[react] Passwordmailer

Als iemand in jouw mailbox dit soort mailtjes kan lezen zit daar toch het probleem ipv in React?

Voor het aanvragen heb je al de gebruikersnaam nodig, dus het probleem doet zich alleen voor als ik bij jouw mail kan.

Uit zijn verhaal maak ik het volgende op:
Als je de passwordmailer gebruikt, staat uit veiligheidsoverwegingen de username niet in die mail begrijp ik. Het punt is nu echter, dat als je een mailadres weet (wat er dik inzit als je dat mailtje ziet), kun je door te proberen een nieuw account aan te maken achter de username komen waarbij het adres hoort, waardoor het bewust niet noemen van de gebruikersnaam in de passwordmail zinloos wordt.

[ Voor 5% gewijzigd door blaataaps op 04-04-2005 23:58 ]

Oftewel: het is nooit veilig. Maar als iemand echt zijn best doet om een account te kraken dan lukt hem/haar dat waarschijnlijk toch wel. Maar je hoeft het ze natuurlijk niet te makkelijk te maken (door bijvoorbeeld een handleiding "hoe achterhaal ik een gebruikersnaam" te posten )

Mag ik het vreemd vinden dat er bij het registeren genoemd wordt bij welk ID het email-adres hoort? Of is daar een reden voor?

Osiris schreef op dinsdag 05 april 2005 @ 00:00:
Mag ik het vreemd vinden dat er bij het registeren genoemd wordt bij welk ID het email-adres hoort? Of is daar een reden voor?

Voor mensen die al ooit tig jaar geleden een account hadden maar dat vergeten waren?

[ Voor 3% gewijzigd door Voutloos op 05-04-2005 00:02 ]

Hmm, ik wilde dit net testen, door mijzelf proberen te registeren met hetzelfde email adres als destijds (rhm puntje soer at chello punt nl)... spijtig genoeg is de registratie succesvol verlopen

Dus helaas en excuus.

[ Voor 35% gewijzigd door saviour op 05-04-2005 01:02 ]

Ik moet je helaas teleurstellen, het email-adres wat je aanhaalt is niet het adres wat je destijd gebruikt hebt

Ik snap waarlijk geen drol van je verhaal, maar als je mailbox 'gekraakt' is, dan zal je GoT-account wel je minste probleem zijn.

Ik leg toch precies uit wat hij bedoelt, het niet vermelden van de useraccount waar het gemailde wachtwoord bij hoort is beperkt zinvol, omdat door opnieuw te registreren makkelijk de mailadres->useraccount link te leggen is.

[ Voor 3% gewijzigd door blaataaps op 05-04-2005 11:02 ]

Natuurlijk is dit makkelijk te fixen door die errormessage aan te passen zodat 'ie niet meer het userid weergeeft

dawuss schreef op dinsdag 05 april 2005 @ 11:04:
Natuurlijk is dit makkelijk te fixen door die errormessage aan te passen zodat 'ie niet meer het userid weergeeft

Na de merge wordt deze functionaliteit overgenomen door de frontpage; deze zal inderdaad ook geen userid's laten zien op het moment dat je een al gebruikt e-mail adres wilt opgeven bij registratie.

Daarbij zal een password mail vanuit de frontpage wel je nickname bevatten, maar moet je bij het opvragen van een nieuw wachtwoord zowel je nick als je e-mail adres opgeven (en niet of-of zoals nu in React). Op het moment dat er een foutieve combinatie wordt ingevoerd komt er een duidelijke foutmelding met een verzoek om contact op te nemen met een frontpage admin op het moment dat je of je nick niet meer weet, of je e-mail adres ondertussen is veranderd en dat het niet de bedoeling is om een nieuw account aan te maken