هر تعداد اکانت درست کنه توی سیستم.

آهان راستی یکی دیگر از مزایای اینکه تعلق ایمیل جدید به فرد رو بررسی کنیم همینه که ممکنه کسی عمدا ایمیل دیگران رو بعنوان ایمیل اکانت خودش مشخص کنه.
این قضیه میتونه برای یکسری سوء استفاده ها و آزارها استفاده بشه.
البته احتمالش کمه و اغلب قابل کنترله، ولی بازم اصولش اینه که نشه این کار رو کرد.
فکر کن من برم توی یه سایتی ثبت نام کنم و تنظیم کنم مدام تبلیغات و خبر بفرسته به ایمیل، بعد آدرس ایمیل کس دیگری رو بهش بدم!
البته شاید این یه سناریوی ساده و محدودی باشه و ضمنا اون سیستم ممکنه امکان غیرفعال کردن این ایمیل ها (unsubscribe) از طریق لینک مخصوصی یا روش دیگری که نیاز به لاگین کردن در اکانت مورد نظر نداشته باشه رو گذاشته باشه، ولی سناریوها میتونن از این گسترده تر و پیچیده تر و مشکل تر هم بشن.
یک مشکل هم اینه که اینطوری حداقل دیگه اجازه نمیده طرف با ایمیلش در سایت مورد نظر ثبت نام کنه و مجبوره یه ایمیل دیگه انتخاب کنه.
خلاصه همین یه چیز ساده ممکنه به صورتهای ممکن و در شرایط مختلف مورد سوء استفاده قرار بگیره.
نباید چیزی رو ساده گرفت.
چرا سایت ما باید اینقدر راحت بتونه آلت دست دیگران بشه برای صدمه زدن یا آزار افراد؟
تازه اگر به صحت و مالکیت ایمیل های ثبت شده در سیستم اطمینان بیشتری وجود داشته باشه، از نظرهای دیگر و برای سایت خودمون هم خوب و مفیده. نه؟

به نظر من تایید ایمیل نباید آپشنال باشه. باید Required باشه.
انقدر افراد هستند که به دلیل بی توجهی از طریق فیشینگ اطلاعات خودشون رو دو دستی تقدیم بقیه میکنند. یا حتی ممکنه از آشنایان کسی با حدس و گمان وارد اکانت کاربریشون بشه.
خب خیلی مسخرت که به راحتی بتونه ایمیل رو تغییر بده فقط به واسطه ی کلمه ی عبوری که در دست داره. این ایمیل زمانی که اکانتی هک بشه به درد میخوره. و اگه خود ایمیل هم تغییر کنه ماهیت "بازیابی کلمه عبور" یه جورایی زیر سوال میره.
من دو راه رو همیشه ترجیح میدم.
1- ارسال یک لینک برای تغییر ایمیل، به ایمیل قبلی که ثبت شده.
2- ارسال یک پیامک حاوی یک کد تصادفی به شماره ی موبایل کاربر و درخواست کد ارسال شده به موبایل در فرم تغییر ایمیل.

فکر نمیکنم ارسال لینک به ایمیل قبلی درست باشه.
چون اینکه کاربر میخواد ایمیلش رو تغییر بده احتمالش هست که اصلا دسترسیش به ایمیل قبلی به هر علتی از بین رفته. حالا یا هک شده یا سرور و سایتش بلایی سرش اومده، مثل ایمیل یاهوی من قفل شده و دیگه نتونسته بازیابی کنه، پسوردش یادش رفته و غیره.

پیامک میامک رو هم که ولش کن هم امکانات خاص و وابستگی خارجی نیاز داره و هم دیگه قضیه خیلی امنیتی نیست. ما در همون حد که چک کنیم ایمیل جدیدی که وارد شده درسته و واقعا طرف بهش دسترسی داره کافیه.

طرف هم فیشینگ شده خب دیگه کار از کار گذشته یعنی دیگه ما برنامه نویسان بیایم پوشک بچه هم بشوریم؟ :لبخند:
ایمیلش رو هم میزنن فیش میکنن خب!!

خب اینکه طرف ایمیل قبلیش رو هم فراموش کرده میشه حکم همون پوشک بچه!! خب فراموش کرده مقصر ماییم؟
از طرفی ممکنه خود صاحب اکانت نباشه و بخواد ایمیل رو تغییر بده تا دارنده ی اصلی اکانت دیگه نتونه دسترسی داشته باشه حتی با بازیابی رمز عبور.

