não eh soh legal, vc valida se o email existe e funciona.
2013/9/16 Renato Santos <[email protected]> > Não entendi ainda.. > > quase todos sites que eu fiz cadastro até hoje, dizem se o e-mail já esta > em uso ou não: > http://i.imgur.com/gZqNmhu.png > > > Não vou nem dizer que não precisa dizer se é o e-mail ou a senha que estão > errado, a mensagem padrão é a mais correta ("usuario ou senha errados", > "login inválido", etc) > > > Porém, lembro de alguns sites que, ao pedir seu e-mail, não dizem se > existe ou não, e te enviam uma confirmação, e só depois dessa confirmação > que você continua o cadastro (colocando senha, etc) > > isso também é legal, mas é mais trabalhoso. > > > > > > 2013/9/16 Solli Honorio <[email protected]> > >> >> >> Em 16 de setembro de 2013 01:29, Eden Cardim <[email protected]> escreveu: >> >> >>>>> "Solli" == Solli Honorio <[email protected]> writes: >>> >>> Solli> Acho esta afirmação parcialmente verdadeira. Conhecer que >>> Solli> existe um email na tua base é inevitável quando vc a está >>> Solli> utilizando como uma chave para o sistema, e nem preciso ser >>> Solli> um hacker para isto. >>> >>> A questão não é *você* saber, o problema é um *terceiro* saber. O >>> email da conta é metade da informação necessária pra entrar na conta e >>> viabiliza profiling, phising, força bruta, etc. >>> >> >> Todos os sistema de autenticação precisam informar que aquela chave já >> está em uso no momento do cadastro. Todo mundo sabe que os sistemas unix >> tem o usuário root, e o ambiente Windows o usuário 'Administrator', mas >> isto não os fazem ser vulneráveis por este conhecimento. Faz sim estes >> usuário serem alvos de ataques (como vc bem escreveu). Então o meu ponto é >> que você precisa implementar um processo para reduzir o poder destes >> ataques. >> >> >>> >>> Solli> Qualquer um pode saber quais são os emails que estão >>> Solli> cadastrado no Amazon.com e no Twitter, por exemplo, mas >>> Solli> isto não é considerado uma falha de segurança da Amazon. >>> >>> Da última vez que eu olhei, nem o twitter nem a amazon te dão feedback >>> sobre a existência de um email em particular. O feedback é sempre >>> ambíguo, do tipo "houve um problema com seu email/senha" e não "senha >>> errada" ou "email errado" em isolamento. Isso seria sim uma falha de >>> segurança, porque permite que um terceiro descubra o email de uma >>> conta arbitrária através de probing. >>> >> >> Na hora do cadastro sim, eles informam na hora que o email já existe na >> base, mas claro que na hora de logar eles mostram a mensagem 'usuário ou >> senha inválida'. >> >> A quem possa interessar, recomendo fortemente os documentos do OWASP para >> leitura e pesquisa https://www.owasp.org/index.php/Cheat_Sheets >> >> >>> >>> -- >>> Eden Cardim -- Insolide Soluções de TI Ltda. >>> +55 11 9644 8225 >>> http://insoli.de >>> =begin disclaimer >>> Sao Paulo Perl Mongers: http://sao-paulo.pm.org/ >>> SaoPaulo-pm mailing list: [email protected] >>> L<http://mail.pm.org/mailman/listinfo/saopaulo-pm> >>> =end disclaimer >>> >> >> >> >> -- >> "o animal satisfeito dorme". - Guimarães Rosa >> >> =begin disclaimer >> Sao Paulo Perl Mongers: http://sao-paulo.pm.org/ >> SaoPaulo-pm mailing list: [email protected] >> L<http://mail.pm.org/mailman/listinfo/saopaulo-pm> >> =end disclaimer >> >> > > > -- > Saravá, > Renato CRON > http://www.renatocron.com/blog/ > @renato_cron <http://twitter.com/#!/renato_cron> > > =begin disclaimer > Sao Paulo Perl Mongers: http://sao-paulo.pm.org/ > SaoPaulo-pm mailing list: [email protected] > L<http://mail.pm.org/mailman/listinfo/saopaulo-pm> > =end disclaimer > > -- Tiago B. Peczenyj Linux User #405772 http://about.me/peczenyj
=begin disclaimer Sao Paulo Perl Mongers: http://sao-paulo.pm.org/ SaoPaulo-pm mailing list: [email protected] L<http://mail.pm.org/mailman/listinfo/saopaulo-pm> =end disclaimer
