Topic: Новая "фишка" форума по защите аккаунта (Read 487 times)

Отпишусь по теме, хотя и вышло предупреждение, что темв не аппалась более 120 дней.
Пару слов - при регистрации указал старый мейл, все хотел его поменять.
Сегодня наконец-то руки дошли, в связи с чем и пишу пост.
1. Судя по пришедшему письму, теперь сроки увеличены с 7 до 14 дней.
Пруф


2. Учетная запись не блокируется на это время, буквально недавно написал пост
Пруф


Написал для информации, вдруг кому пригодится.
Правила, надеюсь, не нарушил (п.21. Старые "апы" (бесполезные сообщения, которые делаются только для поднятия тем) удаляются.)

Пользователи в оригинальном треде предполагают, что это позволяет составить список аккаунтов, которые начали процедуру, и вовлекает сообщество, поскольку логи публичны. Естественно, если рассматривать только взломанные аккаунты, владелец которых явно в курсе взлома (воспользовался ссылкой для блокировки, тему в Meta создал и так далее), то нововведение кажется несколько бессмысленным. Но все становится более-менее понятно, если вспомнить о том, что восстанавливаться могут не только такие аккаунты, но и аккаунты, данные от которых были утеряны или которые оказались заблокированы, например, вследствие долгого неиспользования. Вроде как, если такой аккаунт внезапно пытаются восстановить, старые знакомые его владельца могут это отследить по логам и как минимум навести справки, а тот ли человек его восстанавливает - ну, и поднять бучу, если вдруг заподозрят неладное. Да и сам владелец тоже об этом узнает, поскольку ему придет оповещение.


Не вижу никакой связи с продажей аккаунтов - тем паче, что администрация с ней никогда и не боролась.

По-моему, неплохая система разоблачения продажных аккаунтов! Из-за таких, которые приходят на этот форум регают аккаунты и постят по 1 посту в день для набивки активности (сейчас такие аккаунты от фула и выше), а потом продают такие профили. Я считаю, что это нечестно по отношению к тем, кому из новичков действительно нужен и полезен форум. Поэтому я поддерживаю такую политику смены почты!

А как это нововведение поможет с защитой аккаунта? это же просто документирование, и дабы восстановить аккаунт нужно все также писать админам (а до них проблема достучаться) и подтверждать владение аккаунтом подписанным сообщением в сети биткоина, или я все не так понял?

Очень интересное и нужное нововведение. Потерять акк -это просто трагедия. А тут дается инструмент, который позволит снизить взломы пользователей. Главное чтобы это работало

Суть (для тех, кто, так же, как и я, ничего не понял из перевода):
 - на странице seclog.php у ряда аккаунтов теперь высвечивается новая запись ("manual recovery, ownership change queued"; скриншот - выше);
 - означает она то, что администратор начал процесс смены электронной почты на указанном аккаунте;
 - процесс смены электронной почты - нововведение, являющееся частью улучшений для восстановления аккаунтов, которые theymos планирует внедрить до конца года; утверждается, что эти улучшения позволят существенно ускорить восстановление.

Процесс смены электронной почты представляет собой следующее (пошагово):
 - администратор меняет старый адрес e-mail на новый;
 - в seclog.php появляется запись "manual recovery, ownership change queued" и на старый e-mail высылается оповещение, что процесс начался;
 - аккаунт блокируется;
 - само изменение адреса, однако, откладывается на семь дней;
 - по прошествии семи дней адрес меняется и в seclog.php появляется запись о завершении процедуры (предполагаю, что она будет тоже какой-то новой).

Администраторы, при желании, могут ускорить процесс.
Все это позволит остановить передачу прав на аккаунты в случае, если возникает конфликт интересов (т.е. если процесс запускается, а потом появляется некто, оспаривающий право на владение аккаунтом). И если вы вдруг получили оповещение о начале процесса (т.е. кто-то таким образом начал "забирать" у вас ваш аккаунт), вы можете поставить администратора в известность и привести доказательства. Но вообще большая часть пользователей ничего не получает конкретно с этого нововведения, и theymos просто хотел как-то "задокументировать" его, чтобы его потом не спрашивали, что там за загадочные надписи появляются в seclog.

В качестве дополнительной защиты от любых возможных атак социальной инженерии, всякий раз, когда администрация изменяет адрес электронной почты учетной записи от его текущего значения, будет происходить следующий процесс:

 - Изменение e-mail адреса будет ставится в очередь

 - Это изменение публикуется в разделе seclog.php

 - Старый почтовый ящик получает письмо-предупреждение о начале процедуры смены электронной почты в аккаунте

 - Через 7 дней смена адреса электронной почты проходит и в seclog.php появляется еще одна запись

Учетная запись остается заблокированной на протяжении всего этого времени!

Скриншот seclog.php


Ссылка на оригинальный топик