Comments 84
Лично моя позиция — безопасность учётки пользователя — дело рук самого пользователя. Если постоянно подтирать сопельки жалеть пользователей, потерявших доступ из-за собственной безалаберности, вы получите лишь то, что получили — гневный пост на Хабре и обвинения в том, что вы плохо защищаете аккаунты от остальных. Вам это точно нужно? Как показывает практика, люди лучше всего учатся именно на собственных ошибках.
Пусть пользователь городит что хочет со своей стороны, ответственность за это должен нести только он. А вы — нести безопасность за доступ к вашим аккаунтам «изнутри» (взлом баз данных и прочего). Давайте каждый будет заниматься своим делом.
Пусть пользователь городит что хочет со своей стороны, ответственность за это должен нести только он. А вы — нести безопасность за доступ к вашим аккаунтам «изнутри» (взлом баз данных и прочего). Давайте каждый будет заниматься своим делом.
Им так нельзя, у них каждый пользователь = деньги (либо потенциальные деньги), это в их интересах не сливать аудиторию.
Понимаете в чём беда. Они берут на себя чужую ответственность, при этом не могут её в любом случае обеспечить. Если из-за безалаберности какого-то пользователя будет потерян аккаунт, обвинения будут не в сторону данного конкретного пользователя, что он недостаточно позаботился о безопасности своего аккаунта, а в сторону компании, что ОНИ, фактически, не вразумили, не позаботились о защите аккаунта и не воспитали пользователя, как правильно защищать свои аккаунты.
ИМО, репутационные риски с такой политикой гораздо выше, чем если всё-таки каждый занимался своим делом.
ИМО, репутационные риски с такой политикой гораздо выше, чем если всё-таки каждый занимался своим делом.
А вы не рассматривали вариант, когда аккаунт на общедоступном сервере пропадает, если им долго не пользоваться? А потом этот аккаунт может взять другой пользователь. У меня такое уже было.
UFO just landed and posted this here
Замечу, что и привязка к телефону так же не даёт стопроцентной защиты, т.к. и телефоны уходят к другим владельцам.
UFO just landed and posted this here
Бывают случаи, когда некоторые операторы сами деактивируют номер, чтобы иметь возможность перепродать его заново.
Это надо пол года телефоном не пользоваться
Именно. И это не редкая ситуация.
3 месяца в некоторых регионах.
Да хоть и 3 месяца. Я себе подобный сценарий вообще представить не могу. Разве что у пенсионера, которому некому звонить.
Из 7ми моих номеров, которыми я обладал у меня осталось 3. Невозможно?.. Другое дело, что маловероятно, что будет неожиданностью.
Я не говорил, что невозможно. Я говорил, что не могу себе представить подобный сценарий. Мне непонятно, зачем человеку может быть нужно 3 номера (не говоря уже о 7). Даже если человеку регулярно выдаются рабочие симки, игрушки то он все равно будет к своему основному номеру привязывать. А основной номер меняется, как правило, настолько редко, что перепривязать пяток сервисов, требующих номера телефона, не проблема (не берем сейчас в расчет странных людей, которые меняют опсоса по 3 раза в год, из-за того, что у другого опсоса акция «сэкономь 3 копейки», я таких из телефонной книги после второй смены номера удаляю).
Очень просто:
— номер «с родины» — сохраняю, т.к. раз в год обычно туда езжу и не вижу смысла заводить каждый раз новый,
— «основной-уведомительный» — в своё время был куплен для связи без роуминга и сравнительно дешёвых звонков внутри сети оператора в пределах страны, в дальнейшем перешёл в статус «регистрация на сервисах для уведомлений и звонков»
— «основной-звонительный» — более интересное предложение от другого оператора переманило пользоваться им, но для сохранения старого номера и отсутствия заморочек с перерегистрацией номера в сервисах — старый был сохранён, а этот используется только для звонков (преимущественно личного характера, т.е. на работе, например, о нём не то, чтобы знают).
PS ещё есть симка в планшете (но не моя, её не считаю) и симка от ещё одного региона (если не потерял), где так же бываю раз в год.
— номер «с родины» — сохраняю, т.к. раз в год обычно туда езжу и не вижу смысла заводить каждый раз новый,
— «основной-уведомительный» — в своё время был куплен для связи без роуминга и сравнительно дешёвых звонков внутри сети оператора в пределах страны, в дальнейшем перешёл в статус «регистрация на сервисах для уведомлений и звонков»
— «основной-звонительный» — более интересное предложение от другого оператора переманило пользоваться им, но для сохранения старого номера и отсутствия заморочек с перерегистрацией номера в сервисах — старый был сохранён, а этот используется только для звонков (преимущественно личного характера, т.е. на работе, например, о нём не то, чтобы знают).
PS ещё есть симка в планшете (но не моя, её не считаю) и симка от ещё одного региона (если не потерял), где так же бываю раз в год.
Я переехал в другой город, завёл новый номер соответственно. Старый планировал сохранить, так как бываю дома регулярно. Вот, я уверенно раз в месяц-два вставлял старую симку в телефон, отправлял смс самому себе, тем самым поддерживая номер. А потом как-то забыл, некогда стало, не смог с ходу найти симку и т.д. Когда вспомнил в общем, мой номер был уже кому-то продан.
