Mensajes

Edit: además casi todas las aplicaciones solicitan un correo electrónico independientemente de si se logean con username o email, así que la suplantación es posible ahí también

No. Porque ese e-mail que se solicita es para comprobación. No para loguearse después.

Se solicita para mandar desde el servicio un correo a esa dirección y poder comprobar mediante el correo de vuelta que desde esa dirección se ha solicitado realmente el servicio; por ejemplo el participar en un foro.

Una vez que se ha comprobado mediante el correo de vuelta -o la entrada en una página- que el usuario es realmente quien dice ser (en cuanto a su cuenta de correo electrónico se entiende) ya no hay más razón para usar el e-mail como logueo.

Pero de todas formas, si se usa el e-mail -una vez comprobado que es real- para loguerase...
¿cuál es el motivo de cambiarlo unilateral y arbitrariamente desde la administración del sitio?

¿Y se ha comprobado si el nuevo e-mail facilitado es real ? ¿Corresponde a alguien?

Ufff... Me suena a chapuza que ha hecho alguien por su cuenta y riesgo, sin encomendarse a Dios ni al Diablo.
Pinta no la tiene buena,  muy ortodoxo como que no es.

[no tiene por qué corresponderse con una persona real]

Yo lo que no entiendo es por qué usar una -supuesta- dirección de e-mail + contraseña como login para un sitio, en lugar de usar nombre-usuario + contraseña.

La diferencia es importante porque nombre-usuario todos sabemos que es algo completamente virtual, es un alias, un nick que -en principio- no tiene por qué corresponderse con una persona real.

Pero una dirección e-mail sí que puede corresponderse con un usuario real que tiene esa dirección e-mail real a través de la cual se envían y reciben mensajes de una persona, y que por tanto puede ser identificada ante situaciones reales.

Y una persona puede fácilmente usar una dirección e-mail real de otra persona, con lo que interferir en la vida real de esa persona. Por lo que no debería de usarse nunca como método-de-logueado un mail. Es cierto que también puede usarse el nombre real de una persona como nombre de usuario, pero la diferencia consiste en que un nombre de usuario se sabe que -por defecto- no tiene porqué corresponderse con el nombre real de una persona que se llame así, en cambio que con una dirección e-mail sí que se puede corresponder con una dirección real de alguien.

Lo aclaro con un ejemplo. Supongamos que yo en la vida real me llamo Morritos Menopáusico, o sea en los documentos legales de mi país figura:
Nombre: Morritos
Apellido: Menopáusico

Y que tengo como dirección e-mail registrada en el dominio de correo dominiocorreo.com la siguiente cuenta:
morritos_menopausico@dominiocorreo.com
desde la cual escribo y recibos correos reales (que evidentemente me identifican y hasta pueden ser usados como prueba en litigios judiciales).

Es cierto que alguien puede registrarse en cierto sitio en el que se exija nombre-de-usuario + contraseña como:
nombre-de-usuario: Morritos Menopáusico
contraseña: la-que-sea

y si lo veo, puede molestarme e incluso en algunos casos como Twiter, Facebook, etc pedir que baneen a alguien que haya usado ese nombre. Aunque lo tendría complicado porque puede haber bastantes personas que se llamen Morritos Menopáusico (en Facebook pueden verse muchas coincidencias) y si nadie usa fotos mías ni otros elementos que se correspondan sólo con mi personalidad, nadie tiene por qué suponer que soy yo realmente o que es alguien que me está suplantando, sino solamente alguien que, en algunos datos (mi nombre y apellido) coincide conmigo.

Sin embargo, si en un sitio en el que los datos que piden loguearse con e-mail + contraseña, si alguien da como esos datos:
e-mail: morritos_menopausico@dominiocorreo.com
contraseña: la-que-sea

ese alguien sí que está suplantándome, ya que dirección e-mail:
morritos_menopausico@dominiocorreo.com
hay una y sólo una ---> la mía.

Y si alguien ve ese usuario en un sitio y me conoce me identifica a mi personalmente. Y puede afectarme personalmente en mi vida. Por ejemplo ¿y si alguien se loguea en un sitio de pederastas con mi e-mail?

CONCLUSIÓN: lo que hay que evitar desde ya -y ya se está tardando en rectificar- es el usar para logueo una dirección-mail + contraseña.

[Abrir]

A mi no se me abre/extrae nada. Me da error. No es por contraseña porque no me la llega a pedir. Simplemente da error tanto si se intenta Abrir como Gestor de archivadores como Extraer aquí como Extraer en...  Todas las opciones idéntico resultado: ---> error.

Con el Gestor de archivadores por defecto de Lubuntu 18.04... que no sé cual es; datos del Acerca de:

Gestor de archivadores
3.28.0
Un gestor de archivadores para GNOME.
Copyright © 2001–2014 Free Software Foundation, Inc.

