[IRC-DEV] mas para Nick2

RedStar redstar23 at terra.es
Mon Jan 28 01:19:00 CET 2002 

ABoR, el problema se tiene si se puede cambiar en cualquier momento el mail secundario, cualquiera puede modificarlo a su antojo si toman posesión del nick.

Sí, correctamente es una solución que arregla el tema, pero tienes q introducir entonces un campo más en la base de datos de nick (no muy importante), pero se complica innecesariamente la programación de 
nick2 ya que tienes que preveer que esa función sólo será usada una única vez, es poco intuitivo, etc...

* La solución debe ser sencilla. Propongo q se consigan estos puntos:
- Simplicidad de uso (recordemos que serán usuarios sencillos los que usarán estos comandos).
- Simplicidad de gestión y modificación (no queremos quebrar la cabeza a los operadores con más problemas añadidos).
- Simple de programar (una regla muy vieja de la programación dice: cuantas más líneas de programa, mayor posibilidad de fallos).
- Evite el robo de nicks por toma de nicks/passwords (esto descarta la idea de usar el email2, ya que cualquiera podría modificarlo... y que nadie piense en el uso de tokens para cambiar email2... estaríamos 
dandole vueltas a lo mismo y no seguiríamos la norma anterior).
- Suponer el irc como medio inseguro de asegurar que una persona es la auténtica dueña del nick (dejarse un irc abierto en un ciber de esos de monederos, en casa, en el trabajo, donde sea).
- Suponer todo servicio externo al hispano como un medio seguro (por ejemplo que a nadie se le va a perder la contraseña del correo, o que terceras personas tienen acceso a él).

Esto implica no dar más información al usuario de la que realmente necesite para hacer cambios de correo, cesión de nicks (lo siento, no me gusta mucho la palabra "dropear") para que no puedan ser usados para 
convencer a un operador de que ese nick es suyo.

Propongo el uso de un protocolo de cambio de email de registro sencillo que recurra al correo anterior, tipo "cambiamail nuevo at dominio.com" y posteriormente "cambiamail nuevo at dominio.com contraseña" con 
la contraseña o token enviado por correo al correo antiguo (enviar un texto similar a "Las instrucciones de cambio han sido enviadas a su cuenta de correo anterior" sin indicar cuál era ésta). En caso de 
imposibilidad de usar el correo antiguo... siempre hay preguntas que los opers pueden usar para verificar la autenticidad de los usuarios: "¿Cuál era tu correo antiguo?"

(nota) ¿Es realmente algo que se solicita tan amenudo?

Es muy difícil que alguien que se haga con un nick tenga idea de cual es el correo que usaron para registrar un nick, pero puede darse el caso de conocer su correo (o correos) y probar con ellos hasta que dé 
con el correcto. Hay cosas que no se podrán evitar, y serán muy difícil de eliminar esos riegos, de modo que no debemos añadir más riesgos por añadir más servicios o asegurar redes externas al irc-hispano (como 
el correo electrónico) ya que son tareas que no nos pertenecen.

Respecto a la intervención de OLBAR, sólo tengo que decir que todo buen usuario cambia de correo antes de quedarse sin él, de modo que hay que brindarle la oportunidad de cambiarlo por él mismo. Yo hubiera 
deseado tener una oportunidad de cambiar por mis medios mi correo antes de que me dieran de baja mi primera cuenta de acceso a internet hace ya tres años. Si alguien quiere cambiarlo porque se le olvidó la 
contraseña del correo, hay formas de solicitar que te sea mostrado (contestando a preguntas, llamando al proveedor de internet, etc... cada correo tiene su forma de recuperar contraseñas perdidas). A cualquiera 
le gusta saber que en caso de olvidarse la contraseña porque la cambió precipitadamente o se equivocó al teclearla, podrá recuperarla de manera sencilla.

La ayuda de un operador siempre será necesaria: aquella persona que haya dejado para última hora el cambio de un correo a otro, aquella que haya dejado la pass de su canal en malas manos... eso es asunto de 
operadores, no de los programadores de los services. Creo que lo que debería debatirse en este foro sería la forma correcta de implementar esos comandos haciéndolos seguros y a la vez sencillos. Si debe 
aplicarse en el servidor real o no, eso será cosa de debate entre los operadores y la gente que se dedique a su gestión, no a los desarrolladores.

Espero no haberme extendido demasiado y espero ver algún dia estos servicios en marcha, sea la sintaxis que sea o sea a través del bot que sea.

--------------------------------------------------------------------------------
Remember: Un*x _IS_ user friendly... It's just selective about who it's friends are
http://www.terra.es/personal4/redstar23/

More information about the IRC-Dev mailing list