matematikk.net

Hei. Vet ikke hvor ellers jeg skulle poste dette. Ville bare spørre hvorfor jeg fikk passordet mitt, helt ukryptert i mailen ved registrering av bruker? Er ikke det ganske dårlig stil?

Nå er det ikke jeg som administrerer forumet, men så lenge koplingen mellom nettleseren og MX-tjeneren er kryptert (HTTPS eller SSL), så har det lite å si med mindre e-postkontoen din er underlagt dårlige passord-rutiner.

Jeg tenkte mindre teknisk på det. Jeg mener, det er ikke konvensjon for forum å sende egendefinerte passord i mail helt ukryptert på den måten.

Da er det vel heller vanlig at forumet sender ett autogenerert passord slik at brukeren senere kan endre det på egen hånd.

Bare en filleting, men allikevel noe jeg la merke til.

Husker jeg stusset på det selv. Mest fordi jeg bruker e-postklinet (som automatisk laster ned mail og som ikke krever passord hver gang jeg skal lese dem) på både PC, mobil og nettbrett, enheter folk låner av meg.

Som en generell regel bør vel ingenting du ikke synes det er greit at hele verden vet sendes som epost - men så er det vel en avveining mellom hva som er sikkert og hva som er behagelig og brukervennlig. Hadde matematikk.net vært en bank, så hadde vi ikke lagret passordene i plaintekst - men vi er ganske langt unna å være en bank så derfor kan vi tillate oss å gjøre livet behagelig for oss selv og våre brukere. En annen ting er at forumet vi bruker (phpbb3) har tatt dette valget for oss for mange år siden. Tror ikke vi kommer til å endre noe med det første :-)

Dere har rett i at passordendringer gjerne skal foregå i form av link til en side som krever innskriving av gammelt passord. Det kan jo Vaktmester ta en titt på.

Gjest skrev:Husker jeg stusset på det selv. Mest fordi jeg bruker e-postklinet (som automatisk laster ned mail og som ikke krever passord hver gang jeg skal lese dem) på både PC, mobil og nettbrett, enheter folk låner av meg.

Når det gjelder dette, så burde du strengt tatt likevel vurdere hvor sikkert det er å låne bort utstyr som automatisk laster ned mailen din, i programmer som ikke krever passord for å åpne. Det er mulig du låner bort til folk du stoler på, såklart, men det er likevel ansett som dårlig praksis. Hvis man leser over Terms of Service (ToS) og End-User License Agreements (EULA) når man lager en e-postkonto, så ser man at det er opp til brukeren selv å hindre andres innsyn i innholdet. Det er leverandørens ansvar å sørge for at passordet ditt er kryptert i databasen.