Отправка ссылки для изменения пароля от личного кабинета

@mrWan · Регистрация: 07.02.2017

Студворк — интернет-сервис помощи студентам

Ребята кто посоветует как лучше, безопасней, лаконичней всего можно сделать это

@plohoyav · 08.06.2017, 00:10

Пароль обычно меняют, когда все пароли украдены, в том числе от почты.
Отправлять ссылку для изменения пароля на почту не безопасно.
Безопасно - указать смс номер, куда напишет клиент, а в ответ получит забытый пароль.

Добавлено через 3 минуты
Если пароль случайно удалён, а не украден, можно отправлять пароль на почту в случае отсутствия привычной активности на сайте, по прошествии 2 недель + максимальная пауза между посещениями данного пользователя

@Jewbacabra · 08.06.2017, 00:14

Сообщение от plohoyav

Пароль обычно меняют, когда все пароли украдены, в том числе от почты.

Странное утверждение. Неоднократно восстанавливал забытые пароли потому что забыл, а не украли

Сообщение от plohoyav

Безопасно - указать смс номер, куда напишет клиент, а в ответ получит забытый пароль.

Чтобы отправить пароль надо его хранить в открытом виде, что уже не безопасно

@plohoyav · 08.06.2017, 00:22

Лучше дать пользователю при регистрации право самостоятельно решать, какие варианты восстановления пароля он считает приемлемыми

Добавлено через 7 минут
Хранение пароля в открытом виде безопасно, хотя бы потому, что в случае потери ключа расшифровки списка зашифрованных паролей

@Jewbacabra · 08.06.2017, 00:23

Сообщение от plohoyav

Хранение пароля в открытом виде безопасно, хотя бы потому, что в случае потери ключа расшифровки списка зашифрованных паролей

я заинтригован

@mrWan · 08.06.2017, 00:56 **[ТС]**

я сделал вот так: после нажатия на ссылку "забыли пароль" прошу ввести почту, потом ищу эту почту в базе, если она есть, делаю куку на 20 мин, генерирую рандомное число, его хеширую и присоединяю к $_SERVER['HTTP_HOST'], потом отправляю на почту уникальную ссылку! Когда выполняется переход по ссылке, сравниваю уникальные ссылки на идентичность и проверяю куку(которую поставил на 20 мин), если проверка успешна, то отправляю на страницу создания нового пароля. Я правильно все сделал ? или может есть способы получше ?

@Jodah · 08.06.2017, 01:21

Сообщение от mrWan

и проверяю куку(которую поставил на 20 мин), если проверка успешна, то отправляю на страницу создания нового пароля

Т.е. если злоумышленник запустил процесс восстановления пароля, то только он и сможет его восстановить, а реальный пользователь уже нет?

@mrWan · 08.06.2017, 08:37 **[ТС]**

Сообщение от Jodah

Т.е. если злоумышленник запустил процесс восстановления пароля, то только он и сможет его восстановить, а реальный пользователь уже нет?

не понял!у злоумышленника нет доступа к почте пользователя.

Добавлено через 3 минуты
можно несколько раз отправить на почту уникальных ссылок и куки будут перезаписаны и действительная ссылка для восстановления пароля будет последняя и действовать она будет столько на сколько поставить существование куки(я поставил на 20 мин)

Добавлено через 5 минут

PHP
1
2
3
4
5
6
7
8
9
$emailLink = md5(uniqid(rand(),1));
$_SERVER['HTTP_HOST'] . "/admin?update=$emailLink"
// -----------------------------------------------------------------
if ($_GET['update'] == $emailLink) {
    if (isset($_COOKIE['update'])) {
        require_once 'update.php';
        exit;
    }
}

Добавлено через 7 часов 3 минуты
это нормальный вариант ?

@miketomlin · 08.06.2017, 09:35

mrWan, может, не изобретать то, что уже давно было изобретено?

Где значение $emailLink будет храниться? Если в куке, то достаточно «угадать» e-mail, а далее посмотреть в куку и сформировать на основе увиденного ссылку. Это нормальный вариант?

Добавлено через 4 минуты

Не по теме:

Сообщение от Jewbacabra

я заинтригован

Ну человек заснул за компом, а во сне получилось только кликнуть «Отправить» :)

@Jodah · 08.06.2017, 09:45

Сообщение от mrWan

это нормальный вариант ?

Куки здесь не нужны.

@mrWan · 08.06.2017, 10:47 **[ТС]**

Сообщение от miketomlin

Где значение $emailLink будет храниться?

email в базе, в куках у меня нету не какой информации про ссылку

Добавлено через 2 минуты
ссылка отправляется на почту, а куки нужны чтобы ссылка была доступна только для того компьютера который делал запрос на создание нового пароля

@miketomlin · 08.06.2017, 11:10

На вопрос ответьте. С чем будете сравнивать входящий адрес, чтобы понять, что ссылка корректна?

@plohoyav · 08.06.2017, 11:45

Лучше двигаться в сторону openid, один аккаунт - сотни сайтов, экономия времени на регистрацию, на вход

Добавлено через 1 минуту
В идеале openid в виде аддона firefox, который хранит логин, пароль, сам авторизуется на всех сайтах

@miketomlin · 08.06.2017, 11:53

Ну двигайтесь, кто ж вам мешает. Мы, например, двигаемся не к, а от. Даже разделяемый акк собственного формата убрали.

@mrWan · 08.06.2017, 11:54 **[ТС]**

Сообщение от miketomlin

На вопрос ответьте. С чем будете сравнивать входящий адрес, чтобы понять, что ссылка корректна?

эту уникальную ссылку отправляю на почту и сохраняю в бд. При переходе сравниваю ссылку с той которая у меня,если они идентичны, то проверяю уникальные куки и если все нормально, даю доступ к странице для создания нового пароля. При повторной генерации уникальной ссылки, происходит перезаписывание старой ссылки!

