08/02/2006, 08:19
| |||
| |||
| Gestion de Usuarios Hola si alguien del foro me podria decir cual es el beneficio de que cuando una persona se esta registrando en una pagina te manden tu contraseña a tu correo y no asi permiten que la persona escriba su correo ¿Es por cuestiones de seguridad? es que yo como usuario preferiria escribir mi contraseña. es que yo estoy en ese dilema y necesito opiniones. |
|
08/02/2006, 08:34
| ||||
| ||||
| Pienso que enviarle el correo es para controlar que esta persona realmente exista y luego registrarla, además, crearle una contraseña te asegura que no será una contraseña fácil de adivinar. |
|
08/02/2006, 12:56
| |||
| |||
| Cita: Para otros posibles intrusos que quieran ir probando hacer login en tu sistema con esos datos.
Iniciado por x_women Facil de adivinar para quien?? No es lo mismo generar algo totalmente aleatorio y alfanumerico que usar palabras "de diccionario" .. cosas que todos probaríamos por si "cuela". Un saludo, |
|
08/02/2006, 14:36
| ||||
| ||||
| X_Women, esto es seguro hasta para ti como usuario. Mira, imagina que yo soy el dueño del unapagina.com y tú entras ahí y te gusta el sitio y te registras, ¿ok? Bueno, pues yo apuesto a que al menos el 30% de la gente usará la misma contraseña que tiene en su correo (y el porcentaje es cierto), así que yo si soy un abusivo, entro a los correos de la gente a ver qué les saco. ¿Me explico? Así que un administrador que te envía tu pass, además de todo lo que ya se dijo, es alguien que no abusará de tu confiaza. |
|
09/02/2006, 07:20
| |||
| |||
| Disculpen una consultita sobre algo que puede pasar: que pasa si el correo que me introduciese fuese incorrecto. ¿Donde llega el password? entonces el usuario no podra ingresar nunca......... |
|
09/02/2006, 07:42
| |||
| |||
| El proceso de "registro" si usas un e-mail no debería ser así de simple .. Primero debes confirmar la dirección de correo, para eso le envias un e-mail con una "llave de activación". Eso se realiza simplemente haciendo: 1) Generas un código (aleatorio que no se repita) .. lo almacenas en el registro provisional del usuario: nombre/identificador -> código de activación que generastes -> e-mail que estás validando. 2) Envias un e-mail con ese código de activación (normalmente le indicas un link para que se "active" tipo: http://[email protected] 3) El script de "activación" pregunta algo más (el "nombre" .. u otro dato que se usó para el registro: objetivo .. si cae en otras manos este e-mail no pasará el proceso de activación) y tu contrastas todos esos datos contra tu BBDD .. si pasa .. activas al usuario y si lo deseas ahí es cuando puedes enviarle su password y datos de registro a ese e-mail ya autentificado que es del usuario que se registra. También podrás usarlo si necesitas para "recordar contraseña" con tan sólo que el usuario indique su e-mail que usó en su registro. Por supuesto nunca evitaras que ese e-email con ese "password" lo vé por descuido otra persona .. o sea capturado en una LAN por algún "administrador" mal intencionado .. (u software ...) sea usado en contra del usuario. Eso ya no es problema tuyo .. pero en ese caso sería bueno NO enviar ningún pasaword por e-mail .. simplemente lo genera tu aplicación y se lo muestras para que tome nota donde quiera .. (tampoco es infalible esto mismo .. si no usas SSL para que los datos no vieajen "en texto plano" sino que sean encriptados para que nadie los interprete si se capturan por el caminio ... ). En fin .. método "infalible" no hay .. pero si que algunas mejoras para evitar ese riesgo lo más posible. Un saludo, |
