Отправление нового пароля по почте обычным текстом -- это ошибка

Avatar
  • updated

Добрый день. 

В первую очередь, огромное спасибо за сайт! Очень крутой интерфейс, и бэта, кстати, тоже довольно огненная. Респект! :) 

Я хотел обратить внимание разработчиков на небольшую дыру в системе безопасности: когда я сбрасываю пароль, мне отправляется новый (временный) пароль на емейл обычным текстом. Это само по себе несколько опасно, но да ладно. Что более важно, после того как я ставлю новый пароль на аккаунт, он обычным текстом отправляется мне на почту. Это довольно серьёзная дыра в безопасности и конфиденциальности (см: https://www.searlesgraphics.com/blog/2120/please-stop-sending-passwords-via-email). В идеале пароль вообще ни в каком виде не должен храниться на сервере, только хэш. 

Avatar
skobkin

То, что пароль отправляется по почте не значит, что он хранится в открытом виде.

Но отправлять его на почту всё равно не лучшая идея.