Почему сразу у пенсионера? Основное назначение телефона у меня — предупредить, что опаздываю и/или заблудился. Ну или аналогичные звонки от других принимать. Бывает это редко. Вполне может быть, что и 3 месяца, и полгода или никуда не нужно будет, или все будет по плану. Что ещё? Рабочие вопросы обсуждаются либо в реале, либо текстом (иногда и то, и другое, типа «я тебе в скайп ссылку кинул — что думаешь?»). Личные? С любовницей лучше тоже текстом.
3 месяца ни одного исходящего звонка и ни одной исходящей смс? Вы не типичный пользователь :)
Симки, купленные в других странах, могут хоть целый год лежать без единого звонка и смс.
А потом могут быть заново использованы. На эти же симки можно регистрироваться в каких-то сервисах.
А вообще, это неправильно — идентифицировать юзера по e-mail или телефону. Хуже может быть только «идентификация» по IP-адресу :)
А потом могут быть заново использованы. На эти же симки можно регистрироваться в каких-то сервисах.
А вообще, это неправильно — идентифицировать юзера по e-mail или телефону. Хуже может быть только «идентификация» по IP-адресу :)
Симки, купленные в других странах, могут хоть целый год лежать без единого звонка и смс.А потом могут быть заново использованы.
Скорее всего сдохнут.
На эти же симки можно регистрироваться в каких-то сервисах.
Вот это зачем?
А вообще, это неправильно — идентифицировать юзера по e-mail или телефону. Хуже может быть только «идентификация» по IP-адресу :)
Тут соглашусь.
Ещё раз: телефон — средство экстренной связи. Экстренных ситуаций не возникло — и хорошо. Текстовое сообщение я лучше на нормальной клавиатуре напишу, голосом — в реале пообщаюсь.
Ещё раз: телефон — средство экстренной связи.
Еще раз — вы нетипичный пользователь. Много вы аккаунтов к телефону привязали?
Текстовое сообщение я лучше на нормальной клавиатуре напишу, голосом — в реале пообщаюсь.
Я вам сейчас могу привести кучу ситуаций, которые возникают каждый день, когда самым естественным и простым решением будет телефонный звонок. Верите?
Полно. Причем уже к двум симкам, но с ходу не скажу какой к какой. Собственно в основном телефон в руки и беру чтобы ввести код из смс.
Не верю. :) Ну то есть может у вас такие ситуации и возникают (в виду специфики работы, например), но у меня или не возникают, или более естественным решением я вижу или личный разговор, или текстовое сообщение.
Не верю. :) Ну то есть может у вас такие ситуации и возникают (в виду специфики работы, например), но у меня или не возникают, или более естественным решением я вижу или личный разговор, или текстовое сообщение.
Не верю. :) Ну то есть может у вас такие ситуации и возникают (в виду специфики работы, например)
Такие ситуации возникают у любого обычного человека, в силу того, что он человек (если он не отшельник). Например, ехал вчера домой, позвонила жена, попросила по дороге купить молока. Она, конечно, могла дождаться, когда я приеду и сказать мне это лично, но, слава богу, она не дура и воспользовалась телефоном.
Но могла кинуть СМС, и это удобнее — забудешь, что из списка «молоко, яйца, зубная паста, туалетная бумага, полотенца, носовые платочки, зубочистки, огурцы» взять надо.
Ну, во-первых, смс не гарантирует доставку информации до абонента, я ее просто не услышу, когда телефон в кармане. А во-вторых, если отправлять смс хотя бы раз в 3 месяца, номер не заблокируют :)
Мне жена говорила что купить или с утра (вернее список давала), или шли в магазин вместе, после того как я домой зашел.
Не знаю, касается ли это всех операторов — мегафон не тушит симки, если вы просто в сети появляетесь и баланс не очень близок к нулю. Впрочем возможно, что это региональная «опция».
Сначала нужно заметить, что потерял контроль, потом нужно добраться до офиса. И это если симка на твое имя. А иногда возможности восстановить номер просто нет.
Не Вам решать где нам хранить почту, извините. Вы можете запросить какие-либо данные или документы по которым можно идентифицировать пользователя. Но решать где хранить свою почту позвольте им самим.
Если у человека есть свои причины не хранить почту на публичном сервере, значит ему на много яснее и понятнее зачем он заморочился и не зарегистрировал публичный ящик.
Если у человека есть свои причины не хранить почту на публичном сервере, значит ему на много яснее и понятнее зачем он заморочился и не зарегистрировал публичный ящик.
UFO just landed and posted this here
Т.е. вы лишили пользователя доступа к аккаунту, т.к. его действия могли привести к тому, что он лишится доступа к аккаунту?
Вы там что, совсем с ума посходили?
Вы там что, совсем с ума посходили?
Мы не производим смену привязки на другой email в штатном режиме.
Это есть неудобство большое для пользователя. Ввести штатно данную функцию — просто технически. Да, безопасность, но мало кто из игровых или платежных сервисов не позволяет менять e-mail адрес и при этом живут же как-то.
Это неудобство связано с тем что компания очень желает ограничить продажу аккаунтов (А они там могут быть довольно дорогими, это зависит от статистики, наличия премиум танков и золота). Все разговоры о безопасности в данном случае пустой звук.
Ваша строгость и принципиальность подстать началу 20 века, что в ваших играх.
Сейчас уже 2013 год и люди изменились, они сами выбирают почтовый хостинг и любят его часто менять.
Сейчас уже 2013 год и люди изменились, они сами выбирают почтовый хостинг и любят его часто менять.
