Не светите мой e-mail

Підписуйтеся на Telegram-канал «DOU #tech», щоб не пропустити нові технічні статті.

Здравствуйте!
Возможно, прочитав этот пост, кто-то скажет, что я излишне конспиративен, хотя...

Забегая назад

Как-то раз мой знакомый спросил меня зарегистрирован ли я на Facebook. А так как я несколько месяцев назад удалил (если это можно назвать удалением) свой аккаунт, то сказал, что нет. И он сказал мне, что я точно был зарегистрирован в этой социальной сети. И знаете как он про это узнал, да очень просто, он зашел на страницу «Забыли пароль?» и ввёл мой e-mail адрес. Каким был ответ вы наверняка догадались.

Этим грешат очень многие, если не все сервисы в интернете. Неужели информация о присутствии меня в том или ином сервисе, блоге, социальной сети, интернет магазине — это не моя личная информация. Получается, что мой сосед, зная мой e-mail, может запросто узнать мою жизнь в сети. Я ещё понимаю, когда присутствие человека и информацию о нем запрашивают спецслужбы страны, но чтобы обычный прохожий мог это сделать, тут уж совсем...

Возьмём к примеру банки, гостиницы, медицинские учреждения. Они не палят без согласия своих клиентов (но вот их сайты палят). Если на ресепшене в гостинице сказать прямо, что вы у них конфиденциально, то вас как-будто и не было в этой гостинице (прохожему с улицы они уж точно ничего не скажут), хотя они и так должны молчать.

Но в интернете на каждом шагу эту конфиденциальность нарушают. Например, если попробовать зарегистрироваться с e-mail адресом, который уже есть в системе, то вам ответят, что такой e-mail уже есть в базе данных. Тоже произойдёт и с запросом пароля «Забыли пароль?».

Что делать?

Могу предложить один из вариантов.

Итак, при регистрации, если пользователь ввёл всю информацию правильно и оказалось, что только e-mail уже есть в базе данных, то пользователю выдавать сообщение, что регистрация прошла успешно и на email ушло письмо со ссылкой для активации аккаунта. А самого пользователя можно и не регистрировать, а лишь отправить на e-mail письмо с текстом о пробе повторной регистрации.

При запросе забытого пароля можно (даже нужно) показывать примерно такое сообщение: «Если данный e-mail присутствует в нашей базе данных, то на него будет отправлено письмо с паролем» (вариантов можно придумать великое множество). Но никак не выдавать сообщение на присутствующий e-mail: «Пароль отправлен». А на отсутствующий: «Такого e-mail адреса нет в системе».

Это же касается nickname, телефонов. Конечно же это мало относится к социальным сетям, так как социальная сеть подразумевает обмен информацией. Но если я хочу быть полностью инкогнито в интернете, то эта маленькая лазейка не даёт мне спокойно жить.

Теми: email, безпека

Ctrl + Enter

Olga Gnatenko Front-end Developer 19.08.2014 13:25

Но если я хочу быть полностью инкогнито в интернете, то эта маленькая лазейка не даёт мне спокойно жить.

Одна почта для переписки с людьми, вторая — для всяких регистраций, вторую не связывать с собой никакими личными данными и никому не палить.

Відповісти

Підтримати

Виталий Рудюк 19.08.2014 14:15

Согласен с вами, но легко запутаться со временем. Стоит лишь раз перепутать и все. Сразу же пойдет спам и всякого рода рассылки, и потом еще больше начнете путаться. У меня самого такое часто случается. И я не один такой. Можно только позавидовать тем людям, которые всегда все помнят и никогда не ошибаются. Хотя, где же их найти...

Olga Gnatenko

Artem Komisarenko C++ Software Developer в Zultys 19.08.2014 08:28

При запросе забытого пароля можно (даже нужно) показывать примерно такое сообщение: «Если данный e-mail присутствует в нашей базе данных, то на него будет отправлено письмо с паролем»

Где-то видел при попытке восстановить пароль такое сообщение. К сожалению, чаще палят e-mail.

