Witam,

Sporo serwisów społecznościowych pozwala na kontrolę prywatności przez
swoich użytkowników. I tak mogą oni np. wyłączyć z profilu publicznego,
widzialność e-maila.

Ale ten sam e-mail, gdy wpiszemy podczas rejestracji, jest pokazany jako
już zajęty i trach! Jeżeli znamy właściciela maila, to już wiemy że jest
zarejestrowany w serwisie.

Mielibyście drodzy grupowicze pomysł, jak załatać taką podatność?

--
Karol Y

do góry

Karol Y <k...@o...pl> wrote:

> Mielibyście drodzy grupowicze pomysł, jak załatać taką podatność?

Wysyłać na tego maila powiadomienie, że była próba rejestracji.

--
Gof
http://www.chmurka.net/

do góry

W dniu 2012-11-14 06:17, Karol Y pisze:
> Witam,
>
> Sporo serwisów społecznościowych pozwala na kontrolę prywatności przez
> swoich użytkowników. I tak mogą oni np. wyłączyć z profilu publicznego,
> widzialność e-maila.

Tak, ale nie jest to powodowane tym, żeby ktoś wiedział/nie wiedział czy
ktoś jest tam zarejestrowany, ale tym, żeby roboty nie zbierały podanych
tam adresów.

> Ale ten sam e-mail, gdy wpiszemy podczas rejestracji, jest pokazany jako
> już zajęty i trach! Jeżeli znamy właściciela maila, to już wiemy że jest
> zarejestrowany w serwisie.

W kontekście powyższego - to nie ma znaczenia. I tak musiałbyś znać
adres mailowy tej osoby. Natomiast sama wiedza czy ktoś jest
zarejestrowany czy nie na danym adresie mailowym nie ma znaczenia, skoro
najczęściej można też w tego typu serwisie wyszukać osobę po innych
kryteriach typu Nazwisko/Imię itp.

> Mielibyście drodzy grupowicze pomysł, jak załatać taką podatność?


IMHO - nie ma takiej potrzeby.

pozdrawiam,
Przemek O.

do góry

Użytkownik "Karol Y" <k...@o...pl> napisał w wiadomości
news:k7v9hn$imv$1@node2.news.atman.pl...
> Witam,
>
> Sporo serwisów społecznościowych pozwala na kontrolę prywatności przez
> swoich użytkowników. I tak mogą oni np. wyłączyć z profilu publicznego,
> widzialność e-maila.
>
> Ale ten sam e-mail, gdy wpiszemy podczas rejestracji, jest pokazany jako
> już zajęty i trach! Jeżeli znamy właściciela maila, to już wiemy że jest
> zarejestrowany w serwisie.
>
> Mielibyście drodzy grupowicze pomysł, jak załatać taką podatność?

Hm. A po kiego czorta w ogóle to łatać? Jak już odkryjesz, że mail
p...@w...pl jest zajęty, to w jaki sposób dojdziesz, że należy do
Donalda Tuska?
No chyba, że odkryjesz, że mail d...@s...pl jest zarejestrowany na
xxx.com. :-)
yamma

do góry

W dniu środa, 14 listopada 2012 05:17:43 UTC użytkownik Karol Y napisał:
> Witam,
>
> Sporo serwisów społecznościowych pozwala na kontrolę prywatności przez
> swoich użytkowników. I tak mogą oni np. wyłączyć z profilu publicznego,
> widzialność e-maila.
>
> Ale ten sam e-mail, gdy wpiszemy podczas rejestracji, jest pokazany jako
> już zajęty i trach! Jeżeli znamy właściciela maila, to już wiemy że jest
> zarejestrowany w serwisie.
>
> Mielibyście drodzy grupowicze pomysł, jak załatać taką podatność?

Banalnie: nie wyswietlac wiadomosci "mail jest zajety". Przy kazdej probie
rejestracji wyswietlac tylko "dziekujemy za zgloszenie checi rejestracji,
szczegoly znajdziesz w mailu wyslanym na podany przez Ciebie adres". I w
mailu pisac albo "potwierdz rejestracje" albo "hmm, chyba juz sie
rejestrowales z tego adresu".

RW

do góry

W dniu środa, 14 listopada 2012 05:04:21 UTC-5 użytkownik Roman W napisał:
> W dniu środa, 14 listopada 2012 05:17:43 UTC użytkownik Karol Y napisał:
> > Witam,
> > Sporo serwisów społecznościowych pozwala na kontrolę prywatności przez
> > swoich użytkowników. I tak mogą oni np. wyłączyć z profilu publicznego,
> > widzialność e-maila.
> > Ale ten sam e-mail, gdy wpiszemy podczas rejestracji, jest pokazany jako
> > już zajęty i trach! Jeżeli znamy właściciela maila, to już wiemy że jest
> > zarejestrowany w serwisie.

> > Mielibyście drodzy grupowicze pomysł, jak załatać taką podatność?

> Banalnie: nie wyswietlac wiadomosci "mail jest zajety". Przy kazdej probie
> rejestracji wyswietlac tylko "dziekujemy za zgloszenie checi rejestracji,
> szczegoly znajdziesz w mailu wyslanym na podany przez Ciebie adres". I w
> mailu pisac albo "potwierdz rejestracje" albo "hmm, chyba juz sie
> rejestrowales z tego adresu".

