大家好，发现个问题： 我一个星期以前重置了我zeuux账号的密码（发了三次重置
要求），但有两个链接没有用，今天无意中打开邮箱，居然发现一个星期以前的链
接还可以用来重置密码，不知这个会不会是个安全问题？

Regards
Kermit 

Kermit Mei 写道:
> 大家好，发现个问题： 我一个星期以前重置了我zeuux账号的密码（发了三次重置
> 要求），但有两个链接没有用，今天无意中打开邮箱，居然发现一个星期以前的链
> 接还可以用来重置密码，不知这个会不会是个安全问题？
>   
0，首先只有当用户的电子邮件经过验证（即：点击发自哲思社区的邮件地址验证 
信中的验证连接），哲思社区才认为这个邮箱确实是这个ID的，然后将其帮定起来；

1，用户每点击一次“重置密码“，哲思社区将会生成一封验证信，并发送到该ID的 
验证邮件，即：点击多次、产生多个邀请信。从产品设计的角度看，网站无法预测 
用户将点击哪封邀请信，因此，不可能设计成让最后一封邀请信有效，之前发送的 
失效，很显然。

以上！

多谢反馈，即时交流！ ：）
> Regards
> Kermit 
>
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe在zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org

On Thu, 2009-08-06 at 12:12 +0800, Bill Xu wrote:
> 
> Kermit Mei 写道:
> > 大家好，发现个问题： 我一个星期以前重置了我zeuux账号的密码（发了三次重置
> > 要求），但有两个链接没有用，今天无意中打开邮箱，居然发现一个星期以前的链
> > 接还可以用来重置密码，不知这个会不会是个安全问题？
> >   
> 0，首先只有当用户的电子邮件经过验证（即：点击发自哲思社区的邮件地址验证 
> 信中的验证连接），哲思社区才认为这个邮箱确实是这个ID的，然后将其帮定起来；
> 
> 1，用户每点击一次“重置密码“，哲思社区将会生成一封验证信，并发送到该ID的 
> 验证邮件，即：点击多次、产生多个邀请信。从产品设计的角度看，网站无法预测 
> 用户将点击哪封邀请信，因此，不可能设计成让最后一封邀请信有效，之前发送的 
> 失效，很显然。
> 
> 以上！
> 
> 多谢反馈，即时交流！ ：）

抱歉，可能我没有描述清楚我的问题： 我的意思是是否需要给所有的验证邮件都
设定一个时限， 让每个链接都从它发送时刻算起，在24或48小时内有效？

呵呵，可能是我的思维在这方面有点固化，我习惯了别的论坛或验证方式的那种时
限，比如“该链接在24小时内有效”之类的提示，所以今天发现一个星期前的Link现
在还可以用，就有点奇怪。

Thanks to replay:)

it's a problem
很久以前的淘宝也有同样的问题。

从安全角度考虑，验证链接（或重置密码的链接）应该是一次性的，并且是有期限的。

技术上并不难做到：
1. 如果已经为一个帐号产生过验证链接，则重复发送已有的链接，而不是生成一个新的。当然也可以生成一个新的，而让之前的作废。
2. 当使用了验证链接完成了注册验证或者重置密码后，则该链接失效，不能被再次使用。
3. 验证链接有expire time，通常可设计为24小时或72小时，也有长达一周的。

2009/8/6 Bill Xu <bill在zeuux.org>

>
>
> Kermit Mei 写道:
>
>> 大家好，发现个问题： 我一个星期以前重置了我zeuux账号的密码（发了三次重置
>> 要求），但有两个链接没有用，今天无意中打开邮箱，居然发现一个星期以前的链
>> 接还可以用来重置密码，不知这个会不会是个安全问题？
>>
>>
> 0，首先只有当用户的电子邮件经过验证（即：点击发自哲思社区的邮件地址验证 信中的验证连接），哲思社区才认为这个邮箱确实是这个ID的，然后将其帮定起来；
>
> 1，用户每点击一次“重置密码“，哲思社区将会生成一封验证信，并发送到该ID的 验证邮件，即：点击多次、产生多个邀请信。从产品设计的角度看，网站无法预测
> 用户将点击哪封邀请信，因此，不可能设计成让最后一封邀请信有效，之前发送的 失效，很显然。
>
> 以上！
>
> 多谢反馈，即时交流！ ：）
>
>  Regards
>> Kermit
>> _______________________________________________
>> zeuux-universe mailing list
>> zeuux-universe在zeuux.org
>> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>>
>> ZEUUX Project - Free Software, Free Society!
>> http://www.zeuux.org
>>
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe在zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org
>
-------------- 下一部分 --------------
一个HTML附件被移除...
URL: <http://www.zeuux.org/pipermail/zeuux-universe/attachments/20090806/bca75d35/attachment.html>

