Hola. Más abajo te respondo...
> Estoy desarrollando una web en la que se registran los usuarios con un nick > y un pass (y un mail). El registro es necesario para entrar en algunas > partes de la web, que son privadas para ciertos grupos. > Mi pregunta es sobre como es el mejor proceso para hacer esto (no > tecnológicamente, sino conceptualmente) > Lo que yo he pensado: > > *Un formulario de registro: > nick, pass y mail [el pass lo guardo encriptado en md5] > de esta manera ya quedan registrados en la web, y tienen acceso a ciertas > partes de ésta. Para un sitio en el que la seguridad no sea esencial, este concepto es el más sencillo. Si lo que deseas es hacer un sitio de seguridad media y/o evitar en parte el user-spam puedes pedir solo user y email, y generar una contraseña aleatoria que luego pueda cambiar en su área personal... pero bueno, todavía se debate sobre la efectividad de este tema. > *Si olvidan la contraseña: (que siempre hay zoquetes, yo incluido) > un formulario donde se le pide el nick. Cuando lo escribe y da a aceptar, se > genera una nueva contraseña, y se le manda a su mail de registro. La antigua > no la puedo recuperar, por estar guardada encriptada con md5. > > Pero me he dado cuenta que hay un gran problema; algún gracioso podría > dedicarse a pedir cambio de pass de otros usuarios, y estos recibirían un > mail con una nueva contraseña. > No se me ocurre ninguna manera de arreglar esto, y se que hay, porque lo he > visto en otros sitios, pero no lo pillo... > Algunos te preguntan por la pregunta secreta (pero eso no me gusta) > Otros te mandan un mail de confirmación de cambio de contraseña, con un > link > donde tienes que entrar para cambiarla; pero esto no veo como se puede > hacer, que link es ese, que se hace en esa página? Escribiendo el mail me he > dado cuenta que esto es lo que necesito, pero no lo acabo de pillar, si > alguien me pudiera orientar un poco... Aquí si que te puedo ayudar más. La idea es que solo el usuario autorizado puede recibir la nueva contraseña. Para ello tienes 2 opciones: A). Pedir nombre de usuario: cuando ponga su user name chequeas contra la base de datos su dirección de correo, le generas una nueva contraseña aleatoria provisional (sin cambiar la anterior) y habilitas una parte de su área personal para que pueda cambiar la antigua. B). Haces lo mismo, pero con la dirección de correo, lo único es que primero deberás chequear que esa dirección se encuentra en la base de datos como la de un usuario. Bueno, hay muchas más aproximaciones, pero para un sitio sencillo esto debería ser suficiente... -- Ricardo J. Barrios Díaz <[EMAIL PROTECTED]> Director del Área de Nuevas Tecnologías Orgánica Diseño Tecnología y Medio Ambiente
_______________________________________________ altas, bajas y modificaciones: http://www.cadius.org/lista/opciones.html
