zeuux-universe  - 讨论区

标题:[zeuux-universe] Zeuux的密码重置没有时限?

2009年08月06日 星期四 10:47

Kermit Mei kermit.mei在gmail.com
星期四 八月 6 10:47:47 CST 2009

大家好,发现个问题: 我一个星期以前重置了我zeuux账号的密码(发了三次重置
要求),但有两个链接没有用,今天无意中打开邮箱,居然发现一个星期以前的链
接还可以用来重置密码,不知这个会不会是个安全问题?

Regards
Kermit 


[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年08月06日 星期四 12:12

Bill Xu bill在zeuux.org
星期四 八月 6 12:12:57 CST 2009


Kermit Mei 写道:
> 大家好,发现个问题: 我一个星期以前重置了我zeuux账号的密码(发了三次重置
> 要求),但有两个链接没有用,今天无意中打开邮箱,居然发现一个星期以前的链
> 接还可以用来重置密码,不知这个会不会是个安全问题?
>   
0,首先只有当用户的电子邮件经过验证(即:点击发自哲思社区的邮件地址验证 
信中的验证连接),哲思社区才认为这个邮箱确实是这个ID的,然后将其帮定起来;

1,用户每点击一次“重置密码“,哲思社区将会生成一封验证信,并发送到该ID的 
验证邮件,即:点击多次、产生多个邀请信。从产品设计的角度看,网站无法预测 
用户将点击哪封邀请信,因此,不可能设计成让最后一封邀请信有效,之前发送的 
失效,很显然。

以上!

多谢反馈,即时交流! :)
> Regards
> Kermit 
>
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe在zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年08月06日 星期四 13:52

Kermit Mei kermit.mei在gmail.com
星期四 八月 6 13:52:59 CST 2009

On Thu, 2009-08-06 at 12:12 +0800, Bill Xu wrote:
> 
> Kermit Mei 写道:
> > 大家好,发现个问题: 我一个星期以前重置了我zeuux账号的密码(发了三次重置
> > 要求),但有两个链接没有用,今天无意中打开邮箱,居然发现一个星期以前的链
> > 接还可以用来重置密码,不知这个会不会是个安全问题?
> >   
> 0,首先只有当用户的电子邮件经过验证(即:点击发自哲思社区的邮件地址验证 
> 信中的验证连接),哲思社区才认为这个邮箱确实是这个ID的,然后将其帮定起来;
> 
> 1,用户每点击一次“重置密码“,哲思社区将会生成一封验证信,并发送到该ID的 
> 验证邮件,即:点击多次、产生多个邀请信。从产品设计的角度看,网站无法预测 
> 用户将点击哪封邀请信,因此,不可能设计成让最后一封邀请信有效,之前发送的 
> 失效,很显然。
> 
> 以上!
> 
> 多谢反馈,即时交流! :)

抱歉,可能我没有描述清楚我的问题: 我的意思是是否需要给所有的验证邮件都
设定一个时限, 让每个链接都从它发送时刻算起,在24或48小时内有效?

呵呵,可能是我的思维在这方面有点固化,我习惯了别的论坛或验证方式的那种时
限,比如“该链接在24小时内有效”之类的提示,所以今天发现一个星期前的Link现
在还可以用,就有点奇怪。

Thanks to replay:)



[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年08月06日 星期四 13:53

John Hax johnhax在gmail.com
星期四 八月 6 13:53:33 CST 2009

it's a problem
很久以前的淘宝也有同样的问题。

从安全角度考虑,验证链接(或重置密码的链接)应该是一次性的,并且是有期限的。

技术上并不难做到:
1. 如果已经为一个帐号产生过验证链接,则重复发送已有的链接,而不是生成一个新的。当然也可以生成一个新的,而让之前的作废。
2. 当使用了验证链接完成了注册验证或者重置密码后,则该链接失效,不能被再次使用。
3. 验证链接有expire time,通常可设计为24小时或72小时,也有长达一周的。

