securité et changement d'adresse E-mail

Répondre
 
Partager Rechercher
En fait, c'est une suggestion que je fais, inspirée du systeme mis en place sur le jeu Hyperiums et surement autre part.

Pourquoi, sur JOL quand on veut changer l'E-mail d'un compte, il n'y a aucune sécurité ? Imaginons que quelqu'un hack reellement un compte et en profite pour changer mdp et e-mail, le proprietaire du compte se retrouverait gros jean comme devant ( quelle expression ringarde, j'adore )
alors que si il y avait une securité sur l'E-mail, le hackeur ne pourrait, a moins d'avoir aussi le mot de passe du compte e-mail changer l'email.

Ce que je propose en clair, c'est quand on fait un changement d'E-mail dans le profil du compte, qu'il y ai une confirmation a faire sur l'e-mail qui doit etre changé.

Je me rend compte que c'est pas plus clair...

Imaginons que leon@aol.fr decide de passer l'e-mail de son compte jol a leon@free.fr .
Il faudrait apres avoir fait sa demande sur jol, qu'il aille cliquer sur un email de confirmation du changement sur sa boite leon@aol.fr.

C'est plus clair ? j'en doute mais je vais mettre ca sur le compte de l'heure presque tardive.
Lien direct vers le message - Vieux 20/05/2003, 23h03
C'est une idée... mais elle est inutile. Je pense que tu postes cette idée en réaction au problème de hack...

Pour changer son mdp, il faut déjà connaitre l'ancien. Hors même si l'on chope la clef Md5 (le cryptage des mdp), l'on ne connaitra pas ce mdp (le Md5 est en sens unique, impossible sauf par un très très long procédé dit de comparaison pour retrouver le mdp).

L'autre possibilité serait que la personne ait eu ton mdp grace à un trojan sur ton pc... mais là encore envoyer un mail à l'adresse première pour confirmer le changement serait inutile, s'il peut avoir ton pass forum il peut avoir ton pass pour ton e-mail.

Donc je ne vois pas vraiment l'utilité.
Lien direct vers le message - Vieux 20/05/2003, 23h07
sisi c'est tt a fait clair .
C'est le meme principe que pour l'enregistrement sur certains forum (mp par ex) : il faut activer son compte via un lien fourni dans un mail.

Dans ce cas ca evite les faux mail, les comptes crées a la volée (un peu un des gros problemes ici d'ailleur).

Dans ton cas ca pourait etre uen bonne idée de securitée.
Malheureusement, si l'option n'est pas dispo dans VB (aucune id), on ne peux pas l'appliquée :/ (on va pas hacké VB kwa )
Lien direct vers le message - Vieux 20/05/2003, 23h07
Citation :
Imaginons que leon@aol.fr decide de passer l'e-mail de son compte jol a leon@free.fr .
Il faudrait apres avoir fait sa demande sur jol, qu'il aille cliquer sur un email de confirmation du changement sur sa boite leon@aol.fr.
Ca forcerait les utilisateurs à changer d'email avant de savoir que leur futur ancienne adresse email n'est plus valide. Ce qui peut poser problème.
Par exemple jean@aol.fr est desactivé, Jean passe sur Wanadoo et devient jean@wanadoo.fr. Il veut changer son email sur JOL. Impossible car jean@aol.fr n'existe plus.
Ca risquerait vite d'être un cauchemar pour notre support technique, ou pour les utilisateurs dont l'email n'est plus valide.

De plus, un changement d'email ne permet pas grand chose... Rien n'empêche de nouveau de changer l'email par la suite. Le problème serait le changement de mot de passe. Hors pour changer de mot de passe il faut le mot de passe décrypté et non le mot de passe crypté des cookies.
Lien direct vers le message - Vieux 20/05/2003, 23h13
Citation :
Provient du message de Mind
Hors pour changer de mot de passe il faut le mot de passe décrypté et non le mot de passe crypté des cookies.
*avait jamais fait attention*
Dans ce cas tout va bien
Il est en effet comme dis precedement quasi impossible d'inverser le cryptage Md5
Donc vous n'avez rien a craindre pour vos mot de passe reels
Lien direct vers le message - Vieux 20/05/2003, 23h14
Citation :
Provient du message de Mind
De plus, un changement d'email ne permet pas grand chose... Rien n'empêche de nouveau de changer l'email par la suite. Le problème serait le changement de mot de passe. Hors pour changer de mot de passe il faut le mot de passe décrypté et non le mot de passe crypté des cookies.
Sauf qu'avec la fonction «Vous avez oublié votre mot de passe», il est facile de récupérer le mot de passe si on peut changer l'email...
Lien direct vers le message - Vieux 21/05/2003, 00h15
Citation :
Provient du message de Lango Silma
Sauf qu'avec la fonction «Vous avez oublié votre mot de passe», il est facile de récupérer le mot de passe si on peut changer l'email...
Oui tu as raison.
Le mieux serait de demander le mot de passe lors d'un changement d'email. C'est une suggestion pour www.vbulletin.com
Lien direct vers le message - Vieux 21/05/2003, 00h18
Citation :
Provient du message de Lango Silma
Sauf qu'avec la fonction «Vous avez oublié votre mot de passe», il est facile de récupérer le mot de passe si on peut changer l'email...
Et moi qui le faisait discret
Arf, je me doutais que quelqu'un allait le sortir... mais je ne m'attendais pas à toi Lango .
Lien direct vers le message - Vieux 21/05/2003, 00h25
[Message effacé à la demande de l'auteur]
[Message effacé à la demande de l'auteur]
Lien direct vers le message - Vieux 21/05/2003, 01h05
Citation :
Provient du message de Loekit
Et moi qui le faisait discret
Arf, je me doutais que quelqu'un allait le sortir... mais je ne m'attendais pas à toi Lango .
ben j'ai hésité à le poster...
mais bon, quelqu'un qui est capable de modifier l'adresse mail dans le profil d'un utilisateur n'aura pas besoin de moi pour y penser de toutes façons...

J'espère que vbulletin acceptera la suggestion.
Lien direct vers le message - Vieux 21/05/2003, 09h13
[Message effacé à la demande de l'auteur]
[Message effacé à la demande de l'auteur]
Lien direct vers le message - Vieux 21/05/2003, 11h11
Répondre

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés
Thème visuel : Fuseau horaire GMT +2. Il est actuellement 22h55.
^^ Haut de page ^^