Почему бы не разрешить пользователю менять адрес хоть сто раз на дню, если ему этого хочется?
Для того, чтобы защититься юзера от утери адреса можно:
1) Позволить юзеру привязать акк сразу к нескольким почтовым адресам.
2) Позволить юзеру привязать акк сразу к нескольким мобильным номерам.
3) Позволить юзеру привязать акк к OpenID провайдеру по его выбору (как средство доп. авторизации при утере емейла). Я понимаю что в клиент так не войдешь.
Это то, что только навскидку пришло в голову.
Учитывая ваши прибыли и скорость раскрутки, поворачиваться жопой к клиенту как-то странно.
Для того, чтобы защититься юзера от утери адреса можно:
1) Позволить юзеру привязать акк сразу к нескольким почтовым адресам.
2) Позволить юзеру привязать акк сразу к нескольким мобильным номерам.
3) Позволить юзеру привязать акк к OpenID провайдеру по его выбору (как средство доп. авторизации при утере емейла). Я понимаю что в клиент так не войдешь.
Это то, что только навскидку пришло в голову.
Учитывая ваши прибыли и скорость раскрутки, поворачиваться жопой к клиенту как-то странно.
Думаю скоро будет кульминация. Либо Wargaming пойдет навстречу, либо все выльется в петицию. В конечном счете финансово страдает компания, а не пользователь. Вообще логика Ваша не ясна, вернее логика Ваших маркетологов, которые должны задавать тон работы всем общественным службам в Вашей компании. Клиент всегда прав — золотое правило бизнеса!
Сходите на их форум и почитайте сколько там нытья по поводу угнанных аккаунтов. А потом сравните с количеством нытья по поводу невозможности перевесить аккаунт на адрес своего почтового сервера. Имхо, цифры будут несопоставимы. И если их методы помогают уменьшать количество нытья из первой категории, то они приемелмы. Может не хороши, но хотя бы действенны.
Огромное количество аккаунтов много где было угнано в прошлом, как раз используя ящики на публичных серверах, типа мейлру… А теперь на них заставляют регаться.
И это «для повышения безопасности»? Ну ну
И это «для повышения безопасности»? Ну ну
>> Ограничение на игру было выставлено исключительно в целях безопасности, поскольку логин электронной почты, к которому был привязан аккаунт, больше не существует, номер телефона не привязан, то есть аккаунт не имеет защиты. Т.е. если и новый частный почтовый сервер будет закрыт, а пароль будет утерян, то доступ к аккаунту восстановить будет невозможно ни при каких обстоятельствах.
Давайте забаним пользователя превентивно, а то вдруг он пароль забудет и не сможет его по почте восстановить.
Это шиза, слов нет.
Давайте забаним пользователя превентивно, а то вдруг он пароль забудет и не сможет его по почте восстановить.
Это шиза, слов нет.
Тоже приходилось общаться с поддержкой wargaming. Там каким-то образом кто-то пытался привязать мой аккаунт к телефону. Причем каким образом им удалось получить доступ к аккаунту, вообще не понятно. Ну и просил сменить почтовый ящик, в итоге «послали по дальше».
В общем больше общаться с их тех. поддержкой нет желания.
В общем больше общаться с их тех. поддержкой нет желания.
Ваша логика смены почты не рациональна.
Если почту менять нельзя вообще — исключений быть не должно.
Если почту менять можно — это должно быть просто, удобно, понятно, в общем — быть штатной процедурой. Надо верифицировать телефон — ок. Надо заплатить за это денег — ок. Но «нельзя потому что вы нам не нравитесь и домен у вас плохой» — не ок.
Если почту менять нельзя вообще — исключений быть не должно.
Если почту менять можно — это должно быть просто, удобно, понятно, в общем — быть штатной процедурой. Надо верифицировать телефон — ок. Надо заплатить за это денег — ок. Но «нельзя потому что вы нам не нравитесь и домен у вас плохой» — не ок.
с почтой явно перегнули, а блокировкой ещё и репутацию запятнали.
И себе жизнь усложняете, и игрокам. Трудно себе представить, что ТАК ЖЕ себя повела такая компания-мастодонт как близзард.
Даже если почту угнали, близзард не «кидает» своих клиентов. Да, это камень в Ваш огород.
ВОТ ТАК решается проблема у Blizzard
И себе жизнь усложняете, и игрокам. Трудно себе представить, что ТАК ЖЕ себя повела такая компания-мастодонт как близзард.
Даже если почту угнали, близзард не «кидает» своих клиентов. Да, это камень в Ваш огород.
ВОТ ТАК решается проблема у Blizzard
Я получил бан в варгейминге, за то что пытаясь сообщить о баге столкнулся с пофигистчным отношением специалистов техподдержки и сообщил об этом на форуме. В итоге бан на две недели в формулировкой:
Фраза «В связи с тем что Ваша техподдержка подходит к решению проблемы формально, задавая абсолютно вопросы не по делу...» является обсуждением сотрудников Центра Поддержки Пользователей.
А ведь действительно хотел помочь, научился 100% воспроизводить его на 5 разных машинах, потратил свое время стараясь сделать игру лучше, в итоге как в анекдоте про Олимпиаду в Москве и туалетную бумагу.
Меня сначала попросили (замечу это разные события в переписке, интервал ответов 1-2 дня, потом вообще заявку потеряли, через пару месяцев правда нашли, но у меня желание помочь к этому времени уже пропало).