W koncu, dziekuje! A.W. to samo napisal, ale krocej, a takie rzeczy to
trzeba wyjasniac do skutku.

Po kazdej odpowiedzi typu "a po co" musialem na nowo wciagac spadniete kalesony... ;)
Widac ze podejscie do elementarnego bezpieczenstwa jest jakie
jest, czego skutki sa takie jak w tym poprzednim watku o uzyciu SSLa.

Jeszcze za starych czasow pierwszym podejsciem do serwera bylo sprawdzenie,
czy sendmail ujawnia istniejacych uzytkownikow.

--
Edek

do góry

W dniu 2012-11-14 17:17, e...@g...com pisze:

>> Banalnie: nie wyswietlac wiadomosci "mail jest zajety". Przy kazdej probie
>> rejestracji wyswietlac tylko "dziekujemy za zgloszenie checi rejestracji,
>> szczegoly znajdziesz w mailu wyslanym na podany przez Ciebie adres". I w
>> mailu pisac albo "potwierdz rejestracje" albo "hmm, chyba juz sie
>> rejestrowales z tego adresu".
>
> W koncu, dziekuje! A.W. to samo napisal, ale krocej, a takie rzeczy to
> trzeba wyjasniac do skutku.
>
> Po kazdej odpowiedzi typu "a po co" musialem na nowo wciagac spadniete kalesony...
;)

Widać starej daty jesteś skoro nosisz kalesony (albo ogrzewanie
wyłączyli) :P


> Widac ze podejscie do elementarnego bezpieczenstwa jest jakie
> jest, czego skutki sa takie jak w tym poprzednim watku o uzyciu SSLa.

Nie, ja np. nie zajmuje się pierdołami które nie maja żadnego znaczenia
w kontekście bezpieczeństwa czy ochrony danych. Sam fakt istnienia bądź
nie danego adresu email w bazie nie daje _żadnych_ informacji
podlegających pod ochronę danych ani nie przyczynia się do zmniejszenia
bezpieczeństwa.

Podane rozwiązanie jest upierdliwe i idealnie wpisuje się w kontekst -
"Dlaczego aplikacje internetowe działają inaczej". Dla brak
natychmiastowej walidacji wprowadzanych danych (lub opóźnienie, lub
zmiana kanału informacji) jest mniej akceptowalne niż fakt otrzymania
informacji że adres email jest zajęty.

pozdrawiam,
Przemek O.

do góry

e...@g...com <e...@g...com> napisał(a):
> Po kazdej odpowiedzi typu "a po co" musialem na nowo wciagac spadniete
> kalesony... ;) Widac ze podejscie do elementarnego bezpieczenstwa jest
> jakie jest, czego skutki sa takie jak w tym poprzednim watku o uzyciu
> SSLa.

Ale to nie jest żadne elementarne bezpieczeństwo, tylko zaciemnianie na
siłę, które czasami może trochę coś atakującemu lekko utrudnić.

--
Grzegorz Niemirowski
http://www.grzegorz.net/
OE PowerTool i Outlook Express: http://www.grzegorz.net/oe/
Uptime: 0 days, 2 hours, 3 minutes and 50 seconds

do góry

W dniu środa, 14 listopada 2012 12:14:38 UTC-5 użytkownik Grzegorz Niemirowski
napisał:
> e...@g...com <e...@g...com> napisał(a):
> > Po kazdej odpowiedzi typu "a po co" musialem na nowo wciagac spadniete
> > kalesony... ;) Widac ze podejscie do elementarnego bezpieczenstwa jest
> > jakie jest, czego skutki sa takie jak w tym poprzednim watku o uzyciu
> > SSLa.

> Ale to nie jest żadne elementarne bezpieczeństwo, tylko zaciemnianie na
> siłę, które czasami może trochę coś atakującemu lekko utrudnić.
>
Dostepne dla kazdego sprawdzenie, czy g...@...com jest
zarejestrowany jest w rejestrze strony chorzynahiv.pl byloby fajne?
Co chcialbys "lekko utrudniac"?

PS. Zmyslony przyklad, dosc skrajny, nie chce nikogo urazic
--
Edek

do góry

W dniu 2012-11-14 19:08, e...@g...com pisze:
> W dniu środa, 14 listopada 2012 12:14:38 UTC-5 użytkownik Grzegorz Niemirowski
napisał:
>> e...@g...com<e...@g...com> napisał(a):
>>> Po kazdej odpowiedzi typu "a po co" musialem na nowo wciagac spadniete
>>> kalesony... ;) Widac ze podejscie do elementarnego bezpieczenstwa jest
>>> jakie jest, czego skutki sa takie jak w tym poprzednim watku o uzyciu
>>> SSLa.
>
>> Ale to nie jest żadne elementarne bezpieczeństwo, tylko zaciemnianie na
>> siłę, które czasami może trochę coś atakującemu lekko utrudnić.
>>
> Dostepne dla kazdego sprawdzenie, czy g...@...com jest
> zarejestrowany jest w rejestrze strony chorzynahiv.pl byloby fajne?
> Co chcialbys "lekko utrudniac"?

I co w tym niefajnego? Równie dobrze można przyjąć że jest niefajnie że
można sprawdzić w rejestrach DG czy ktoś ma działalność czy nie. I to
jest dostępne dla każdego. O ewentualnych konsekwencjach nie muszę mówić.

pozdrawiam,
Przemek O.

do góry