• лытдыбр работа Клиент указал несуществующий емыл (поправил уже после регистрации и т.п.). Всё бы неплохо, но пароль рута при сбросе/создании вдс уходит на емыл.

Replies (18)

  • @stanislavv, @stanislavv Такие важные емейлы надо проверять, желательно автоматом
  • @Anonymous, Задача есть. Ещё б погромисты ей занимались. Год уже есть...
  • @stanislavv, щас бы пароли какие-то слать, у вас ssh ключи нельзя закинуть?
  • @rtfmpls, Можно конечно. Но это ж надо уметь. Про клиента с лапками я уже писал :-)
  • @stanislavv, здесь нужно что-нибудь типа 2FA, отправлять на почту зашифрованный файл, а ключ от файла SMSкой на телефон,
    плюс отправлять можно не сразу готовый пароль, а просто ссылку на одноразовое скачивание пароля — тогда будет возможность учесть на сервере условия и как бы деактивировать отравленное ранее сообщение
  • @cypa, С учётом большинства контингента — не поймут-с... Провинция-с...
  • @stanislavv, у вас поддержка есть, у меня кто клиенты по фрилансу тоже многие по сайтам, все понимают фокус с зашифрованным pdf и паролем в SMS
  • @cypa, короче, пора мне свою контору по поддержке хостинга открывать
  • @cypa, Если ввести больше безопасности — будет больше нагрузка на поддержку. Проверено, мать его...
  • @stanislavv, это ли не социальная ответственность ИТ-бизнеса? учить народ ИТ-безопасности
  • @cypa, Если начать учить таким образом — безопасности реально больше не станет, а вот денег потеряется достаточно из-за проблем с другими задачами.
  • @stanislavv, а ежели умеючи?
  • @cypa, ну, ладно, понятно ...
  • @cypa, Для этого нужна мотивация со стороны обучаемых, чего не наблюдается. Большинству сия безопасность никуда не сдалась.
  • @stanislavv, да понятно ... а кто кроме нас? с другой стороны
  • @cypa, Если пациент активно сопротивляется — проще забить и не тащить его в светлое будущее.
  • @stanislavv, на хостинге может и так ... но у меня ещё ни одни клиент фриланса не возмущался что я зашифрованный pdf отправил с паролями
  • @cypa, Хостинг — штука массовая... Туда идут всякие... И хорошо ещё, что совсем упоротых мало, но вот тех, у кого хостинг по обязанности или чисто потому что так принято — дохрена. Более-менее нормальных, которые таки включили 2FA в личном кабинете — меньше 10%