2009/8/6 Bill Xu <bill在zeuux.org>

>
>
> Kermit Mei 写道:
>
>> 大家好,发现个问题: 我一个星期以前重置了我zeuux账号的密码(发了三次重置
>> 要求),但有两个链接没有用,今天无意中打开邮箱,居然发现一个星期以前的链
>> 接还可以用来重置密码,不知这个会不会是个安全问题?
>>
>>
> 0,首先只有当用户的电子邮件经过验证(即:点击发自哲思社区的邮件地址验证 信中的验证连接),哲思社区才认为这个邮箱确实是这个ID的,然后将其帮定起来;
>
> 1,用户每点击一次“重置密码“,哲思社区将会生成一封验证信,并发送到该ID的 验证邮件,即:点击多次、产生多个邀请信。从产品设计的角度看,网站无法预测
> 用户将点击哪封邀请信,因此,不可能设计成让最后一封邀请信有效,之前发送的 失效,很显然。
>
> 以上!
>
> 多谢反馈,即时交流! :)
>
>  Regards
>> Kermit
>> _______________________________________________
>> zeuux-universe mailing list
>> zeuux-universe在zeuux.org
>> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>>
>> ZEUUX Project - Free Software, Free Society!
>> http://www.zeuux.org
>>
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe在zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org
>
-------------- 下一部分 --------------
一个HTML附件被移除...
URL: <http://www.zeuux.org/pipermail/zeuux-universe/attachments/20090806/bca75d35/attachment.html>

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年08月06日 星期四 14:02

John Hax johnhax在gmail.com
星期四 八月 6 14:02:09 CST 2009

值得指出的一点是:尽管帐号安全是系于邮箱安全性的,但是邮箱安全性不等于邮件的安全性。如果邮件的内容被泄露,几个月甚至几年前的验证链接就可以被利用。攻击者并不需要邮箱的控制权,甚至不需要知道确切的邮箱地址。而且该邮箱可能已经被弃用了――比如你原来使用的是公司邮箱,现在跳槽了,并且已经把帐号的关联邮箱改为了你的新邮箱。但是黑客侵入了原公司的邮件服务器得到了你过去邮件的备份。

2009/8/6 John Hax <johnhax在gmail.com>

> it's a problem
> 很久以前的淘宝也有同样的问题。
>
> 从安全角度考虑,验证链接(或重置密码的链接)应该是一次性的,并且是有期限的。
>
> 技术上并不难做到:
> 1. 如果已经为一个帐号产生过验证链接,则重复发送已有的链接,而不是生成一个新的。当然也可以生成一个新的,而让之前的作废。
> 2. 当使用了验证链接完成了注册验证或者重置密码后,则该链接失效,不能被再次使用。
> 3. 验证链接有expire time,通常可设计为24小时或72小时,也有长达一周的。
>
> 2009/8/6 Bill Xu <bill在zeuux.org>
>
>
>>
>> Kermit Mei 写道:
>>
>>> 大家好,发现个问题: 我一个星期以前重置了我zeuux账号的密码(发了三次重置
>>> 要求),但有两个链接没有用,今天无意中打开邮箱,居然发现一个星期以前的链
>>> 接还可以用来重置密码,不知这个会不会是个安全问题?
>>>
>>>
>> 0,首先只有当用户的电子邮件经过验证(即:点击发自哲思社区的邮件地址验证
>> 信中的验证连接),哲思社区才认为这个邮箱确实是这个ID的,然后将其帮定起来;
>>
>> 1,用户每点击一次“重置密码“,哲思社区将会生成一封验证信,并发送到该ID的
>> 验证邮件,即:点击多次、产生多个邀请信。从产品设计的角度看,网站无法预测 用户将点击哪封邀请信,因此,不可能设计成让最后一封邀请信有效,之前发送的
>> 失效,很显然。
>>
>> 以上!
>>
>> 多谢反馈,即时交流! :)
>>
>>  Regards
>>> Kermit
>>> _______________________________________________
>>> zeuux-universe mailing list
>>> zeuux-universe在zeuux.org
>>> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>>>
>>> ZEUUX Project - Free Software, Free Society!
>>> http://www.zeuux.org
>>>
>> _______________________________________________
>> zeuux-universe mailing list
>> zeuux-universe在zeuux.org
>> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>>
>> ZEUUX Project - Free Software, Free Society!
>> http://www.zeuux.org
>>
>
>
-------------- 下一部分 --------------
一个HTML附件被移除...
URL: <http://www.zeuux.org/pipermail/zeuux-universe/attachments/20090806/d6c14c70/attachment.html>

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年08月06日 星期四 16:29

Bill Xu bill在zeuux.org
星期四 八月 6 16:29:27 CST 2009

感谢大家的反馈,这确实不是一个技术问题,而是产品的可用性问题。

如果设定一个过期时间,大家觉得多长时间合适?