1) Выслать dxdiag файл.
2) Просьба активировать вертикальную синхронизацию (отношения к делу вообще не имеет)
3) Выслать скриншоты настроек игры
4) Запустить wot_check.zip
5) Переустановить клиент игры
6) Сообщить характеристики компьютера с помошью программы AIDA
Господа если у Вас есть какой то чек лист, Вы озвучьте его полностью, пользователю будет проще подготовить его и разом отправить данные, чем две недели по крупицам отвечать сотрудникам вашей ТП.
Сам баг:
Если свернуть игру по Ctrl +Esc загрузка GPU = 0%, но если далее кликнуть по панели задач, то загрузка GPU возрастает до 100%,
Если свернуть игру по Ctrl +Esc загрузка GPU = 0%, но если кликнуть по рабочему столу то загрузка остается на уровне 0% и в дальнейшем клики по панели задач не повышают загрузку GPU.
Фраза «В связи с тем что Ваша техподдержка подходит к решению проблемы формально, задавая абсолютно вопросы не по делу...» является обсуждением сотрудников Центра Поддержки Пользователей.
А ведь действительно хотел помочь, научился 100% воспроизводить его на 5 разных машинах, потратил свое время стараясь сделать игру лучше, в итоге как в анекдоте про Олимпиаду в Москве и туалетную бумагу.
Меня сначала попросили (замечу это разные события в переписке, интервал ответов 1-2 дня, потом вообще заявку потеряли, через пару месяцев правда нашли, но у меня желание помочь к этому времени уже пропало).
1) Выслать dxdiag файл.
2) Просьба активировать вертикальную синхронизацию (отношения к делу вообще не имеет)
3) Выслать скриншоты настроек игры
4) Запустить wot_check.zip
5) Переустановить клиент игры
6) Сообщить характеристики компьютера с помошью программы AIDA
Господа если у Вас есть какой то чек лист, Вы озвучьте его полностью, пользователю будет проще подготовить его и разом отправить данные, чем две недели по крупицам отвечать сотрудникам вашей ТП.
Сам баг:
Если свернуть игру по Ctrl +Esc загрузка GPU = 0%, но если далее кликнуть по панели задач, то загрузка GPU возрастает до 100%,
Если свернуть игру по Ctrl +Esc загрузка GPU = 0%, но если кликнуть по рабочему столу то загрузка остается на уровне 0% и в дальнейшем клики по панели задач не повышают загрузку GPU.
Почитайте то как официальные представители общаются с пользователями на форуме, и станет ясно что не стоит от них ждать шагов в сторону пользователя
А вы поставьте себя на место компании:
Аккаунт блокируют -> вайн в инете, что варгейминг сволочи, заблокировали аккаунт без причин
Аккаунт не блокируют -> аккаунт уводят -> вайн в инете, что варгейминт сволочи, отказываются восстанавливать доступ к аккунту.
Аккаунт блокируют -> вайн в инете, что варгейминг сволочи, заблокировали аккаунт без причин
Аккаунт не блокируют -> аккаунт уводят -> вайн в инете, что варгейминт сволочи, отказываются восстанавливать доступ к аккунту.
Почитал предыдущие комментарии. Кроме как «со своим уставом в чужой монастырь» ничего в глову не приходит. Тут все такие технически-продвинутые, модные, современные, имееют свои почтовые сервера и даже периодически меняют свои адреса на публичных сервисах… А кто из вас играет в WoT? А из тех кто играет кто заглядывал на тамошний форум? Сходите ради интереса, почитайте сколько там нытья по поводу потерянных аккаунтов. Потом сходите в гугель и поищите сколько уведенных аккаунтов находятся в продаже. И откуда они взялись!?
WG защищает аккаунты как может, помнится дажеденьгиплюшки всякие раздавли за то что игрок менял пароль на более сложный. И если игроки WoT, в своем большинсве, технически неграмотны, то и исходить нужно из этого а не из «каменный век», «что мешает», «свободу попугаям». Какой «OpenID по его выбору» когда 99% игроков слов таких не знает!? Спуститесь на землю, в танчики играют далеко не одни завсегдатаи хабра. Да WG местами перегибает, но у них тоже есть на это причины.
WG защищает аккаунты как может, помнится даже
А все угнанные акки, находящиеся в продаже — они же, конечно же на частных почтовых серверах же? Верно? Правда ведь ни одного с почтой на мэйл-ру не угнали?
Со всех угоняют, и, я так думаю, что почта тут вообще не при делах и угоняют троянцами которые уносят сохраненный в клиенте пароль. Но если угнанный с горем пополам иногда можно вернуть, то аккаунт от которого еще и почта протерялась вернуть не удастся. А т.к. потери почты на своих доменах происходят, по их статистике, чаще (вон, eZzZz тому пример ) чем на гугле/мейлрушечке, то им проще не давать перевешивать почту на такие домены. Хотя и могли бы просто просить подписать «отказ от отвественности» и позволять делать с аккаунтом что владельцу заблагорассудится. Просто фишка в том, что инструкции у саппорта разработаны для 95% игроков, и эти 95% игроков не испытывают проблем из-за невозможноти перевесить акк на почту в собственном домене.
А вообще мы удалились от темы — учить контору с многомилионной аудиторией какие рычаги управления аккаунтом давать клиенту а какие нет это неблагодарное занятие. Вы смотрите на игру субъестивно, сквозь призму своих знаний, проецируете уровень и скилы вашего круга общения на всех. А «все» они не такие, они пароли на бумажках хранят и в почту через ярлычок на рабочем столе ходят. И свободы которыми вы хотите их наделить будут им только во вред.
