User 5140739
User 5140739
Nació y murió en el foro
Nació y murió en el foro

 DEbido a que el otro tema se cerró y no puedo responder, consideré oportuno abrir este.

100x100net:

A raiz de un hilo que ha abierto Astrall esta mañana y que se ha desviado
Cita:


Hola camaradas, bueno veo que se ha bloqueado por el momento el cambio de las pass y los meils por motivos de seguridad y por los reiterados bugs...

la sugerencia que hago es que se bloquee de manera permanente el cambio de E-meil en el servidor, de modo que éste no pueda ser modificado ulteriormente, de ese modo se podrían subsanar problemas de falta de seguridad ante el surgimiento de nuevos bugs... porque en caso de surgir algun bug, el usser podría recobrar su cuenta con su E-mail originario y nadie podría modificarlo para apoderarse de su cuenta... 

La veo muy lógica a la sugerencia, es mucho más difícil para cualquier oportunista hackear una cuenta mi@ y un meil, que sólo una cuenta mi@... Y en caso de que se hackeen las dos cuentas ya no sería responsabilidad exlcusiva de mi@ sino de la empresa donde el usser tiene subscripta su cuenta de correo...

Yo no estoy de acuerdo con que se bloquee permanentemente el cambio de email. Si por ejemplo cierro mi cuenta de correo o dejo de poder acceder, necesito poder tener cambiarlo aquí para seguir recibiendo notificaciones de mensajes privados o recuperación de contraseñas.

A lo mejor lo que sí podría hacerse es dificultar un poco este cambio. Por ejemplo, que se envíe un mail de confirmación a la cuenta de correo antigua, no a la nueva. Otra idea: que se envíen dos emails de confirmación, uno a la antigua y otro a la nueva. Si se confirman los dos el cambio es inmediato, si sólo se confirma con el nuevo email, se mantiene la cuenta de mi@ bloqueada 48 horas... 

Aparte, a nivel de administración creo que sí sería interesante tener un listado de los emails de cada cuenta. No creo que suponga mucho más espacio, a fin de cuentas nadie cambia su email todas las semanas, pero en ocasiones se libera un email de una cuenta de mi@ para ponérselo a otra cuenta de mi@. Creo que poder cruzar estos datos y en momentos concretos, saber qué cuentas están relacionadas, podría ser interesante.



Escrito originalmente por 100x100net

A lo mejor lo que sí podría hacerse es dificultar un poco este cambio. Por ejemplo, que se envíe un mail de confirmación a la cuenta de correo antigua, no a la nueva. Otra idea: que se envíen dos emails de confirmación, uno a la antigua y otro a la nueva. Si se confirman los dos el cambio es inmediato, si sólo se confirma con el nuevo email, se mantiene la cuenta de mi@ bloqueada 48 horas...

Aparte, a nivel de administración creo que sí sería interesante tener un listado de los emails de cada cuenta. No creo que suponga mucho más espacio, a fin de cuentas nadie cambia su email todas las semanas, pero en ocasiones se libera un email de una cuenta de mi@ para ponérselo a otra cuenta de mi@. Creo que poder cruzar estos datos y en momentos concretos, saber qué cuentas están relacionadas, podría ser interesante.

Ponte en el siguiente caso:

A 100x100net, Iosuiscloud le roba la cuenta de correo, 100x100net no se entera, pues Iosuiscloud sólo se dedica a investigar su bandeja, no a leer mensajes ni a cambiarle la contraseña.

Un día Iosuiscloud descubre un mensaje en el que aparece que 100x100net forma parte de miarroba, en ese mensaje aparece tanto el nombre de usuario de 100x100net, como su contraseña.(Mensaje que nos llega a todos cuando nos registramos)

Iosuiscloud se registra en miarroba, le cambia los datos a 100x100net, cambia el e-mail y demás, mail de confirmación a bandeja de 100x100net y a la nueva, Iosuiscloud tiene poder sobre ambas, no sirve de nada, puede borrar el mensaje que se ha mandado para confirmar el cambio, con lo que 100x100net no se entera y pierde su cuenta.

