Форум "Печных Дел Мастера" :: Просмотр темы

Взлом пароля
=>Печать

Форум "Печных Дел Мастера" -> Предложения и замечания

#1: Автор: latif888, Регион: Ростов-на-Дону, ЮФО

Добавлено: Сб 29 Декабрь 2012, 11:34
—

Удаленный пользователь писал(а):

При регистрации, вам приходит письмо, в котором указан регистрационный пароль. Этот пароль виден в том числе и администратору сайта, как бы вы его не шифровали и может быть использован как для просмотра ваше переписки, так и для манипуляций с вашим акаунтом.
Могу это доказать на примере.
Сегодня утром я зарегистрировался на форуме под ником "Ник нэйм", создал тему. Ее конечно снесли. Но при попытке авторизоваться, получил ответ о неверности пароля. Пароль был изменен, а ведь отсылается он в незашифрованом виде с яндексевского ящика.
Так что будьте внимательны.

Интересно было бы почитать комментарий Администратора.

#2: Re: Взлом пароля Автор: vladgri, Регион: г.Павлодар

Добавлено: Сб 29 Декабрь 2012, 11:48
—

Кирилка Нулевой писал(а):

Пароль был изменен

Изменять вовсе не обязательно, достаточно ограничить время действия. Или просто заблокировать пользователя.

#3: Автор: Евгений Колчин, Регион: Москва

Добавлено: Сб 29 Декабрь 2012, 12:15
—
Администратор сайта, и не только этого, пароль не видит и спрашивать его у вас не будет. Он может вам его изменить, в случае его утери. Однако такое практикуется крайне редко, и пользователь использует функцию восстановления пароля на свой электронный ящик. Процедура вполне понятна и проводится легко. Так же и сам пользователь может в профиле менять пароль.

Все пароли хранятся в базе в зашифрованном виде и даже зайдя в базу данных его не увидим явно. При регистрации учетные данные отправляются с хостинга сайта, но адрес отправителя вводится, как правило, администратора. В письме пользователь видит пароль в не зашифрованном виде. Больше его никто не видит и письмо в базе не сохраняется, поскольку формируется автоматом.

На форумах принято блокировать пользователя, нарушающего условия участия в обсуждениях - забанить. Вот такая участь и постигла пользователя. В этом случае есть несколько способов у Администратора или Модератора (с функцией администрирования) ограничить доступ к форуму. Однако, в любом случае пользователь будет видеть сообщение о неправильности имени пользователя и пароля.

Одним из рычагов обуздания спамеров и "живых роботов", рассылающих рекламу по форумам есть отсылка электронных адресов в общую базу данных, из которой администраторы сторонних ресурсов переносят "черный список" их к себе.

#4: Автор: Евгений Колчин, Регион: Москва

Добавлено: Сб 29 Декабрь 2012, 20:35
—

Цитата:

Если сторонняя программа отправляет от Яндекс почты письмо, то это письмо, при определенных настройках, в том самом неизменном виде может оказаться в папке "Отправленные" и быть доступно к прочтению владельцем этого ящика. Таким образом можно знакомиться с личной перепиской пользователей. Тем более пользователь не может узнать когда он сам же заходил на форум, эта функция на данном форуме отключена.

Отправка писем ведет скрипт/код форума, с подстановкой адреса администратора. В теле письма есть айпи отправителя. Сравните его с адресом форума или Яндекс почты и все вам станет ясно. Айпи хостинга, там где "живет" форум.

Код:

Received: from [194.85.95.145] (port=61731 helo=web1125.nic.ru)

by web-relay.nicmail.ru with esmtp (Exim 4.80.1)

Администратору, а тем более с доступом к базе данных, таких сложностей не надо.
Форум работает на стандартном движке phpbb_2.20 . поэтому, желающий может изучить код движка.
Узнать кто и когда из пользователей был последний раз на форуме можно, такой мод установлен у администратора. Вот выводить его для пользователя -это прибегать к услугам программиста ... хлопоты ... деньги.
Просмотреть содержание базы переписки в ЛС может администратор ресурса с доступом к БД и только тех, что сохранены в данный момент. Удаленные не сохраняются.
Смотреть переписки попросту то не нужно и не представляет интереса. Если есть сомнения, ведите конфиденциальные переговоры через почту, скайп или телефон.

Интереса взлома пароля пользователя никакого нет, как для администратора этого ресурса, так и администраторов других подобных порталов. Никогда не ведитесь на просьбы от модераторов и администраторов форумов выслать вам пароль. Здесь уже нужно задуматься о полномочиях вопрошающего.

И все это справедливо не только для данного ресурса.

Форум "Печных Дел Мастера" -> Предложения и замечания

output generated using printer-friendly topic mod. Часовой пояс: GMT + 3

Страница 1 из 1