А вообще мы удалились от темы — учить контору с многомилионной аудиторией какие рычаги управления аккаунтом давать клиенту а какие нет это неблагодарное занятие. Вы смотрите на игру субъестивно, сквозь призму своих знаний, проецируете уровень и скилы вашего круга общения на всех. А «все» они не такие, они пароли на бумажках хранят и в почту через ярлычок на рабочем столе ходят. И свободы которыми вы хотите их наделить будут им только во вред.
Здравствуйте, компания Wargaming.
Я рад, что Вы не оставили эту тему без внимания и рассмотрели, за что отдельная благодарность.
Безусловно, при использовании какого-то сервиса, пользователю приходится соглашаться с какими-то соглашениями и/или ограничениями.
При регистрации и прочтении соглашения, я не нашел никаких упоминаний о проблемах и/или ограничениях на регистрацию аккаунтов на почту. Исходя из этого, был сделан вывод, что можно. Потому я и зарегистрировал аккаунт на свой сервер.
Перед отказом от обслуживания доменной зоны, на котором находилась почта, я связался со всеми сервисами, с которыми была связана данная почта.
Все пошли на уступки и успешно сменили регистрации. И я совсем не думал, что с Вашим сервисом будут какие-то сложности в замене емейла.
При запросе сменить емейл, я вежливо попросил, на что Вы ответили что согласны сменить, но на общедоступный емейл-сервер.
Так как, та доменная зона, почту которой я сообщил в переписке со службой поддержки, является постоянно работающей и в ближайшем обозримом будующем, не собирается экспайриться, я решил использовать ее.
В последнем сообщении, которое я написал в службу поддержки, есть выкладки, исходя из которых я принял это решение.
Да, Вы правы, почты больше нет, но это вовсе не означает, что это 100%-ный риск. В переписке со службой поддержки есть необходимые выкладки.
Тут я с Вами соглашусь. Если это происходит не впервые (тут можно дискутировать на тему — первый или второй раз, но т.к. этого не было указано в соглашении, то первый) — это не Ваша проблема, а моя.
Если же, по какой-то причине, я не могу обслуживать почту — то это исключительно моя проблема и я трезво оцениваю риски.
Верно, такие проблемы всегда существовали, существуют и будут продолжать существовать.
Но, с моей точки зрения, на это и есть служба поддержки, чтобы идентифицировать пользователя и распознать мошенника.
Если человек пошел на контакт со службой поддержки будучи мошенником и угнал аккаунт, то это означает, что есть проблемы в качестве работы службы поддержки. Обычно, такие вопросы решаются довольно-таки легко и безболезненно. Для нормальных пользователей, с моей точки зрения, это не должно никоим образом отражаться.
В этом случае, я считаю, что это искусственное ограничение и никоим образом не касается стойкости почтового сервера. С такой же вероятностью можно утром проснуться и не получить доступ к Gmail (вспомним закрытие Google Reader?). Все общедоступные сервера, к сожалению, имеют один (из огромного числа) минус: «вы его используете на свой страх и риск и мы вам ничего не должны».
У меня нет абсолютно никакой уверенности, что завтра я не утрачу доступ к тому-же GMail'у, Yahoo или какому-либо еще публичному серверу.
И потом уже будет некого винить. В случае применения своего сервера — проблемы ложатся на того, кто его использует и администратора этого сервера.
Нигде нет стопроцентной гарантии, что общедоступный почтовый сервер «не ляжет» или внезапно не откажет в обслуживании.
Так же, проработав системным администратором десяток лет, я повидал очень много случаев кражи паролей и/или данных, как раз при использовании общедоступных серверов.
С позиции исключительно сугубо моего мнения, мой емейл-сервер имеет меньше рисков, чем публичные емейлы, где информация утекает через контекстное таргетирование рекламы, индексирование всех писем и так далее. Система, за которой следит администратор и где есть только почтовый сервер, который работает с клиентом только по IMAP over SSL и с серверами по SMTP по SMTPS/STARTTLS, имеет меньшие шансы на «слитие» информации, чем публичные.
Это мое ИМХО.
Однако, с моей точки зрения, Ваша политика непринятия приватных серверов тоже не очень правильная, потому как было бы меньше проблем, если бы пользователь, при просмотре настоящего соглашения, увидел бы эти моменты с регистрацией на почту. При этом, нужно было указать, что при использовании приватных почтовых серверов — вы несете сами ответственность за сохранность данных и за работу емейл-сервера, но не запрещать его использовать вообще.
Другой момент, что я полностью согласен с постом switlle о том, что решение, где хранить свою почту — должен принимать пользователь, а не Вы. В моем случае — это отнюдь, не прихоть, а как раз, по соображениям безопасности.
По поводу привязки телефонного номера к аккаунту:
Да, безусловно. Двухфакторная аутентификация всегда повышала шанс неуспеха при попытке захвата.
Но, двухфакторная аутентификация никогда и НИКОИМ образом не защитит неавторизованный доступ к почте.
Да, если вдруг все вероятности каким-то магическим образом сложатся и так произойдет, то, возможно, двухфакторная аутентификация и поможет восстановить доступ к аккаунту. К тому же, Вы абсолютно не учитываете тот фактор, что телефон/симку намного легче потерять (либо
быть жертвой нападения гопников например), да и зачем выдумывать сложные сценарии, просто не уплатил плату за использования и симка выйдет из обслуживания.