@miketomlin · 08.06.2017, 12:05

Сообщение от mrWan

и сохраняю в бд

Вот это др. дело. Теперь скажите, кука зачем? Используйте время сервера и храните время на сервере. Можно забить на время и совместить ключ восстановления пароля с ключом авторизации: когда ключ авторизации изменится, ссылка автоматически перестанет работать.

Добавлено через 3 минуты
...если конечно ключ авторизации сам не изменяется по времени. Если изменяется, то тем более убьете двух зайцев одним выстрелом.

@mrWan · 08.06.2017, 12:39 **[ТС]**

по моему с куки будет безопасней

@Jodah · 08.06.2017, 13:29

mrWan, это самообман.

@miketomlin · 08.06.2017, 13:45

Сообщение от mrWan

по моему с куки будет безопасней

С кукой будет неудобнее, а на безопасность это особо не влияет.

@plohoyav · 08.06.2017, 14:08

Сообщение от Jewbacabra

Странное утверждение. Неоднократно восстанавливал забытые пароли потому что забыл, а не украли

Память вредно для здоровья

Сообщение от Jewbacabra

Чтобы отправить пароль надо его хранить в открытом виде, что уже не безопасно

Так считалось ранее, до появления флеймворков и орм, автоматически экранирующих данные в mysql запросах

Добавлено через 3 минуты

Сообщение от Jodah

Т.е. если злоумышленник запустил процесс восстановления пароля, то только он и сможет его восстановить, а реальный пользователь уже нет?

Частая проблема на сайтах, которые изменяют пароль при восстановлении.

Добавлено через 4 минуты

Сообщение от mrWan

у злоумышленника нет доступа к почте пользователя

В сети хватает хакеров предлагающих услугу взлома электронной почты.

Сообщение от miketomlin

Ну двигайтесь, кто ж вам мешает. Мы, например, двигаемся не к, а от. Даже разделяемый акк собственного формата убрали.

Если вы не довольны, значит двигаться не надо.

Новые блоги и статьи Все статьи Все блоги /
Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .	Модель микоризы: классовый агентный подход anaschu 02.01.2026 Раньше это было два гриба и бактерия. Теперь три гриба, растение. И на уровне агентов добавится между грибами или бактериями взаимодействий. До того я пробовал подход через многомерные массивы,. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .

@mrWan 16 / 14 / 16 Регистрация: 07.02.2017 Сообщений: 292

	Отправка ссылки для изменения пароля от личного кабинета 07.06.2017, 22:39. Показов 2169. Ответов 23 Метки нет (Все метки) Ребята кто посоветует как лучше, безопасней, лаконичней всего можно сделать это 0

@plohoyav 313 / 312 / 221 Регистрация: 11.07.2015 Сообщений: 1,107
	08.06.2017, 00:10
	Пароль обычно меняют, когда все пароли украдены, в том числе от почты. Отправлять ссылку для изменения пароля на почту не безопасно. Безопасно - указать смс номер, куда напишет клиент, а в ответ получит забытый пароль. Добавлено через 3 минуты Если пароль случайно удалён, а не украден, можно отправлять пароль на почту в случае отсутствия привычной активности на сайте, по прошествии 2 недель + максимальная пауза между посещениями данного пользователя 0

@plohoyav 313 / 312 / 221 Регистрация: 11.07.2015 Сообщений: 1,107
	08.06.2017, 00:22
	Лучше дать пользователю при регистрации право самостоятельно решать, какие варианты восстановления пароля он считает приемлемыми Добавлено через 7 минут Хранение пароля в открытом виде безопасно, хотя бы потому, что в случае потери ключа расшифровки списка зашифрованных паролей 0

@mrWan 16 / 14 / 16 Регистрация: 07.02.2017 Сообщений: 292
	08.06.2017, 00:56 [ТС]
	я сделал вот так: после нажатия на ссылку "забыли пароль" прошу ввести почту, потом ищу эту почту в базе, если она есть, делаю куку на 20 мин, генерирую рандомное число, его хеширую и присоединяю к $_SERVER['HTTP_HOST'], потом отправляю на почту уникальную ссылку! Когда выполняется переход по ссылке, сравниваю уникальные ссылки на идентичность и проверяю куку(которую поставил на 20 мин), если проверка успешна, то отправляю на страницу создания нового пароля. Я правильно все сделал ? или может есть способы получше ? 0

@miketomlin 930 / 846 / 190 Регистрация: 28.11.2013 Сообщений: 3,621
	08.06.2017, 11:10
	На вопрос ответьте. С чем будете сравнивать входящий адрес, чтобы понять, что ссылка корректна? 0

@plohoyav 313 / 312 / 221 Регистрация: 11.07.2015 Сообщений: 1,107
	08.06.2017, 11:45
	Лучше двигаться в сторону openid, один аккаунт - сотни сайтов, экономия времени на регистрацию, на вход Добавлено через 1 минуту В идеале openid в виде аддона firefox, который хранит логин, пароль, сам авторизуется на всех сайтах 0

@miketomlin 930 / 846 / 190 Регистрация: 28.11.2013 Сообщений: 3,621
	08.06.2017, 11:53
	Ну двигайтесь, кто ж вам мешает. Мы, например, двигаемся не к, а от. Даже разделяемый акк собственного формата убрали. 0

@mrWan 16 / 14 / 16 Регистрация: 07.02.2017 Сообщений: 292
	08.06.2017, 12:39 [ТС]
	по моему с куки будет безопасней 0

@Jodah 3899 / 3237 / 1353 Регистрация: 01.08.2012 Сообщений: 10,904
	08.06.2017, 13:29
	mrWan, это самообман. 0