Олексій Пєніє 19.08.2014 07:48

Офигеть. Молодец, нарыл. Это берёшь контакт-лист, и отправляешь по всем сетям для геев, итд, итп. Скрипт не особо сложен, согласись, хотя местами есть капча.

Вот только жертва БУДЕТ знать. Что не есть гуд. И нажав какую-нить кнопочку «пожаловаться», может породить не совсем ожидаемые последствия. То бишь способ не для новичков.

Лично я для себя решил этот в лоб — у меня несколько ящиков. Один из которых для весьма сомнительных сервисов. Я считаю, этого хватает с головой, то есть мир менять не нужно.

Виталий Рудюк 19.08.2014 09:07

А я и не предлагал менять мир. Лишь обсудить хотел и понять является ли это еще для кого-то проблемой (маленькой-маленькой). Ведь чтобы запустить эту тему в мир нужно создать тенденцию. Например, если wordpress перестанет светить e-mail, то тут же начнется всеобщий тренд.

Олексій Пєніє

Олексій Пєніє 19.08.2014 15:29

Я считаю, что проблема не серьёзна. По крайней мере, не серьёзнее чем средняя опасность доступа по логин-паролю вообще. Атака, при которой жертва знает что её атакуют — достаточно сложна, и как правило нацелена на банковские доступы, а не на социалку.

Теоретически твой email узнать не так уж и сложно. Достаточно узнать ЛЮБОЙ твой контакт, и соблазнить пойти куда-либо зарегистрироваться. Там ты его укажешь.

Я больше скажу, ты и пароль укажешь. Который с огромной долей вероятности подходит куда-то ещё, с твоим мылом в качестве логина.

С другой стороны, уязвимость всё-таки есть. И она социальная. Например, твой email могут проверить на сайтах для гомосексуалистов итп, и таким образом узнать о тебе то что ты может не хотел раскрывать. И использовать это против тебя, например в переговорах. Или даже при взятии на работу, при торге указать что ты не такой как все.

IMHO о такой уязвимости не стоит писать в технических блогах, если не сможешь подсказать вменяемое решение. Или хотя бы гипотезу что можно сделать.

Проблемка ещё вот в чём — кроме email там может выступать номер телефона. Который люди менять не склонны.

Я считаю, решение есть — на сайтах С ПОВЫШЕННОЙ конфиденциальностью (а таких весьма малый процент) нельзя давать РАЗНЫЕ ответы при запросе существующего и не-существующего логина в процедуре восстановления. То бишь, мир менять не нужно. Лишь самым секъюрным стать ещё чуточку секъюрнее.

Виталий Рудюк

Виталий Рудюк 19.08.2014 15:48

Я считаю, решение есть — на сайтах С ПОВЫШЕННОЙ конфиденциальностью (а таких весьма малый процент) нельзя давать РАЗНЫЕ ответы при запросе существующего и не-существующего логина в процедуре восстановления.

ну, а я о чем

Олексій Пєніє 20.08.2014 04:49

Ну и нормально. Только чтобы раздуть из мухи слона, лучше сделать исследование. Возьми заведомо несуществующий email и попробуй восстановить пароль на самых известных сайтах.

Например, на порнореусрсах или на сайтах политических партий [уж очень не любит работодатель людей с политическим фанатизмом, автоматически причисляя туда всех кто имеет хоть какие-то симпатии]. Достаточно быстро соберёшь табличку по уязвимости есть/нет, покрасишь в красный-зелёный — и уже серьёзная работа, хоть дисертацию пиши.