Двухфакторная аутентификация полезна лишь для генерации OTP (One-Time Password) — одноразового пароля. То есть, при условии, что пользователь по своему желанию, привязал свой номер к аккаунту, клиент WoT, при заходе будет требовать одноразовый пароль, который будет сгенерирован и послан на мобильный номер.
Кому нужна такая защита, которая и не является по факту защитой в Вашей реализации проекта?
Мне она не нужна. Потому я не буду использовать никакие привязки :-)
Я понимаю, что скорее всего Вам проще сказать, чтобы регистрировались на общедоступных (потому как, они более «стойки» к потерям
доменных зон и т.д.), чем разбирать «полеты» от забывчивых пользователей и прочих попыток «угнать» аккаунт через почту.
Но, с моей точки зрения, это лишь перекладывание проблем с больной головы на здоровую, как выразился kostyasha, «способ решения проблем путем отрубания головы», а не решение проблемы.
На счет Ваших ответов на поставленные вопросы, отвечаю:
1. У Вас нет никакого основания (кроме некой отрицательно статистики) полагать, что приватный сервер недолгосрочный и может быть закрыт в любой момент. Если пользователь сделал выбор, то он выбрал по собственному желанию, а не по принуждению. Если емейл-сервер, на который была регистрация, выйдет из обслуживания, то к Вам не будет никаких претензий и это проблемы того пользователя, который решил использовать этот ненадежный email-сервер.
2. Важно разделять мух от котлет. В данном случае, игровой аккаунт и почту. При утере контроля над аккаунтом (при условии, что почта живая) — его можно восстановить в любом случае, т.к. емейл сменить невозможно в интерфейсе пользователя. При утере контроля над почтой по причине экспирации доменной зоны — есть только одна вероятность — перерегистрация домена. Это легко проверяется по whois-у. При потере самой учетной записи на почтовом сервере — проблемы переносятся на сам почтовый сервер, в этом случае, никакие потуги не позволят восстановить аккаунт, т.к. все процедуры восстановления идут через почту, которая уже не контролируется.
Паранойа должна быть, но контролируемая.
3. Спасибо, принято.
И еще раз, для тех, кто считает, что я поднял предыдущую тему, исходя из гнева, жалости и прочих чувств, нет — это лишь было предостережение другим пользователям, чтобы не наступали на подобные грабли и.
Миру мир! :)
Я рад, что Вы не оставили эту тему без внимания и рассмотрели, за что отдельная благодарность.
Безусловно, при использовании какого-то сервиса, пользователю приходится соглашаться с какими-то соглашениями и/или ограничениями.
При регистрации и прочтении соглашения, я не нашел никаких упоминаний о проблемах и/или ограничениях на регистрацию аккаунтов на почту. Исходя из этого, был сделан вывод, что можно. Потому я и зарегистрировал аккаунт на свой сервер.
Перед отказом от обслуживания доменной зоны, на котором находилась почта, я связался со всеми сервисами, с которыми была связана данная почта.
Все пошли на уступки и успешно сменили регистрации. И я совсем не думал, что с Вашим сервисом будут какие-то сложности в замене емейла.
Мы пошли пользователю на навстречу, поскольку изначально аккаунт пользователя был привязан к почте, зарегистрированной на частном сервере, который впоследствии закрылся. Однако, пользователь выразил желание привязать аккаунт к почтовому ящику снова на частном сервере. Поскольку нет гарантий, что данный сервис также не будет закрыт через какое-то время, в смене привязки на указанный ящик пользователю было отказано. Пользователю предложили сообщить нам другой почтовый ящик на общедоступном сервисе, к которому мы сможем сделать привязку игровой учетной записи.
При запросе сменить емейл, я вежливо попросил, на что Вы ответили что согласны сменить, но на общедоступный емейл-сервер.
Так как, та доменная зона, почту которой я сообщил в переписке со службой поддержки, является постоянно работающей и в ближайшем обозримом будующем, не собирается экспайриться, я решил использовать ее.
В последнем сообщении, которое я написал в службу поддержки, есть выкладки, исходя из которых я принял это решение.
Ограничение на игру было выставлено исключительно в целях безопасности, поскольку логин электронной почты, к которому был привязан аккаунт, больше не существует, номер телефона не привязан, то есть аккаунт не имеет защиты.
Да, Вы правы, почты больше нет, но это вовсе не означает, что это 100%-ный риск. В переписке со службой поддержки есть необходимые выкладки.
Т.е. если и новый частный почтовый сервер будет закрыт, а пароль будет утерян, то доступ к аккаунту восстановить будет невозможно ни при каких обстоятельствах.
Тут я с Вами соглашусь. Если это происходит не впервые (тут можно дискутировать на тему — первый или второй раз, но т.к. этого не было указано в соглашении, то первый) — это не Ваша проблема, а моя.
Если же, по какой-то причине, я не могу обслуживать почту — то это исключительно моя проблема и я трезво оцениваю риски.
Данные ограничения на смену привязки обусловлены множеством прецедентов с утратой контроля над электронной почтой и аккаунтом, обусловленные привязкой именно к частным серверам. Данное положение действует для всех игроков без исключения.
Верно, такие проблемы всегда существовали, существуют и будут продолжать существовать.