值得指出的一点是：尽管帐号安全是系于邮箱安全性的，但是邮箱安全性不等于邮件的安全性。如果邮件的内容被泄露，几个月甚至几年前的验证链接就可以被利用。攻击者并不需要邮箱的控制权，甚至不需要知道确切的邮箱地址。而且该邮箱可能已经被弃用了――比如你原来使用的是公司邮箱，现在跳槽了，并且已经把帐号的关联邮箱改为了你的新邮箱。但是黑客侵入了原公司的邮件服务器得到了你过去邮件的备份。

2009/8/6 John Hax <johnhax在gmail.com>

> it's a problem
> 很久以前的淘宝也有同样的问题。
>
> 从安全角度考虑，验证链接（或重置密码的链接）应该是一次性的，并且是有期限的。
>
> 技术上并不难做到：
> 1. 如果已经为一个帐号产生过验证链接，则重复发送已有的链接，而不是生成一个新的。当然也可以生成一个新的，而让之前的作废。
> 2. 当使用了验证链接完成了注册验证或者重置密码后，则该链接失效，不能被再次使用。
> 3. 验证链接有expire time，通常可设计为24小时或72小时，也有长达一周的。
>
> 2009/8/6 Bill Xu <bill在zeuux.org>
>
>
>>
>> Kermit Mei 写道:
>>
>>> 大家好，发现个问题： 我一个星期以前重置了我zeuux账号的密码（发了三次重置
>>> 要求），但有两个链接没有用，今天无意中打开邮箱，居然发现一个星期以前的链
>>> 接还可以用来重置密码，不知这个会不会是个安全问题？
>>>
>>>
>> 0，首先只有当用户的电子邮件经过验证（即：点击发自哲思社区的邮件地址验证
>> 信中的验证连接），哲思社区才认为这个邮箱确实是这个ID的，然后将其帮定起来；
>>
>> 1，用户每点击一次“重置密码“，哲思社区将会生成一封验证信，并发送到该ID的
>> 验证邮件，即：点击多次、产生多个邀请信。从产品设计的角度看，网站无法预测 用户将点击哪封邀请信，因此，不可能设计成让最后一封邀请信有效，之前发送的
>> 失效，很显然。
>>
>> 以上！
>>
>> 多谢反馈，即时交流！ ：）
>>
>>  Regards
>>> Kermit
>>> _______________________________________________
>>> zeuux-universe mailing list
>>> zeuux-universe在zeuux.org
>>> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>>>
>>> ZEUUX Project - Free Software, Free Society!
>>> http://www.zeuux.org
>>>
>> _______________________________________________
>> zeuux-universe mailing list
>> zeuux-universe在zeuux.org
>> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>>
>> ZEUUX Project - Free Software, Free Society!
>> http://www.zeuux.org
>>
>
>
-------------- 下一部分 --------------
一个HTML附件被移除...
URL: <http://www.zeuux.org/pipermail/zeuux-universe/attachments/20090806/d6c14c70/attachment.html>