Supongamos que Iosuiscloud bloquea el acceso a 100x100net a su propio correo, le cambia la contraseña, 100x100net podría enterarse antes de que Iosuiscloud cambie su cuenta de miarroba, con lo que trata de cambiar el correo de su usuario, un mensaje es enviado al correo robado y otro al nuevo de 100x100net, uno es aceptado, el otro denegado.(¿Qué hacer?*) Si 100x100net no se entera, correo y usuario perdidos.

 Supongamos ahora que simplemente se roba la cuenta de miarroba, se cambia la dirección de correo, se envia un mensaje a la bandeja de 100x100net, y otro a la de Iosuiscloud, uno es aceptado, el otro rechazado (¿Que hacer?*)

Si en cualquier caso sólo se enviase el correo a la nueva, se pierde la cuenta durante eones.

* (¿Qué hacer?) Esto es lo mas complicado de todo, supongamos se bloquea durante X horas el usuario de miarroba, pasado ese tiempo alguien tendrá que ser informado, ¿no? ¿Los dos? (el ladrón podría volver a bloquear la cuenta) ¿la cuenta antigua? (ídem) ¿La cuenta nueva? (¿Y si resulta que la nueva es la del ladrón?)

¿Que vengo a decir con todo esto? Pues simplemente que es la mayor perdida de tiempo, respecto a lo que a seguridad se refiere, tienen que actuar ambos, usuario y empresa(miarroba) el usuario no empleando las mismas contraseñas, ni dejando olvidados los correos de registro por su bandeja de entrada, y la empresa dificultar el robo de cuentas, suplantaciones y demás, ¿Cómo? Cualquiera se habrá enterado de que en miarroba como en toda pagina web, hay fallos de seguridad, blindando miarroba frente a gente como los crackers es una forma, probablemente la única efectiva en mayor o menor medida.

*Los nombres que he empleado son de dos usuarios ( el citado y el autor de este post ) para evitar confusiones de "individuo 1" e "individuo 2" si a alguien le molesta que los haya empleado sólo ha de decirlo, que edito el mensaje sin problema.


  

Escrito originalmente por 100x100net:

Aparte, a nivel de administración creo que sí sería interesante tener un listado de los emails de cada cuenta. No creo que suponga mucho más espacio, a fin de cuentas nadie cambia su email todas las semanas, pero en ocasiones se libera un email de una cuenta de mi@ para ponérselo a otra cuenta de mi@. Creo que poder cruzar estos datos y en momentos concretos, saber qué cuentas están relacionadas, podría ser interesante.

Poder acceder al histórico de cuentas podría ser interesante para algunos usuarios, mientras que para otros no sería mas que un pretexto para abandonar el servicio por divulgación de sus correos en caso de que alguien le robase la cuenta.


Se me hace raro escribir tanto, pero lo consideré oportuno, nadie se lo tome como crítica,  simplemente he tratado de ofrecer mi punto de vista ;)

Astrall
Machacateclados
Machacateclados

yo ya dí mi opinión sobre el tema, me parecen acertadas las 2 sugerencias, espero que se materialicen en los hechos en el futuro!;-)

MataEmos3000
Usuario baneado
Usuario baneado
Este mensaje no se muestra porque su autor está baneado
Este tema fue cerrado y no se pueden escribir nuevas respuestas
Opciones:
Ir al subforo:
Permisos:
TU NO PUEDES Escribir nuevos temas
TU NO PUEDES Responder a los temas
TU NO PUEDES Editar tus propios mensajes
TU NO PUEDES Borrar tus propios mensajes
Temas similares
TemaUsuariosRespuestasVisitasActividad
Por: , el 31/Ene/2009, 19:33
100x100net demoniodehiel Astrall DDR25879Feb/09