Вот пример ssmaker.ru/6a97e4dd.png — уязвимость имеется.

hs 19.08.2014 12:47

тобто у вас окремий мейл для доу, а ще один — для соц мереж геїв?
підхід цікавий, але не заплутаєтесь ? :)))

Eugene Varava PHP/Python Developer 19.08.2014 13:19

А ви, мабуть, і всю робочу пошту досі пересилаєте на зареєстровану в 98му році скриньку на ukr.net?

hs 19.08.2014 13:25

взагалі робоча пошта по означенню лежить на роботі, на корпоративному ящику, а для персональної є гмейл з 04го року :))

Eugene Varava

Олексій Пєніє 19.08.2014 15:35

У меня их 4 в активном пользовании, в частности один — для сервисов с повышенными правами. В частности, там где я админ. Ещё один — для финансовых сервисов. Основной для публичных сервисов где меня знают по ФИО, и один для одноразовых регистраций и непубличных контаков, отвязанный от ФИО. Все заведены в оффлайн-клиента, то бишь вообще не напрягают.

Также есть пачка фейковых личностей для участия в инфо-войне и маркетинговых действий. Те иначе как через прокси не пользуются.

Mikhail Boiko SE в NVIDIA 18.08.2014 22:51

Целиком и полностью разделяю ваши опасения, ведь за каждым нашим шагом следят разные подозрительные личности и нельзя быть уверенным ни в чем на 100 процентов. Единственный способ избавиться от этого это использовать такой прибор (смотрите картинку по ссылке) dl.dropboxusercontent.com/...632562/foil.jpg

Это элегантное устройство спасает от считывания мыслей информационными лучами, защищает от слежки в сети, незнакомцы перестают проверять зарегистрирован ли ты в социальных сетях, один словом, радикально повышает твою конфиденциальность. Лично я без него на ДОУ никогда не захожу и вам советую.

З.Ы. Кстати, могу недорого уступить, если что, обращайтесь, я знаю как сложно в наше время найти такой полезный и многофункциональный прибор.

Виталий Рудюк 19.08.2014 09:01

Пишите тогда вместо своего имени пароль от аккаунта. Надеюсь шапочка вам в таком случае поможет. Только вот пароль сервисы почему-то не показывают, а e-mail показывают.

Mikhail Boiko

Sergii Surskykh Software Engineer 18.08.2014 14:58

Как страшно жить!©

Tim Vlasyuk CEO в Global Ukraine 18.08.2014 14:53

Неужели информация о присутствии меня в том или ином сервисе, блоге, социальной сети, интернет магазине — это не моя личная информация. Получается, что мой сосед, зная мой e-mail, может запросто узнать мою жизнь в сети.

Що Ви скажете, коли 10-30% жителів планети матимуть можливість читати думки, отримувати інформацію з ноосфери(хронік Акаши, тощо)?

Хроники Ака́ши, также акаши́ческие записи — теософский эзотерический, а также антропософский термин, описывающий мистическое знание, закодированное в нефизической сфере бытия. Мистиками считается, что Хроники содержат в себе весь совокупный и коллективный человеческий опыт и историю возникновения Вселенной. Для определения Хроник Акаши используются образные аналогии с “библиотекой”, “вселенским компьютером” или “Разумом Бога”. Мистиками считается, что содержащаяся в них информация постоянно обновляется с ходом происходящих в мире событий, однако наряду с данными об истории и фактической реальности там могут быть получены и сведения о возможных будущих событиях, а также вневременные “вечные истины”. В связи с этим концепция Хроник Акаши мистиками применяется для объяснения феномена ясновидения, а также предлагается в качестве источника вообще всех человеческих открытий, изобретений и произведений как в научной, так и в художественной области творчества.

інформація належить всім і нікому — це надбання всього людства... це просто інформація “сама по собі”

Виталий Рудюк 18.08.2014 14:55

Зачем писать о том, что ни разу не подтвердилось?

Tim Vlasyuk

Tim Vlasyuk CEO в Global Ukraine 18.08.2014 14:58

Что не подтвердилось? То что Вы чего-то не знаете не означает, что другие этого не знают.

Відповідно до оригінальної теорії Вернадського, ноосфера є третьою у послідовності таких основних фаз розвитку Землі як утворення геосфери (неживої природи) та біосфери (живої природи).
Так само, як біосфера утворюється взаємодією всіх організмів на Землі, ноосфера складається усіма розумами, що взаємодіють.