John Hax 写道:
> it's a problem
> 很久以前的淘宝也有同样的问题。
>
> 从安全角度考虑,验证链接(或重置密码的链接)应该是一次性的,并且是有期 
> 限的。
>
> 技术上并不难做到:
> 1. 如果已经为一个帐号产生过验证链接,则重复发送已有的链接,而不是生成 
> 一个新的。当然也可以生成一个新的,而让之前的作废。
> 2. 当使用了验证链接完成了注册验证或者重置密码后,则该链接失效,不能被 
> 再次使用。
> 3. 验证链接有expire time,通常可设计为24小时或72小时,也有长达一周的。
>
> 2009/8/6 Bill Xu <bill在zeuux.org bill在zeuux.org>>
>
>
>
>     Kermit Mei 写道:
>
>         大家好,发现个问题: 我一个星期以前重置了我zeuux账号的密码(发
>         了三次重置
>         要求),但有两个链接没有用,今天无意中打开邮箱,居然发现一个星
>         期以前的链
>         接还可以用来重置密码,不知这个会不会是个安全问题?
>          
>
>     0,首先只有当用户的电子邮件经过验证(即:点击发自哲思社区的邮件地
>     址验证信中的验证连接),哲思社区才认为这个邮箱确实是这个ID的,然后
>     将其帮定起来;
>
>     1,用户每点击一次“重置密码“,哲思社区将会生成一封验证信,并发送到
>     该ID的验证邮件,即:点击多次、产生多个邀请信。从产品设计的角度看,
>     网站无法预测用户将点击哪封邀请信,因此,不可能设计成让最后一封邀请
>     信有效,之前发送的 失效,很显然。
>
>     以上!
>
>     多谢反馈,即时交流! :)
>
>         Regards
>         Kermit
>         _______________________________________________
>         zeuux-universe mailing list
>         zeuux-universe在zeuux.org zeuux-universe在zeuux.org>
>         http://www.zeuux.org/mailman/listinfo/zeuux-universe
>
>         ZEUUX Project - Free Software, Free Society!
>         http://www.zeuux.org
>
>     _______________________________________________
>     zeuux-universe mailing list
>     zeuux-universe在zeuux.org zeuux-universe在zeuux.org>
>     http://www.zeuux.org/mailman/listinfo/zeuux-universe
>
>     ZEUUX Project - Free Software, Free Society!
>     http://www.zeuux.org
>
>
-------------- 下一部分 --------------
一个HTML附件被移除...
URL: <http://www.zeuux.org/pipermail/zeuux-universe/attachments/20090806/068e803c/attachment-0001.html>

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年08月06日 星期四 16:32

Bill Xu bill在zeuux.org
星期四 八月 6 16:32:53 CST 2009

>
> 抱歉,可能我没有描述清楚我的问题: 我的意思是是否需要给所有的验证邮件都
> 设定一个时限, 让每个链接都从它发送时刻算起,在24或48小时内有效?
>
> 呵呵,可能是我的思维在这方面有点固化,我习惯了别的论坛或验证方式的那种时
> 限,比如“该链接在24小时内有效”之类的提示,所以今天发现一个星期前的Link现
> 在还可以用,就有点奇怪。
>   
哲思社区也是刚刚发布,不同的发展阶段,在一些细节的使用方式上需要针对性调 
整,也是一个动态的过程。



>   
-------------- 下一部分 --------------
一个HTML附件被移除...
URL: <http://www.zeuux.org/pipermail/zeuux-universe/attachments/20090806/43d41621/attachment.html>

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年08月06日 星期四 17:01

Zhang Weiwu zhangweiwu在realss.com
星期四 八月 6 17:01:24 CST 2009

Bill Xu wrote:
> 感谢大家的反馈,这确实不是一个技术问题,而是产品的可用性问题。
>
> 如果设定一个过期时间,大家觉得多长时间合适?
一周半。我有的邮箱每周才看一次,只在周末,因为是涉及业余话题的邮箱。如果
我当时注册没有收到通知信,就会跳过去,下周再说。

说实在的此问题对于社区建设不是当务之急,虽然也值得处理。主要是吸引大家发
博文。安全风险在用户变多后会跟着变得重要,一开始重要是使社群成员“变多”。

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年08月08日 星期六 10:54

Bill Xu bill在zeuux.org
星期六 八月 8 10:54:26 CST 2009

> 一周半。我有的邮箱每周才看一次,只在周末,因为是涉及业余话题的邮箱。如果
> 我当时注册没有收到通知信,就会跳过去,下周再说。
>
> 说实在的此问题对于社区建设不是当务之急,虽然也值得处理。主要是吸引大家发
> 博文。安全风险在用户变多后会跟着变得重要,一开始重要是使社群成员“变多”。
>   
非常同意。欢迎大家到哲思社区写博客,互动!

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

如下红色区域有误,请重新填写。

    你的回复:

    请 登录 后回复。还没有在Zeuux哲思注册吗?现在 注册 !

    Zeuux © 2024

    京ICP备05028076号