[IRC-DEV] Sugerencia de uso de "setemail"

Jesus Cea Avion jcea at argo.es
Fri Mar 1 15:51:04 CET 2002 

> En Dalnet el sistema para fijar un nuevo e-mail consiste en introcudir el
> password del registro del nick y seguidamente el nuevo e-mail. El password
> es un dato que sólo conoce el dueño del nick (teóricamente, si dudamos
> incluso de este hecho, pero de algo hay que partir...)
> Así pues, yo opino que sería muy buena idea lo que ha sugerido Ferran
> Sarrió, es decir, tener que introducir obligatoriamente el viejo e-mail
> asociado al nick, y seguidamente el nuevo.

Precisamente el escenario que planteo es que un atacante tenga tu clave
de nick. A pesar de ello, no debe ser posible que el atacante cambie el
email de contacto sin que tú te enteres y puedas anular el cambio.

La premisa es esa. Si no lo entendeis no podemos seguir discutiendo
porque estamos en mundos diferentes.

En cuanto a lo de poner el email antiguo, no es necesario e incluso es
perjudicial porque a) cuando tu email es de dominio público (el mío, por
ejemplo), el ponerlo no introduce mayor seguridad y b) si tu email no es
público, un atacante puede probar con los varios que te conoce y acertar
con el bueno tarde o temprano; una vez que tiene esa información, puede
hacer mucho daño en #opers_help.

Es decir, meter el email antiguo proporciona una sensación de seguridad
más falsa que una moneda de tres €.

> No obstante, esto podría no ser del todo efectivo en caso de que el usuario
> ladrón conociese a la víctima y también los e-mails que usa, pero vamos, no
> se si pensar esto es quizás desvariar demasiado...

En absoluto. Cualquier cosa que te imagines ha ocurrido ya en IRC..

> Otra cosa, el supuesto original que propone jcea podría convertirse en una
> auténtica batalla ping-pong del tipo "ladron mete setemail y el dueño lo
> anula" pasando a ser el setemail por nick2 una especie de jueguecito, por
> ello se me ocurre que en caso de que sea denegado un setemail, se impidan
> futuros setemails, al menos durante un espacio de tiempo determinado. No
> soluciona mucho, pero sí las batallitas de cambia-anula.

Evidentemente si un día entro en IRC y me encuentro un aviso de un
cambio de email que no he solicitado, aparte de apuntarme el email nuevo
e investigarlo, lo primero que haría sería anular el cambio y *CAMBIAR*
mi clave de nick.

-- 
Jesus Cea Avion                         _/_/      _/_/_/        _/_/_/
jcea at argo.es http://www.argo.es/~jcea/ _/_/    _/_/  _/_/    _/_/  _/_/
                                      _/_/    _/_/          _/_/_/_/_/
PGP Key Available at KeyServ   _/_/  _/_/    _/_/          _/_/  _/_/
"Things are not so easy"      _/_/  _/_/    _/_/  _/_/    _/_/  _/_/
"My name is Dump, Core Dump"   _/_/_/        _/_/_/      _/_/  _/_/
"El amor es poner tu felicidad en la felicidad de otro" - Leibniz

More information about the IRC-Dev mailing list