ضمن اینکه میشه تغییر ایمیل رو حتی بر اساس سوال و پاسخ امنیتی مشابه به یاهو و باقی جاها انجام داد. در صورتی که ایمیل قبلی خودش رو فراموش کرده باشه.
اگه شخص هکر از این فیلتر هم بگذره که دیگه حلالش باشه :D

اخیرا در چند سایت و برنامه دیدم که موقعی که ایمیل اکانت رو تغییر میدی یک ایمیل صحت سنجی به آدرس ایمیل جدید ارسال میکنن.
قدیما اینطور چیز ندیده بودم یا خیلی کم دیده بودم و خودم هم در پروژم چنین امکانی نذاشتم.
اما اخیرا که این موارد رو دیدم و فکر کردم دیدم اصولیش هم اینه که چنین امکانی حداقل بصورت آپشنال هم که شده در سیستم وجود داشته باشه.
یکی از مزایای نیاز به تایید صحت ایمیل اینه که میتونه در جلوگیری از ایجاد چندین اکانت توسط یک نفر تاثیر قابل توجهی داشته باشه. البته نه لزوما و همیشه و خیلی زیاد، ولی بهرحال موثره در خیلی موارد.
شاید بجز این مزایای دیگری هم داشته باشه.
اگر ما صحت ایمیل جدید و تعلق داشتنش به فرد رو بررسی نکنیم، اونوقت طرف میتونه یه اکانت درست کنه با ایمیل صحیح، بعد آدرس ایمیل خودش رو تغییر بده به یک آدرس ایمیل دیگر که میتونه جعلی هم باشه یا متعلق به خودش نباشه، بعد دوباره با همون تک ایمیل صحیح که داره یک اکانت جدید ایجاد کنه و به همین ترتیب با فقط یک ایمیل معتبر میتونه هر تعداد اکانت درست کنه توی سیستم.

خوب اینکه اصلا یک ضعف بزرگ هست و باید حتما (با توجه به گفته دوستمان) واجب باشد !

اینطوری که بقول خودتون هر کی میاد با یک ایمیل چند اکانت میسازه ولی اکانت هایش ایمیلهایش (اگه جعلی باشه) دیگه زیاد بدرد اش نمی خوره

یا در کل اگر طرف هنگام تغییر ایمیل نیاد چک کنه که آیا این ایمیل قبلا در سیستم وجود داشته یا نه دیگه ...

در کل باید این امکان وجود داشته ابشه.

خب اینکه طرف ایمیل قبلیش رو هم فراموش کرده میشه حکم همون پوشک بچه!! خب فراموش کرده مقصر ماییم؟
از طرفی ممکنه خود صاحب اکانت نباشه و بخواد ایمیل رو تغییر بده تا دارنده ی اصلی اکانت دیگه نتونه دسترسی داشته باشه حتی با بازیابی رمز عبور.

ضمن اینکه میشه تغییر ایمیل رو حتی بر اساس سوال و پاسخ امنیتی مشابه به یاهو و باقی جاها انجام داد. در صورتی که ایمیل قبلی خودش رو فراموش کرده باشه.
اگه شخص هکر از این فیلتر هم بگذره که دیگه حلالش باشه :D

در کل این جمله رو هیچ وقت یادمان نرود که ما یکم از حیطه کاریمان در امنیت باید جلو بریم .

و دیگه اگه پسورد دسته هکر بیافتد به قول شما دیگه حلالش باشه.

ولی باز اینجا بر میگردیم به تاپیک "نیاز به ورود مجدد پسورد برای انجام عملیات های مربوط به ادمین (http://barnamenevis.org/showthread.php?434225-%D9%86%DB%8C%D8%A7%D8%B2-%D8%A8%D9%87-%D9%88%D8%B1%D9%88%D8%AF-%D9%85%D8%AC%D8%AF%D8%AF-%D9%BE%D8%B3%D9%88%D8%B1%D8%AF-%D8%A8%D8%B1%D8%A7%DB%8C-%D8%A7%D9%86%D8%AC%D8%A7%D9%85-%D8%B9%D9%85%D9%84%DB%8C%D8%A7%D8%AA-%D9%87%D8%A7%DB%8C-%D9%85%D8%B1%D8%A8%D9%88%D8%B7-%D8%A8%D9%87-%D8%A7%D8%AF%D9%85%DB%8C%D9%86)" که باید برای اینکار حداقل پسورد رو دوباره بخواهیم.