感谢大家的反馈，这确实不是一个技术问题，而是产品的可用性问题。

如果设定一个过期时间，大家觉得多长时间合适？

John Hax 写道:
> it's a problem
> 很久以前的淘宝也有同样的问题。
>
> 从安全角度考虑，验证链接（或重置密码的链接）应该是一次性的，并且是有期 
> 限的。
>
> 技术上并不难做到：
> 1. 如果已经为一个帐号产生过验证链接，则重复发送已有的链接，而不是生成 
> 一个新的。当然也可以生成一个新的，而让之前的作废。
> 2. 当使用了验证链接完成了注册验证或者重置密码后，则该链接失效，不能被 
> 再次使用。
> 3. 验证链接有expire time，通常可设计为24小时或72小时，也有长达一周的。
>
> 2009/8/6 Bill Xu <bill在zeuux.org bill在zeuux.org>>
>
>
>
>     Kermit Mei 写道:
>
>         大家好，发现个问题： 我一个星期以前重置了我zeuux账号的密码（发
>         了三次重置
>         要求），但有两个链接没有用，今天无意中打开邮箱，居然发现一个星
>         期以前的链
>         接还可以用来重置密码，不知这个会不会是个安全问题？
>          
>
>     0，首先只有当用户的电子邮件经过验证（即：点击发自哲思社区的邮件地
>     址验证信中的验证连接），哲思社区才认为这个邮箱确实是这个ID的，然后
>     将其帮定起来；
>
>     1，用户每点击一次“重置密码“，哲思社区将会生成一封验证信，并发送到
>     该ID的验证邮件，即：点击多次、产生多个邀请信。从产品设计的角度看，
>     网站无法预测用户将点击哪封邀请信，因此，不可能设计成让最后一封邀请
>     信有效，之前发送的 失效，很显然。
>
>     以上！
>
>     多谢反馈，即时交流！ ：）
>
>         Regards
>         Kermit
>         _______________________________________________
>         zeuux-universe mailing list
>         zeuux-universe在zeuux.org zeuux-universe在zeuux.org>
>         http://www.zeuux.org/mailman/listinfo/zeuux-universe
>
>         ZEUUX Project - Free Software, Free Society!
>         http://www.zeuux.org
>
>     _______________________________________________
>     zeuux-universe mailing list
>     zeuux-universe在zeuux.org zeuux-universe在zeuux.org>
>     http://www.zeuux.org/mailman/listinfo/zeuux-universe
>
>     ZEUUX Project - Free Software, Free Society!
>     http://www.zeuux.org
>
>
-------------- 下一部分 --------------
一个HTML附件被移除...
URL: <http://www.zeuux.org/pipermail/zeuux-universe/attachments/20090806/068e803c/attachment-0001.html>

>
> 抱歉，可能我没有描述清楚我的问题： 我的意思是是否需要给所有的验证邮件都
> 设定一个时限， 让每个链接都从它发送时刻算起，在24或48小时内有效？
>
> 呵呵，可能是我的思维在这方面有点固化，我习惯了别的论坛或验证方式的那种时
> 限，比如“该链接在24小时内有效”之类的提示，所以今天发现一个星期前的Link现
> 在还可以用，就有点奇怪。
>   
哲思社区也是刚刚发布，不同的发展阶段，在一些细节的使用方式上需要针对性调 
整，也是一个动态的过程。



>   
-------------- 下一部分 --------------
一个HTML附件被移除...
URL: <http://www.zeuux.org/pipermail/zeuux-universe/attachments/20090806/43d41621/attachment.html>

Bill Xu wrote:
> 感谢大家的反馈，这确实不是一个技术问题，而是产品的可用性问题。
>
> 如果设定一个过期时间，大家觉得多长时间合适？
一周半。我有的邮箱每周才看一次，只在周末，因为是涉及业余话题的邮箱。如果
我当时注册没有收到通知信，就会跳过去，下周再说。

说实在的此问题对于社区建设不是当务之急，虽然也值得处理。主要是吸引大家发
博文。安全风险在用户变多后会跟着变得重要，一开始重要是使社群成员“变多”。

> 一周半。我有的邮箱每周才看一次，只在周末，因为是涉及业余话题的邮箱。如果
> 我当时注册没有收到通知信，就会跳过去，下周再说。
>
> 说实在的此问题对于社区建设不是当务之急，虽然也值得处理。主要是吸引大家发
> 博文。安全风险在用户变多后会跟着变得重要，一开始重要是使社群成员“变多”。
>   
非常同意。欢迎大家到哲思社区写博客，互动！