Re: Weryfikacja e-maila, a bezpieczeństwo - Grupy dyskusyjne w eGospodarka.pl

Received: by 10.49.76.65 with SMTP id i1mr50957qew.24.1352940218493; Wed, 14 Nov 2012
16:43:38 -0800 (PST)
Received: by 10.49.76.65 with SMTP id i1mr50957qew.24.1352940218493; Wed, 14 Nov 2012
16:43:38 -0800 (PST)
Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!newsfeed2.atman.pl!newsfeed.
atman.pl!wsisiz.edu.pl!plix.pl!newsfeed2.plix.pl!feed.xsnews.nl!border-2.ams.xs
news.nl!feeder.erje.net!eu.feeder.erje.net!newsreader4.netcologne.de!news.netco
logne.de!feeder1.cambriumusenet.nl!feed.tweaknews.nl!209.85.216.87.MISMATCH!u2n
o3268063qal.0!news-out.google.com!gf5ni57984567qab.0!nntp.google.com!u2no329295
2qal.0!postnews.google.com!glegroupsg2000goo.googlegroups.com!not-for-mail
Newsgroups: pl.comp.programming
Date: Wed, 14 Nov 2012 16:43:38 -0800 (PST)
In-Reply-To: <50a41901$0$1308$65785112@news.neostrada.pl>
Complaints-To: g...@g...com
Injection-Info: glegroupsg2000goo.googlegroups.com; posting-host=91.121.142.165;
posting-account=1HHohAoAAACpDlSIKz4hhiR5am1phV5e
NNTP-Posting-Host: 91.121.142.165
References: <k7v9hn$imv$1@node2.news.atman.pl>
<c...@g...com>
<d...@g...com>
<k80jht$2aa$1@news.icpnet.pl>
<8...@g...com>
<50a41901$0$1308$65785112@news.neostrada.pl>
User-Agent: G2/1.0
MIME-Version: 1.0
Message-ID: <8...@g...com>
Subject: Re: Weryfikacja e-maila, a bezpieczeństwo
From: e...@g...com
Injection-Date: Thu, 15 Nov 2012 00:43:38 +0000
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: quoted-printable
Xref: news-archive.icm.edu.pl pl.comp.programming:200913
[ ukryj nagłówki ]
W dniu środa, 14 listopada 2012 17:19:46 UTC-5 użytkownik IDKrzych napisał:
> W dniu 2012-11-14 19:46, e...@g...com pisze:
> > Regula jest taka, ze udostepnia sie tyle co potrzeba i nic wiecej, bo kazda
>
> > dodatkowa informacja zmniejsza bezpieczenstwo. Jedynie czesc zabezpieczen
>
> > zaklada publicznosc czesci informacji, ale to jest chyba za trudny temat. Wiec
>
> > jak mozna przy rejestracji nie pisac "email jest zajety" to sie tego nie robi,
>
> > to prawie nic nie kosztuje.
>
>
>
> ..ale czasami może kosztować, i to nawet sporo.
>
> Bo generalnie masz rację, tylko trzeba znaleźć równowagę.
>
>
>
> Jeżeli np. mówimy o serwisie który ma ściągnąć setki nowych klientów, a
>
> na przywitanie dostają takie nieczytelne zachowanie z logowaniem
>
> (niepewność czy coś źle wpisałem? .. może chwilowo nie działa? ... ale o
>
> co chodzi? -> a "kij im w ucho") to już masz konkretne straty.

To zalezy od wielu czynnikow, w tym docelowej grupy i jej obeznania
z internetem i poslugiwaniu sie komputerem.

> Sam jakiś czas temu chciałem zrobić zakupy w nowym e-sklepiku.
>
> Zakładam konto -- wypełniam co trzeba, klikam rejestruj ... i jestem na
>
> stronie startowej ...hmm (żadnych komunikatów) sprawdzam maila -> nic.
>
> To próbuję się zalogować na nowe konto ... klikam loguj .... i jestem na
>
> stronie startowej dalej nie zalogowany (żadnych komunikatów)
>
> Już mnie więcej nie widzieli i kasy nie zobaczą ;)

A czy ja mowie ze trzeba sknocic?

> Wydaje mi się, że próbujesz podobne przyjemności zafundować u siebie.
>
> pozdrawiam

Po pierwsze straszysz bardzo, po drugie nie "u mnie". Siejesz straszliwy
FUD, takie podstawowe bezpieczenstwo wcale nie kloci sie z uzywalnoscia.
Tzn. kloci sie wtedy, gdy ktos przegnie w jakis sposob, ale to
niczego nie dowodzi tak ogolnie.

Na podstawowym poziomie najlatwiej byloby sie logowac w ogole bez hasla,
jednak wiekszosc hasla akceptuje. Mi tak szczerze wlasnie hasla najbardziej
przeszkadzaja. No bo trzeba albo uzywac tego samego wszedzie, no a wtedy
calkiem slusznie niektorzy twierdza, ze sie ryzykuje. Albo trzeba pamietac
tysiac hasel, albo nosic je gdzies zapisane i szukac - po cholere. Albo
zainwestowac w jakies OpenID czy inne OAuth delegujace uprawnienia
z jednego portalu do drugiego, ale to tez jest niezbyt, bo nagle trzeci
portal po kisielu dostaje maile znajomych i rozsyla spam.

Najchetniej mialbym smartcard przy sobie akceptowany (prawie) wszedzie,
no ale jak widze rozwoj polskiego podpisu elektronicznego, ba, nawet
podejsciu tej polskiej firmy do wystawiania certyfikatow stronom
i serwerom to nie mam zadnej ale to zadnej nadzei na pozbycie sie hasel,
prawdopodobnie do samej emerytury.

--
Edek