1

Тема: Чи потрібно захищатись від перевірки email при реєстрації?

Раніше не звертав увагу, а зараз стало цікаво - от реєструється новий користувач на певному сайті, йому потрібно вводити email, і якщо такий email вже зареєстрований, то йому видається відповідне повідомлення. Таким чином можна дізнатись чи користувач з конкретним email вже зареєстрований, чи ні.

Я оце думаю чи варто робити обмеження по такій перевірці. Ніхто не в курсі?

2

Re: Чи потрібно захищатись від перевірки email при реєстрації?

Ви маєте на увазі, чи варто видавати повідомлення, про те що пошта уже використовується? Я думаю варто.

3

Re: Чи потрібно захищатись від перевірки email при реєстрації?

Ні я кажу про обмеження перевірки занадто багатьох варіантів, скажімо більше 10 чи 20. Мені здається що навряд чи "нормальний" користувач так забудеться свою пошту, що перевірятиме її в базі...

Але з іншої сторони - і що далі? Блокувати цю ІР? Щось такого не чув, мабуть навряд чи тут застосовують якісь заходи безпеки.

4

Re: Чи потрібно захищатись від перевірки email при реєстрації?

Варіант повідомити "ви вже зареєстровані, введіть пароль" не годиться?

Подякували: Djalin1

5 Востаннє редагувалося ktretyak (17.04.2015 06:59:08)

Re: Чи потрібно захищатись від перевірки email при реєстрації?

koala написав:

Варіант повідомити "ви вже зареєстровані, введіть пароль" не годиться?

Та годиться, звичайно =). Я просто в питаннях веб-безпеки не сильно так і розбираюсь, а тому... тут мабуть зайвою буде додаткова якась перестраховка.

Чи ви маєте на увазі - не банити того користувача, який перевищив ліміт, а видавати повідомлення що "ви вже зареєстровані"?

6

Re: Чи потрібно захищатись від перевірки email при реєстрації?

ktretyak написав:
koala написав:

Варіант повідомити "ви вже зареєстровані, введіть пароль" не годиться?

Та годиться, звичайно =). Я просто в питаннях веб-безпеки не сильно так і розбираюсь, а тому... тут мабуть зайвою буде додаткова якась перестраховка.

Чи ви маєте на увазі - не банити того користувача, який перевищив ліміт, а видавати повідомлення що "ви вже зареєстровані"?

Я б все ж вказував на проблему. Невідомо, логін чи пароль уже зареєстрований і починаєш вгадувати.
Після 5-ї спроби, скажімо, виставляти капчу(якщо її немає) або блокувати ІР на кілька хв.

7 Востаннє редагувалося ktretyak (17.04.2015 13:14:02)

Re: Чи потрібно захищатись від перевірки email при реєстрації?

Sensetivity написав:

Я б все ж вказував на проблему. Невідомо, логін чи пароль уже зареєстрований і починаєш вгадувати.
Після 5-ї спроби, скажімо, виставляти капчу(якщо її немає) або блокувати ІР на кілька хв.

Я кажу що після десятої чи двадцятої спроби, коли перевіряють email, можна страхуватись. Звичайно що будуть показуватись підказки.

До речі, треба буде глянути чи вже дозволяється кирилиця в email.

https://1933a544b9b651d3813e8de397efcd5a179e17e8.googledrive.com/host/0Bwk9euTxkxYUOFFUS29tSGJ4eXM/replace.org.ua/img/registration.png

8

Re: Чи потрібно захищатись від перевірки email при реєстрації?

До речі, треба буде глянути чи вже дозволяється кирилиця в email.


дозволена, є ж домен укр =)

Якщо чувак вбиває різні електроннні адреси більше 20 раз, хай вбиває. Тупо перебором так пошту ніхто не збирає)

9

Re: Чи потрібно захищатись від перевірки email при реєстрації?

funivan написав:

До речі, треба буде глянути чи вже дозволяється кирилиця в email.


дозволена, є ж домен укр =)

Зразу видно, що ви не мали домена на кирилиці, а я мав. Як ви думаєте що оце за страхіття?

http://xn--d1abbgf6aiiy.xn--j1amh/

Вставте його в адресний рядок й подивіться.

10

Re: Чи потрібно захищатись від перевірки email при реєстрації?

ktretyak написав:
funivan написав:

До речі, треба буде глянути чи вже дозволяється кирилиця в email.


дозволена, є ж домен укр =)

Зразу видно, що ви не мали домена на кирилиці, а я мав. Як ви думаєте що оце за страхіття?

http://xn--d1abbgf6aiiy.xn--j1amh/

Вставте його в адресний рядок й подивіться.

Я так розумію ОЦЕ - емуляція кирилиці латинкою?

11

Re: Чи потрібно захищатись від перевірки email при реєстрації?

щось таке, але не зовсім

12

Re: Чи потрібно захищатись від перевірки email при реєстрації?

Sensetivity написав:
ktretyak написав:
funivan написав:


дозволена, є ж домен укр =)

Зразу видно, що ви не мали домена на кирилиці, а я мав. Як ви думаєте що оце за страхіття?

http://xn--d1abbgf6aiiy.xn--j1amh/

Вставте його в адресний рядок й подивіться.

Я так розумію ОЦЕ - емуляція кирилиці латинкою?

Я б сказав, що кирилиця - це емуляція оцього.

13

Re: Чи потрібно захищатись від перевірки email при реєстрації?

Якщо вже існує, то переадресовувати на сторінку логіну, або відновлення паролю. Якщо 3 рази пробує різні емейли, то ставити капчу.