Почтовые серверы, на которые наша почта может не приходить
-
Milar, Дело говоришь!Если бы было так-то было бы замечательно,я думаю....вот тока когда это сделают:*(Извените за флуд,но всё таки так и тянет написать:)
-
Milar, еще раз.
Вводная: есть злоумышленник, который знает анкету акка и email к которому он привязан, но не имеет доступа к этому ящику.
Так получилось что ящик - на майл.ру, и злоумышленник хочет его сменить на свой ящик.Так вот я не вижу принципиальных отличий вариантов:
- вводим анкету и старый емайл, получем поле для ввода нового емайла
- вводим анкету и старый емайл, и получаем код подтверждения, который надо отправить на мотр тупо подставив в заголовке в поле "From" старый емайл (естесно через правильный сервер).
Во втором варианте старый емайл вводить придется по любому: на мотре емайлы, если не ошибаюсь, case sensetive: <!-- e --><a href="mailto:vasya@mail.ru">vasya@mail.ru</a><!-- e --> и <!-- e --><a href="mailto:vAsya@mail.ru">vAsya@mail.ru</a><!-- e --> - разные емайлы.
-
@"Faderer":
<!-- e --><a href="mailto:vasya@mail.ru">vasya@mail.ru</a><!-- e --> и <!-- e --><a href="mailto:vAsya@mail.ru">vAsya@mail.ru</a><!-- e --> - разные емайлы.
нет, ето одно название
-
В ситуации с mail.ru в основном всё уже сказано, но для предотвращения повторов этого хотелось бы предложить ввести возможность указать резервный e-mail, где-то я видел такое...
При регистрации или после ввода анкеты дается возможность указать e-mail на случай потери доступа к основному, который служит только для смены основного, и экстренной блокировки аккаунта при взломе. При смене основного e-mail`а используя запасной высылаются письма на оба ящика, на основной с ссылкой отмены, а на резервный с подтверждением и дается например неделя на отмену, если попытка сменить исходила не от владельца аккаунта.
p.s. сори если непонятно написал -
Это все хорошо конечно, но мне непонятно почему так затягивают с решением вроде такого простого вопроса.
-
Faderer, ты снова немного не понял суть моего предложения. Смотри:
- Я зашел на сайт, захотел сменить пароль.
- Я ввел верно свою анкету. Т.к. motronline определил, что мой почтовый адрес находится на mail.ru он выдал мне страницу, на которой написано: Ваша почта находится на mail.ru. Чтобы продолжить процедуру смены почтового адреса вы должны зайти на почтовый ящик mail.ru и отправить письмо на адрес ***@motronline.com, в теме которого указать ваш точный игровой логин, а в сообщении письма написать в первой строке этот код: ххххххххххххххххххххххххх
- Я зашел на почту, отправил письмо так как мне сказали.
- Снова залогинился на сайт, ответил еще раз на анкету. Если мое письмо успешно пришло (тем самым подтвердилось, что я владею почтовым ящиком) открывается второй этап - введение адреса нового почтового сервиса, отправка туда письмо со ссылкой на активацию.
- Захожу в новый почтовый ящик (письмо пришло - подтверждается что сервис работает должным образом), захожу на ссылку и мой почтовый адрес изменен.
Но, увы, это будет работать только если письма С этого **** майла.ру доходят до мотра. Если нет - програмим другой подход.
Ruffness, как не просто это описывается - на реализацию подобного скрипта нужно, как минимум, неделя. Для всех тестов, идеальности работы, проверки безопасности, гарантированной работы. Если ввести, то оно должно работать как часы, иначе существуют риски взлома аккаунтов, риски получить кучу глюков не верно заполненной бд, кучу убитых аккаунтов. А неделя - еще больше растягивается, ибо надо еще активно заниматься поддержкой и других проблем сервера. Не менее важных, чем эта. Добавить к этому, что мотр - сервис высокой нагрузки и время написания и тестирования любого массового скрипта увеличивается на квадрат. Так что ждите -). Доверяйте своим адмиинстраторам, они точно знают больше, чем все мы и больше знают что и как осуществится. Какая проблема актуальнее. То, что не говорят сроки - нормально. Как сделается - так сделается. В серьезном программировании сроки - самый варьирующийся параметр. Никогда не известно какие сложности и на сколько серьезные могут возникнуть.
-
@"Milar":
3. Я зашел на почту, отправил письмо так как мне сказали.- Снова залогинился на сайт, ответил еще раз на анкету. Если мое письмо успешно пришло (тем самым подтвердилось, что я владею почтовым ящиком)
А вот тепреь расскажи мне, что мешает в этом алгорит в п.3 зайти на СВОЮ/ЛЮБУЮ почту, поменять адрес в поле From на нужный и отправить письмо якобы с адреса майлру.
