|
|
|
восстановление пароля на сайте
|
|||
|---|---|---|---|
|
#18+
доброе время суток. Есть такой порядок восстановления пароля: пользователь вводит свое мыло, ему на почту приходит ссылка, в параметре которой хитрый хеш. Пользователь тыкает в ссылку, открывается форма для ввода нового пароля. 1. Стоит ли (хорошо ли, насколько безопасно) упоминать хеш как параметр ссылки или пусть пользователь сам вставляет его в форму помимо нового пароля? 2. Стоит ли вводить время жизни хеша? Что плохого может произойти если позволить пользователю поменять пароль когда угодно, хоть через N лет? мелочи, не относящаяся к делу, но возможно будут вопросы: - будем считать, что алгоритм восстановления пароля не изменится никогда. - если при запросе восстановления, было обнаружено, что ссылка уже послана, она удаляется и восстановление возможно только по новой ссылке ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.03.2012, 18:10 |
|
||
|
восстановление пароля на сайте
|
|||
|---|---|---|---|
|
#18+
автор1. Стоит ли (хорошо ли, насколько безопасно) упоминать хеш как параметр ссылки или пусть пользователь сам вставляет его в форму помимо нового пароля? Что опасного в передаче хеша в ссылке? Его могут перехватить. Но он то одноразовый, смысл? Разве что, если его перехватить и при этом не дать этому запросу достучаться до твоего сервера. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.03.2012, 18:35 |
|
||
|
|
start [/forum/topic.php?fid=16&fpage=70&tid=1342338]: |
0ms |
get settings: |
7ms |
get forum list: |
10ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
54ms |
get topic data: |
6ms |
get forum data: |
2ms |
get page messages: |
22ms |
get tp. blocked users: |
1ms |
| others: | 230ms |
| total: | 338ms |
| 0 / 0 |