EDITO: el enlace y el contenido funcionan perfectamente. Lo he descargado bajo Windows y descomprimido con 7zip sin problemas. Creo que el problema bajo Lubuntu es que el Gestor de archivadores -por defecto- sólo sirve para archivos .tar y los trata a todos por igual. Por lo visto no sirve para archivos .rar.

Siento si he causado molestias.

[sí]

Me ha parecido entender que sí tiene un arranque dual. Yo tengo igualmente un Windows 10 y un Lubuntu con arranque dual y me pasaba lo mismo al usar Lubuntu. Cuando volvia a Windows la hora estaba cambiada (retrasada) y tenía que sincronizarla a mano tomándo la hora de internet.

Se soluciona muy fácil desde el linux:

https://maslinux.wordpress.com/2018/01/06/sincronizar-hora-en-gnu-linux-y-windows-en-arranque-dual/

La opción 1.

Tienes toda la razón.

[ALGO QUE SE HACE HACE EN ESTE MISMO FORO]

Por supuesto que el compañero decide cual es su entorno y que nivel de seguridad quiere poner.

Pero supongo que desea programar algo que se aproxime a la realidad lo más posible. Y por eso le he dado mi opinión de cómo yo pienso que se suelen hacer las cosas lo mejor posible. No como una exigencia o una pega a su trabajo sino como una forma de mejorarla y acercarla lo más posible a lo que se hace en la realidad.

Respecto a lo que sea una buena práctica, o sea legal, o sea moral... No sé. Ya he puesto el ejemplo de que es ALGO QUE SE HACE HACE EN ESTE MISMO FORO.

Si te molestas en releerme verás que he puesto el ejemplo de cómo en este foro para cambiar tu propia contraseña en Perfil ---> Configuración de cuenta...
... ¡vosotros mismos exigís!... otra vez la contraseña... y por tanto... exigís un usuario autorizado para poder cambiar contraseña...

Y que éso que exigís no es nada más que la implementación de lo que yo había llamado paso 0 unido (pero previo) al paso 3 del compañero que solicitaba opiniones.

Ahora si te parece que esa exigencia de seguridad tan simple y que vosotros mismos exigís sea inmoral, amoral, no legal, etc etc... pues tú mismo, no sé entonces que haces colaborando como moderador en un sitio que practica esas conductas tan poco éticas o morales o legales (según tú).

No sé porqué has llevado este post a este punto cuando solamente se trataba de dar una opinión para mejorar.

Es más tú mismo has dicho (sic): Esto es un foro de seguridad, aquí se trata de mejor la seguridad, no de cumplir con las expectativas de un jefe "ignorante".

¿Y no te parece que, independientemente de quién sea el jefe, se mejora la seguridad de una aplicación proponiendo que para cambiar la contraseña de un usuario PRIMERO se comprube la potestad del usuario para cambiarla, antes de proseguir con el programa? Aunque sólo sea para ahorrar tiempo de ejecución: ¿para qué tomarse la molestia de hacer inputs de contraseña y repetición ANTES de saber si el usuario está capacitado para hacer el cambio? ¿y no al revés?
Primero:paso 0 ¿puede el usuario cambiar la contraseña? SI ---> procédase a petición/verificación de nuevas contraseñas /// NO ----> usuario a tomar x saco. ¿Tan descabellada te parece la propuesta que he hecho?

Porque si te molestas en releerme desde el principio... de eso es de lo que iba mi (intento de) contribución.

Repito por si no me han leido. (Que parece que no)

En un entorno de PC propio casero tú eres el dueño. Tu haces y deshaces contraseñas y nadie te dice nada.

En un entorno empresarial o corporativo en el que tú NO ERES dueño del PC ni del software que utilizas ni... de nada de nada. El dueño es... efectivamente lo has acertado: ¡EL JEFE O EMPRESA!

Y puede hacer o deshacer, decir que programas puedes usar y cuales no y cambiarte o ponerte contraseñas y decir como y cuando puedes usarlas y para hacer según qué cosas. Porque SON SUS MAQUINAS Y SUS SISTEMAS, y decide como y cuando y por quien se pueden utilizar. Como el dueño de una fábrica decide qué operarios pueden utilizar y en qué condiciones la excavadora, la taladradora o la soldadora de perfiles IL de autos.

Y en ese entorno, la empresa o sea el jefe o su administrador de sistemas... puede imponerte las contraseñas que quiera, cuando quiera, como quiera, e impedirte que las cambies tu a tu conveniencia.

Y por supuesto que es legal. Es completamente legal que el dueño de los medios de producción decida cómo, cuando, por quién y en qué condiciones pueden ser utilizados aquellos.

[Mod:]

@Kyrle Eleison, eso ya lo tiene contemplado. Si te fijas, su punto 3 es "Input para pedir contraseña actual".