Естесно что в п.4 оно будет замечательно полученно сервером, но это не будет означать что ты владеешь этим почтовым ящиком.
Если я тебе сейчас отпавлю письмо с адреса <!-- e --><a href="mailto:president@whitehose.gov">president@whitehose.gov</a><!-- e --> - это значит что я негр?
По ходу это может сделать любой пользователь аутлука или тхебата.
Подделать клуджи чуть сложнее (если на мотре заморочаться их проверкой), но в случае с майл.ру это решается за 3-5 минут. - Снова залогинился на сайт, ответил еще раз на анкету. Если мое письмо успешно пришло (тем самым подтвердилось, что я владею почтовым ящиком)
-
Поле from будет какое угодно, а сервер отправителя не изменишь. Эта информация есть в полном тех.отображении параметров письма. Словами - пришло письмо с адресом отправителя ***@mail.ru, отправлено с помощью example.com. Разумеется, если домены не совпадают, письмо не должно приниматься.
Даже в веб-интерфейсе gmail информация сервера-отправителя отображается. На скрине письмо-уведомления с вконтакта, посланное на gmail-ящик. Второй скрин - пересланное сообщение с gmail.com на marsell.ws. Соответственно, в 1 письме отправляющий домен - вконтакте.ру, во-втором - gmail.com. Хотя во-втором случае адрес отправителя письма сохранился.
](link)](link)Если все равно не согласен, что авторизация однозначная - пришли мне письмо с <!-- e --><a href="mailto:faderer@motronline.com">faderer@motronline.com</a><!-- e --> с сервером отправителя motronline.com на <!-- e --><a href="mailto:guest@marsell.ws">guest@marsell.ws</a><!-- e -->
-
@"Milar":
Поле from будет какое угодно, а сервер отправителя не изменишь. Эта информация есть в полном тех.отображении параметров письма.
В том то и дело, что в случае майл.ру нет проблем отправить письмо с правильной тех. информацией.
В приват расскажу сейчас какЕсли все равно не согласен, что авторизация однозначная - пришли мне письмо с <!-- e --><a href="mailto:faderer@motronline.com">faderer@motronline.com</a><!-- e --> с сервером отправителя motronline.com на <!-- e --><a href="mailto:guest@marsell.ws">guest@marsell.ws</a><!-- e -->
Лень возиться - под это мне какой-нить "эксперементальный" сервер поднять надо.
А вот с какого-нить левого mail.ru ящика я тебе пришлю, для этого вполне хватает старых майлрушных дыр и банального the bat. -
Хм... верно. Допускаю то, что маил не только глючный, но и не безопасный
-
Тех.поддержка мэйла в тупую отмазывается и валит вину на мотр...скорее бы решили проблему.
-
@"Faderer":
Milar, еще раз.Вводная: есть злоумышленник, который знает анкету акка и email к которому он привязан, но не имеет доступа к этому ящику.
Так получилось что ящик - на майл.ру, и злоумышленник хочет его сменить на свой ящик.Если человек знает анкету акка - то как он может оказаться не владельцем акка? Если бы это был злоумышленник, то откуда он узнал ответы на вопросы анкеты, подобрал что ли? Я всегда думал, что анкета как раз для того и нужна, что однозначно идентифицирует владельца акка, чтобы в случае чего восстановить права на аккаунт.
-
-
Возник вопрос(в этой теме я не разбираюсь)...удержаться не смог:
На сколько реально\проблемно создать хостинг для почты @motronline.com для обычных пользователей и произвести принудительный\добровольный перевод регистраций мэйл.ру>мотр.ком? -
Написано много букв...но нет ни слова со стороны администрации...
о1 или ruro оповестите нас,хоть начали разбираться с данной проблемой...И хоть примерные сроки когда исправят данный баг или придумают смену имеила... -
@"Док-Санёк":
Возник вопрос(в этой теме я не разбираюсь)...удержаться не смог:На сколько реально\проблемно создать хостинг для почты @motronline.com для обычных пользователей и произвести принудительный\добровольный перевод регистраций мэйл.ру>мотр.ком?
А какая разница - менять почту с домена @mail.ru на @очередная-халява.com или на @motronline.com ?
Процедура смены от этого не упростится и не станет безопаснее. -
Тема вновь открыта. Обращаю ваше внимание на то, что полезную информацию можно получить из сообщений ruro.
-
-
Начали приходить письма на mail.ru, правда в графе "Сомнительное". Но это уже прогресс ))
-
это уже радует