Но, с моей точки зрения, на это и есть служба поддержки, чтобы идентифицировать пользователя и распознать мошенника.
Если человек пошел на контакт со службой поддержки будучи мошенником и угнал аккаунт, то это означает, что есть проблемы в качестве работы службы поддержки. Обычно, такие вопросы решаются довольно-таки легко и безболезненно. Для нормальных пользователей, с моей точки зрения, это не должно никоим образом отражаться.
Мы можем пойти навстречу пользователю, в случае предоставления им адреса электронной почты, который зарегистрирован на почтовый сервер, который существует давно и не будет закрыт в любой момент.
В этом случае, я считаю, что это искусственное ограничение и никоим образом не касается стойкости почтового сервера. С такой же вероятностью можно утром проснуться и не получить доступ к Gmail (вспомним закрытие Google Reader?). Все общедоступные сервера, к сожалению, имеют один (из огромного числа) минус: «вы его используете на свой страх и риск и мы вам ничего не должны».
У меня нет абсолютно никакой уверенности, что завтра я не утрачу доступ к тому-же GMail'у, Yahoo или какому-либо еще публичному серверу.
И потом уже будет некого винить. В случае применения своего сервера — проблемы ложатся на того, кто его использует и администратора этого сервера.
Нигде нет стопроцентной гарантии, что общедоступный почтовый сервер «не ляжет» или внезапно не откажет в обслуживании.
Так же, проработав системным администратором десяток лет, я повидал очень много случаев кражи паролей и/или данных, как раз при использовании общедоступных серверов.
С позиции исключительно сугубо моего мнения, мой емейл-сервер имеет меньше рисков, чем публичные емейлы, где информация утекает через контекстное таргетирование рекламы, индексирование всех писем и так далее. Система, за которой следит администратор и где есть только почтовый сервер, который работает с клиентом только по IMAP over SSL и с серверами по SMTP по SMTPS/STARTTLS, имеет меньшие шансы на «слитие» информации, чем публичные.
Это мое ИМХО.
Однако, с моей точки зрения, Ваша политика непринятия приватных серверов тоже не очень правильная, потому как было бы меньше проблем, если бы пользователь, при просмотре настоящего соглашения, увидел бы эти моменты с регистрацией на почту. При этом, нужно было указать, что при использовании приватных почтовых серверов — вы несете сами ответственность за сохранность данных и за работу емейл-сервера, но не запрещать его использовать вообще.
Другой момент, что я полностью согласен с постом switlle о том, что решение, где хранить свою почту — должен принимать пользователь, а не Вы. В моем случае — это отнюдь, не прихоть, а как раз, по соображениям безопасности.
По поводу привязки телефонного номера к аккаунту:
Да, безусловно. Двухфакторная аутентификация всегда повышала шанс неуспеха при попытке захвата.
Но, двухфакторная аутентификация никогда и НИКОИМ образом не защитит неавторизованный доступ к почте.
Да, если вдруг все вероятности каким-то магическим образом сложатся и так произойдет, то, возможно, двухфакторная аутентификация и поможет восстановить доступ к аккаунту. К тому же, Вы абсолютно не учитываете тот фактор, что телефон/симку намного легче потерять (либо
быть жертвой нападения гопников например), да и зачем выдумывать сложные сценарии, просто не уплатил плату за использования и симка выйдет из обслуживания.
Двухфакторная аутентификация полезна лишь для генерации OTP (One-Time Password) — одноразового пароля. То есть, при условии, что пользователь по своему желанию, привязал свой номер к аккаунту, клиент WoT, при заходе будет требовать одноразовый пароль, который будет сгенерирован и послан на мобильный номер.
Кому нужна такая защита, которая и не является по факту защитой в Вашей реализации проекта?
Мне она не нужна. Потому я не буду использовать никакие привязки :-)
Я понимаю, что скорее всего Вам проще сказать, чтобы регистрировались на общедоступных (потому как, они более «стойки» к потерям
доменных зон и т.д.), чем разбирать «полеты» от забывчивых пользователей и прочих попыток «угнать» аккаунт через почту.
Но, с моей точки зрения, это лишь перекладывание проблем с больной головы на здоровую, как выразился kostyasha, «способ решения проблем путем отрубания головы», а не решение проблемы.
На счет Ваших ответов на поставленные вопросы, отвечаю:
1. У Вас нет никакого основания (кроме некой отрицательно статистики) полагать, что приватный сервер недолгосрочный и может быть закрыт в любой момент. Если пользователь сделал выбор, то он выбрал по собственному желанию, а не по принуждению. Если емейл-сервер, на который была регистрация, выйдет из обслуживания, то к Вам не будет никаких претензий и это проблемы того пользователя, который решил использовать этот ненадежный email-сервер.
2. Важно разделять мух от котлет. В данном случае, игровой аккаунт и почту. При утере контроля над аккаунтом (при условии, что почта живая) — его можно восстановить в любом случае, т.к. емейл сменить невозможно в интерфейсе пользователя. При утере контроля над почтой по причине экспирации доменной зоны — есть только одна вероятность — перерегистрация домена. Это легко проверяется по whois-у. При потере самой учетной записи на почтовом сервере — проблемы переносятся на сам почтовый сервер, в этом случае, никакие потуги не позволят восстановить аккаунт, т.к. все процедуры восстановления идут через почту, которая уже не контролируется.
Паранойа должна быть, но контролируемая.
3. Спасибо, принято.