من نظرم اینه اگر پسورد هم دست شخص دیگه ای افتاد نتونه ایمیل رو تغییر بده. در واقع لینک تغییر ایمیل به صورت دینامیک ایجاد میشه و برای مدت محدودی اعتبار داره. این لینک هم به ایمیل قبلی طرف ارسال میشه.
اگر هم ایمیلش رو فراموش کرده بود با استفاده از پرسش و پاسخ امنیتی. جدای از کلمه ی عبور. چون کسی که وارد سیستم شده کلمه ی عبور رو داره. در صورت درخواست مجدد، خب مجدداً کلمه عبور رو وارد میکنه!!

کسی که وارد سیستم شده کلمه ی عبور رو داره
خیر لزوما اینطوری نیست.
اصلا وارد کردن مجدد پسورد بخاطر همینه که ممکنه کسی که پشت سیستم لاگین هست طرف اصلی نباشه.
حالا سناریوهاش رو دقیقا باید فکر و تحقیق کنیم ببینیم چی میتونه باشه. مثلا یکیش سرقت کوکی سشن/احراز هویت. یکی دیگش اینکه ممکنه سیستمی که طرف درش لاگین بوده به هر علتی زیر دست کس دیگری افتاده باشه بصورت تصادفی یا غیره.

راستی من برای رجیستر کردن Apple ID دیدم که لینک فعال سازی رو که باز میکنی بعدش باید یوزر و پسورد رو هم وارد کنی و لاگین کنی تا فعال بشه.
باید فکر کرد که چرا!

خیر لزوما اینطوری نیست.
اصلا وارد کردن مجدد پسورد بخاطر همینه که ممکنه کسی که پشت سیستم لاگین هست طرف اصلی نباشه.
حالا سناریوهاش رو دقیقا باید فکر و تحقیق کنیم ببینیم چی میتونه باشه. مثلا یکیش سرقت کوکی سشن/احراز هویت. یکی دیگش اینکه ممکنه سیستمی که طرف درش لاگین بوده به هر علتی زیر دست کس دیگری افتاده باشه بصورت تصادفی یا غیره.
درسته. همیشه اینطوری نیست که هرکس توی پروفایل بود یعنی کلمه ی عبور رو داره. اما حتی یک درصد هم احتمال داشته باشه کسی که داخل پروفایل هست مالک پروفایل نیست و کلمه ی عبور رو هم داره باید فکری به حالش کرد. همین فایرفاکس قابلیتی داره که کلمات عبور رو ذخیره میکنه. خیلی ها نمیدونن. یکی که میدونه میره میشینه پشت یک سیستم توی کافی نت یا هرجایی که این امکان براش باشه. به صورت بسیار تمیز و مرتب نام کاربری و کلمات عبور رو بر میداره. نیاز به هیچ دانشی در زمینه ی هک هم نیست!!!!!

در مورد بحث اصلی که همون تغییر پسورد با ایمیل تایید هستش .... یاهو یا گوگل یه کار بهتری می کنن ... وقتی پسوردت رو تغییر دادی به ایمیل سابق میل می زنن و می گن پسورد تغییر داده شده و یه لینک هم میدن که اگه شما پسورد رو تغییر ندادی می تونی با اون لینک پسورد قبلی رو برگردونی .... و اگه پسورد ایمیل قبلیتم فراموش کرده باشه مشکلی پیش نمیاد . یعنی اول باید فرض رو بر این بگیریم که کاربر پسورد ایمیل سابقش رو فراموش کرده و با این حساب بتونه بدون دردسر ایمیلشو تغییر بده

راستی من برای رجیستر کردن Apple ID دیدم که لینک فعال سازی رو که باز میکنی بعدش باید یوزر و پسورد رو هم وارد کنی و لاگین کنی تا فعال بشه.
باید فکر کرد که چرا!
فکر میکنم اپل دیگه حسابی محکم کاری کرده که اگر کسی موقع رجیستر ایمیل کس دیگری رو وارد کرد، و اون شخص حتی تصادفا یا از روی کنجکاوی لینک فعال سازی رو باز کرد، فعال سازی صورت نگیره.
بهرحال هم که همه مثلا زبان انگلیسی بلد نیستن ممکنه ایمیل فعال سازی بره برای یکی که اصلا نمیتونه نوشته ها رو خوب بخونه (معمولا یجا مینویسن که اگر این اکانت رو شما ایجاد نکردید، کاری انجام ندید).

سلام
بزرگترین سایت برنامه نویسی و طراحی سایت و گرافیک > به درتون می خوره ....لطفا بازید کنید و نظرتان را در مورد سایت در انجا بگوید ..

*********************************** دیزان وب ************************************