Sí, pero a mi ésto me parece un error desde el punto de vista de la secuencia correcta de órdenes dentro de un programa. Porque ¿qué pasa si el programa ya ha validado los pasos 1) y 2) cuando se encuentra con que el paso 3) no cumple? ¿Deja la nueva contraseña aunque el propietario no se haya autentificado -al no verificar su contraseña-? ¿Destruye todo el proceso y vuelve al paso 1? ¿No deja ninguna contraseña?

No. Lo lógico es que PRIMERO valide que el usuario tiene permisos para cambiar la contraseña, y después, SI Y SOLO SI el usuario tiene credeneciales... le permita continuar.

Otra cosa es lo que has comentado anteriormente de que el usuario debe tener permisos para editar su propia contraseña. A mi esto me parece un error. No se debe impedir cambiar la contraseña. El usuario debe poder introducir y/o cambiar su propia contraseña en cualquier momento. No se me ocurre ningún caso donde sea beneficioso limitar esa capacidad y se me ocurren unos cuantos donde es perjudicial y hasta ilegal.

Saludos

Debe poder... si cuenta con los permisos necesarios. En una cuenta personal en su propio ordenador su propia contraseña inicial es el permiso.

En una cuenta de empresa o societaria donde es un mero usuario al que otros le han dado permiso, esos otros son los que deciden cual es su contraseña y cómo y para qué puede  usarla... y cuando se la pueden cambiar y comunicárselo.
En un ordenador de otros en el que simplemente estás trabajando... ese otro es el que impone las reglas y tú simplemente te callas -o dices sí bwuana-.

En tu propio ordenador claro que nadie debe impedir cambiar tu propia contraseña. De hecho si alguien lo ha hecho es que te ha hackeado tu ordenata.

Hola, lo de pedir nuevamente la contraseña es por el robo/suplantación de cookies y por la sesión activa... alguien puede dejar la sesión activa y olvidarse de cerrarla, viene otra persona y puede tomar esa sesión pero al pedir contraseña para cualquier cambio, entonces no podrá hacer mucho con solamente tener la sesión activa y ahí es cuando juega un papel importante el pedir nuevamente la contraseña para que el foro pueda comprobar que verdaderamente el dueño de la cuenta es el que está intentando hacer un cambio a su perfil.


Saludos

Por supuesto, lo sé. No lo he escrito como crítica, sino precisamente como ejemplo de caso de porqué no es sólo útil, sino conveniente el poner esa restricción. Ejemplo fácil: en un entorno de ordenador de empresa, tengo la sesión activa, me entran ganas horrorosas de mear, me voy sin bloquear sesión... pasa por allí el gilip... de turno... o el que me la tiene jurada porque le superé en el puesto...
...
... va y me jo..e el asunto cambiándome la contra...    y la cara de gilip... que se te queda...




Mod: No hacer doble post. Usar el botón "Modificar".

[Perfil ---> Configuración de la cuenta]

Sí, pero es que incluso para una aplicación web tiene sentido.

Por ejemplo la aplicación web de mi banco para consultas on line además de pedirme la contraseña para entrar y hacer operaciones, si lo que deseo es cambiar la contraseña, me la vuelve a pedir aunque ya esté dentro; además de pedirme la nueva contraseña.

Pero es que, sin ir más lejos, la aplicación web de este foro, además de pedirte la contraseña para entrar a trabajar normalmente, si lo que quieres es cambiar tu contraseña en: Perfil ---> Configuración de la cuenta
se ve que hay dos casillas para la nueva contraseña: Escoge contraseña y Verifica contraseña
pero además al final del todo está la casilla: Contraseña actual
con la nota aclaratoria "Por razones de seguridad, debes introducir tu contraseña actual para hacer cualquier cambio a tu perfil."

Es una medida de seguridad muy normal, básica y prácticamente universal en cualquier aplicación mínimamente seria. O éso creo.

Así a bote pronto se me ocurre que hay -al menos- un paso previo.

Paso 0. ---> ¿El usuario tiene permisos/credenciales para cambiar la contraseña? Si es que SI ---> IR a paso 1. Si es que NO ---> se le echa fuera.

Un usuario -en general- no tiene porqué tener permisos para cambiar su propia contraseña. A veces es el administrador quien se la da, e incluso se la cambia cada cierto tiempo. Si; sé que es un poco tiquismiquis para redes/sistemas más o menos personales/domésticos, pero en entornos empresariales/corporativos es bastante normal que el usuario/operador de un terminal-PC no tenga privilegios de administrador para cambiar su propia contraseña (o instalar programas o compartir archivos, etc).

EDITO: también se me ocurre que el paso 3 suele implementarse antes del 1. De hecho suele ser el paso 3 concomitante con el que yo he llamado paso 0. Por ejemplo Linux para cambiar con sudo passwd ----- la contraseña de un usuario primero te pide tu propia contraseña sudo con la cual verifica si estás autorizado a cambiar la contraseña del otro (que puedes ser tú mismo), y posteriormente es cuando te pide la nuevas contraseña del usuario que sea (el que has llamado paso 1) y después verificarla (paso 2 tuyo).