Отправление нового пароля по почте обычным текстом -- это ошибка
Добрый день.
В первую очередь, огромное спасибо за сайт! Очень крутой интерфейс, и бэта, кстати, тоже довольно огненная. Респект! :)
Я хотел обратить внимание разработчиков на небольшую дыру в системе безопасности: когда я сбрасываю пароль, мне отправляется новый (временный) пароль на емейл обычным текстом. Это само по себе несколько опасно, но да ладно. Что более важно, после того как я ставлю новый пароль на аккаунт, он обычным текстом отправляется мне на почту. Это довольно серьёзная дыра в безопасности и конфиденциальности (см: https://www.searlesgraphics.com/blog/2120/please-stop-sending-passwords-via-email). В идеале пароль вообще ни в каком виде не должен храниться на сервере, только хэш.
То, что пароль отправляется по почте не значит, что он хранится в открытом виде.
Но отправлять его на почту всё равно не лучшая идея.