Людство ще дійшло до розуміння ноосфери та інформації. Ок. Тема нова і малодосліджена.

Виталий Рудюк 18.08.2014 15:00

Это не в тему. Не раздувайте ненужную дискуссию

Tim Vlasyuk CEO в Global Ukraine 18.08.2014 15:09

Неужели информация о присутствии меня в том или ином сервисе, блоге, социальной сети, интернет магазине — это не моя личная информация.

Що Ви вважаєте особистою інформацією?
В інтернет не існує гарантій конфіденційності. Будь яка інформація, яка з’явилась в мережі, може бути отримана зацікавленими особами.
Голлівуду хоч вірите?
90% компаній прослуховують службові мобільні співробітників, мають доступ до «особистої» електронної пошти, тощо. Зазвичай це відкрито прописано в угодах про конфіденційність. :)

Виталий Рудюк 19.08.2014 08:46

Я писал про соседа, а вы приводите в пример очевидные вещи.

В інтернет не існує гарантій конфіденційності. Будь яка інформація, яка з’явилась в мережі, може бути отримана зацікавленими особами.

Вот вы, например, можете получить все письма с моего ящика за прошлую неделю? Нет? Ну ведь по вашей логике информация принадлежит всем и каждому.

Tim Vlasyuk CEO в Global Ukraine 19.08.2014 09:48

Хто Вам може гарантувати, що сусід не стежить за вами?
класичний випадок десяток разів обіграний в фільмах
Мені це не потрібно, але люди яким потрібно — зможуть.

Виталий Рудюк 19.08.2014 09:49

Отойдите от телевизора :)
А если серьезно, то вот, что я вам скажу. Светите свои данные везде где только можно, все данные, и секретные, и нет. Вам же все равно, любой интересующийся их может узнать. Тут дело даже не в статье, а в том, что вы не отделяете мух от котлет. Смешались кони, люди.

Виталий Рудюк 19.08.2014 09:58

Теперь пример из жизни. Бюлетени на выборы президента вы черкаете ананимно в кабинке, но властям ничего не стоит узнать кто за кого голосовал. Но я например не хотел бы, чтобы, например, бабка истеричка, щелкающая семечки возле подъезда, знала за кого я отдал свой голос, потому, что если она против этого кандидата, то начнется скандал в подъезде. Ну вот как-то так.

Dmytro Lapshyn Tech Lead в Fulcrum Rocks 19.08.2014 18:30

властям ничего не стоит узнать кто за кого голосовал

Любопытно, каким именно образом? Даже если поставить в каждой кабинке по скрытой камере, это же нужно распознать лицо каждого голосовавшего — раз, и где именно он поставил галочку в бюллетене — два. Насколько я знаю, на 100% автоматически такая задача сейчас не решается, а объем ручной работы вы можете представить сами...

Виталий Рудюк 21.08.2014 13:08

Посмотрите на это под другим углом. Зачем какие-то камеры и распознавание лиц. На выборах вы показываете свой паспорт(с которого переписывают инфу) и расписываетесь на верхнем корешке, а то, что связи между верхней и нижней частью корешка нет, так вы лично это проверяли? Может там под ультрафиолетом будет видно идентификаторы. Или еще как-то извратятся. Я не утверждаю, что такое есть или было, я лишь пишу, что такое возможно. Ну и ясное дело, что правительству не нужны вообще эти голоса, точнее знать какой именно человек за кого голосовал. В некоторых странах их вообще считают видимо для вида. Но это уже политика. Про бюлетени я лишь для примера привел ситуацию.

Dmytro Lapshyn

Dmytro Lapshyn Tech Lead в Fulcrum Rocks 19.08.2014 18:27

10-30% жителів планети матимуть можливість читати думки, отримувати інформацію з ноосфери(хронік Акаши, тощо)?

