Re: Weryfikacja e-maila, a bezpieczeństwo - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.comp.programming › Weryfikacja e-maila, a bezpieczeństwo › Re: Weryfikacja e-maila, a bezpieczeństwo

Data: 2012-11-15 01:43:38
Temat: Re: Weryfikacja e-maila, a bezpieczeństwo
Od: e...@g...com szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]
W dniu środa, 14 listopada 2012 17:19:46 UTC-5 użytkownik IDKrzych napisał:
> W dniu 2012-11-14 19:46, e...@g...com pisze:
> > Regula jest taka, ze udostepnia sie tyle co potrzeba i nic wiecej, bo kazda
>
> > dodatkowa informacja zmniejsza bezpieczenstwo. Jedynie czesc zabezpieczen
>
> > zaklada publicznosc czesci informacji, ale to jest chyba za trudny temat. Wiec
>
> > jak mozna przy rejestracji nie pisac "email jest zajety" to sie tego nie robi,
>
> > to prawie nic nie kosztuje.
>
>
>
> ..ale czasami może kosztować, i to nawet sporo.
>
> Bo generalnie masz rację, tylko trzeba znaleźć równowagę.
>
>
>
> Jeżeli np. mówimy o serwisie który ma ściągnąć setki nowych klientów, a
>
> na przywitanie dostają takie nieczytelne zachowanie z logowaniem
>
> (niepewność czy coś źle wpisałem? .. może chwilowo nie działa? ... ale o
>
> co chodzi? -> a "kij im w ucho") to już masz konkretne straty.

To zalezy od wielu czynnikow, w tym docelowej grupy i jej obeznania
z internetem i poslugiwaniu sie komputerem.

> Sam jakiś czas temu chciałem zrobić zakupy w nowym e-sklepiku.
>
> Zakładam konto -- wypełniam co trzeba, klikam rejestruj ... i jestem na
>
> stronie startowej ...hmm (żadnych komunikatów) sprawdzam maila -> nic.
>
> To próbuję się zalogować na nowe konto ... klikam loguj .... i jestem na
>
> stronie startowej dalej nie zalogowany (żadnych komunikatów)
>
> Już mnie więcej nie widzieli i kasy nie zobaczą ;)

A czy ja mowie ze trzeba sknocic?

> Wydaje mi się, że próbujesz podobne przyjemności zafundować u siebie.
>
> pozdrawiam

Po pierwsze straszysz bardzo, po drugie nie "u mnie". Siejesz straszliwy
FUD, takie podstawowe bezpieczenstwo wcale nie kloci sie z uzywalnoscia.
Tzn. kloci sie wtedy, gdy ktos przegnie w jakis sposob, ale to
niczego nie dowodzi tak ogolnie.

Na podstawowym poziomie najlatwiej byloby sie logowac w ogole bez hasla,
jednak wiekszosc hasla akceptuje. Mi tak szczerze wlasnie hasla najbardziej
przeszkadzaja. No bo trzeba albo uzywac tego samego wszedzie, no a wtedy
calkiem slusznie niektorzy twierdza, ze sie ryzykuje. Albo trzeba pamietac
tysiac hasel, albo nosic je gdzies zapisane i szukac - po cholere. Albo
zainwestowac w jakies OpenID czy inne OAuth delegujace uprawnienia
z jednego portalu do drugiego, ale to tez jest niezbyt, bo nagle trzeci
portal po kisielu dostaje maile znajomych i rozsyla spam.

Najchetniej mialbym smartcard przy sobie akceptowany (prawie) wszedzie,
no ale jak widze rozwoj polskiego podpisu elektronicznego, ba, nawet
podejsciu tej polskiej firmy do wystawiania certyfikatow stronom
i serwerom to nie mam zadnej ale to zadnej nadzei na pozbycie sie hasel,
prawdopodobnie do samej emerytury.

--
Edek