https://blogengine.me/blogs/tags/bezopasnost/ Автоматически собираемая лента заметок, написанных в блогах на Эгее ru Aegea 11.0 (v4079e) Автоматически собираемая лента заметок, написанных в блогах на Эгее no 130689 https://ilyabirman.ru/meanwhile/all/volshebnye-ssylki-v-pismah-i-bezopasnost/ Wed, 18 Sep 2024 20:45:43 +0500 Илья Бирман https://ilyabirman.ru/meanwhile/all/volshebnye-ssylki-v-pismah-i-bezopasnost/ <p><a href="https://ilyabirman.ru/meanwhile/">Илья Бирман</a>:</p> <p>Я разбирал <a href="https://ilyabirman.ru/meanwhile/all/aeroflot-registration/">интерфейс тупейшей регистрации Аэрофлота</a>. Человеку приходит письмо с напоминанием о регистрации, а переходя по ссылке он вынужден указывать почту для получения посадочного. Зачем? Аэрофлот знает мою почту — он же сам на неё только что письмо прислал, с которого я перешёл!</p> <p>Студентка школы бюро пишет (сокращаю):</p> <blockquote> <p>В работе я сталкиваюсь с кейсами взаимодействия с пользователями через письма. При переходе на сайт для безопасности мы не подставляем данные пользователя, т. к. пользователь мог переслать письмо другим, не догадываясь, что его данные будут раскрыты при переходе по определённым ссылкам. Мы не одобряем автоматический вход в акаунты из писем, если это только не сценарий «Забыли пароль?». Нужно ли учитывать безопасность данных клиента или ею можно пренебречь, если утеря данных минимальна?</p> </blockquote> <p>Учитывать безопасность нужно, конечно. Но практика показывает, что чаще всего безопасность учитывается бездумно (отключается всё полезное, как бы чего не вышло) или вообще используется в качестве оправдания (забыли подумать, а когда попались — оправдались безопасностью).</p> <p>В данном случае перед нами пример второго: по ссылке из письма я уже могу зарегистрироваться на рейс безо всякой дополнительной аутентификации. Если я действительно перешлю это письмо, то другой человек сможет зарегистрировать меня без моего ведома, да ещё и прислать об этом письмо себе вместо меня. Где тут безопасность?</p> 122556 https://ilyabirman.ru/meanwhile/all/plohoy-interfeys-v-ugodu-bezopasnosti/ Thu, 24 Aug 2023 12:51:47 +0500 Илья Бирман https://ilyabirman.ru/meanwhile/all/plohoy-interfeys-v-ugodu-bezopasnosti/ <p><a href="https://ilyabirman.ru/meanwhile/">Илья Бирман</a>:</p> <p>Многие интерфейсные тупости объясняют требованиями безопасности. Иногда в этом есть смысл, а часто — нет. Например, <a href="https://www.sjoerdlangkemper.nl/2023/08/16/session-timeout/">нет смысла заставлять человека постоянно перелогиниваться</a>. В Эгее вот если вы залогинились, то вас никогда не разлогинит.</p> <p>Единственная потенциальная польза от разлогина — необходимость вспомнить пароль. Ведь если годами не логиниться, его забудешь. Если в вашем продукте важно не забыть пароль, об этом стоит подумать. Тут снова Телеграм молодец: он просто периодически предлагает тебе убедиться, что ты помнишь пароль, не разлогинивая тебя.</p> <p>А самое тупое требование «безопасности» — это требование периодически менять пароль. Это не только не повышает уровень безопасности, это его снижает, так как вынуждает человека придумывать очень предсказуемый пароль, чтобы самому с ума не сойти, пытаясь его вспомнить.</p>