З цього приводу згадав дуже цiкаву фантастичну повiсть «Рiвень шуму»

Tim Vlasyuk CEO в Global Ukraine 21.08.2014 16:06

Читання думок — це здатність вловлювати сигнали, які інші люди подають несвідомо своїм тілом, і за допомогою цього вгадувати, про що вони думають. Чи не є ваші спроби проникнути в чужі думки вторгненням в чужий особистий простір?
— Генрік Фексеус: Ви дивитеся в корінь. Звичайно, це, з точки зору обивателя, суперечить законам етики. Але не забувайте, що я проводжу свої досліди тільки, коли люди самі тим чи іншим чином розповідають мені про себе. Інша справа, що це відбувається підсвідомо. Люди часто самі не підозрюють, що своїми рухами видають особисту інформацію. Тим, хто може це розшифрувати, я б порадив не зловживати отриманими даними, ставитися до них шанобливо і не використовувати в негожих цілях.

interviews.com.ua/...i-signali-tila

Зокрема, команда з університету Неймегена в Нідерландах створила програму для оцінки змін у мозковій діяльності людини з використанням функціональної магнітно-резонансної томографії (МРТ). Під час випробувань експерти показали учасникам ряд листів, і змогли точно визначити, на які букви піддослідні дивилися.

tsn.ua/...dey-307919.html

Pavel Kruchina CTO 18.08.2014 14:38

Но если я хочу быть полностью инкогнито в интернете

... то используйте «тайный» емейл для регистраций.

Sergii Voloshyn Product Manager в DOU.ua 18.08.2014 14:44

По идее, частично может решить проблему и использования обычного имейла, если его указывать как-то так:
[email protected]

Pavel Kruchina

Artem Komisarenko C++ Software Developer в Zultys 19.08.2014 08:26

Ряд даже довольно известных сервисов даже точку в адресе не переваривают (или переваривают, а потом стрипают, так что приходится ломать голову, чтоб залогиниться), а уж с плюсом...

Sergii Voloshyn

Виталий Рудюк 18.08.2014 14:49

Я за все время зарегистрировался на сотнях сайтов. Значит мне нужно 100 адресов иметь. Хотя есть выход, можно зарегить домен и направлять всю почту на любой адрес этого домена на один основной, например, [email protected]. Но обычный пользователь не будет этим заморачиваться. Да и вообще не обычные пользователи должны об этом думать.

Виталий Web developer в vioma GmbH 18.08.2014 14:57

«Тайный» email на то и тайный, что одного достаточно :)
Ну а вообще как писали выше — используйте [email protected] для регистраций и будет вам счастье

Виталий Рудюк 18.08.2014 14:58

Извините, промахнулся с комментарием. Хотел Sergii Voloshyn ответить.

Виталий

anonymous 18.08.2014 15:00

Виталий Рудюк 18.08.2014 15:05

Я лишь хотел донести мысль, что текущая ситуация плоха. А вы мне предлагаете решения с моей стороны. Но я ленив и не хочу морочить себе голову всякими там Mailinator-рами. Думал найдутся люди поддерживающие такую мысль. Но видно «не судьба».

anonymous

anonymous 18.08.2014 17:49

Виталий Рудюк 19.08.2014 08:59

Не судите по себе

Виталий Рудюк 18.08.2014 14:52

Можно использовать и тайный, но это все равно накладно. Тем более, что проблема не только с e-mail, ведь nickname и телефон тоже светят тебя на сайтах

Dmytro Lapshyn Tech Lead в Fulcrum Rocks 19.08.2014 18:34

Как я понял из обсуждения, «накладные расходы» возникают только для тех сайтов, факт регистрации на которых действительно нужно скрывать. ИМХО обычные соцсети типа лицокниги или контактика к таковым не относятся — в последних достаточно не светить контактные данные без необходимости. Ну а для таких сайтов телодвижения по регистрации «левого» емейла и выдумыванию ника явно будут дешевле, чем разгребание последствий попадания факта самой регистрации в ненужные руки.

Это как в компьютерной безопасности — стоимость защиты не должна превышать потерь от взлома.

Не светите мой e-mail

Забегая назад

Что делать?

40 коментарів

Підписатись на коментарі

Новини