И еще раз, для тех, кто считает, что я поднял предыдущую тему, исходя из гнева, жалости и прочих чувств, нет — это лишь было предостережение другим пользователям, чтобы не наступали на подобные грабли и.
Миру мир! :)
Господи, аж жалко смотреть на Ваш комментарий. Вы всё так хорошо и подробно расписали… А они возьмут и не прочитают даже, и не ответят, как пока ещё не ответили ни на один комментарий отсюда. Не оценят Ваш пост со столь, к слову, хорошими аргументами. Это же WarGaming.
Им же карму слили, шансов ответить нет.
Тут не в этом дело, дело даже не в гордости, жалости и так далее…
Понятное дело, что ни мой предыдущий пост, ни этот — ни изменят ситуацию ни на каплю.
А зачем? Это сравни антипиратскому закону: "нам все равно, о чем вы думаете об этом законе, можете что хотите делать: собирать манифестации, подписи на ROI или еще что-либо, но на закон это не повлияет, мы лучше знаем что делать и что вам нужно".
Пока это не коснулось «массы» и пользователи не начали уходить из игры пачками — ИМХО, ничего не будет меняться.
Просто не ясен другой момент: сколько нужно еще сотен или тысяч мнений других пользователей и специалистов, чтобы компания прислушалась к их мнению и хотя бы рассмотрела эти вопросы?
Без обид, но на месте компании Wargaming, я бы уже задумался…
Понятное дело, что ни мой предыдущий пост, ни этот — ни изменят ситуацию ни на каплю.
А зачем? Это сравни антипиратскому закону: "нам все равно, о чем вы думаете об этом законе, можете что хотите делать: собирать манифестации, подписи на ROI или еще что-либо, но на закон это не повлияет, мы лучше знаем что делать и что вам нужно".
Пока это не коснулось «массы» и пользователи не начали уходить из игры пачками — ИМХО, ничего не будет меняться.
Просто не ясен другой момент: сколько нужно еще сотен или тысяч мнений других пользователей и специалистов, чтобы компания прислушалась к их мнению и хотя бы рассмотрела эти вопросы?
Без обид, но на месте компании Wargaming, я бы уже задумался…
Наиболее вероятно, что будет взломан аккаунт на общедоступной сервере, чем на приватном.
Отправьте своих сотрудников обучаться информационной безопасности и больше не пишите таких позорных постов.
Отправьте своих сотрудников обучаться информационной безопасности и больше не пишите таких позорных постов.
А если это мой личный почтовый сервер?
Wargaming, я понимаю, что в Белорусии совок похлеще нашего, но вы же прогрессивная международная компания, выпускающая отличный продукт! Не позорьтесь, реализуйте механизм смены привязки к почтовому аккаунту, не отворачивайтесь от своих пользователей.
Странная у вас логика — заблокировать пользователю доступ сейчас, иначе потом, при некотором стечении обстоятельств, он может утерять доступ… а может и нет
WTF?
WTF?
Окей, все хорошо и логично, но вот только в следующей фразе есть фундаментальная логическая ошибка:
Почтовый сервис общедоступный может и будет существовать долго и не будет закрыт в любой момент, а вот конкретный почтовый ящик на этом сервисе как раз таки может быть утерял, уведен, закрыт и деактивирован в любой момент, причем это куда более вероятно на общедоступных серверах, чем на неком частном.
Почтовые ящики угоняют через уязвимости и социальную инженерию, учетные записи блокируются автоматически из-за рака мозга администрации почтовых сервисов и т.д. и т.п. — это вполне себе распространенные явления, люди теряют свою почту на «известных общедоступных сервисах» ой как часто и легко. Уповать на это как на некий абсолютный фактор защиты попросту наивно.
Мы можем пойти навстречу пользователю, в случае предоставления им адреса электронной почты, который зарегистрирован на почтовый сервер, который существует давно и не будет закрыт в любой момент
Почтовый сервис общедоступный может и будет существовать долго и не будет закрыт в любой момент, а вот конкретный почтовый ящик на этом сервисе как раз таки может быть утерял, уведен, закрыт и деактивирован в любой момент, причем это куда более вероятно на общедоступных серверах, чем на неком частном.
Почтовые ящики угоняют через уязвимости и социальную инженерию, учетные записи блокируются автоматически из-за рака мозга администрации почтовых сервисов и т.д. и т.п. — это вполне себе распространенные явления, люди теряют свою почту на «известных общедоступных сервисах» ой как часто и легко. Уповать на это как на некий абсолютный фактор защиты попросту наивно.
Тем более, есть такие шикарные сервисы, как вот этот от яндекса.
Вон из профессии.
1. Спасибо, что ответили публично, правильно поступили.
2. Стоило бы назвать победителя в конкурсе версий в комментариях к тому топику. Это Krypt
3. Все же минусы вам в карму (не здешнюю) за:
— соглашение об испольовании, не достаточно детально описывающее все ограничения, и вводящее в заблуждение.
— низкоквалифицированную техподдержку, либо отсутствие у них инструкций разъяснять эти ограничения и не доводить до публичных жалоб.
2. Стоило бы назвать победителя в конкурсе версий в комментариях к тому топику. Это Krypt
3. Все же минусы вам в карму (не здешнюю) за:
— соглашение об испольовании, не достаточно детально описывающее все ограничения, и вводящее в заблуждение.
— низкоквалифицированную техподдержку, либо отсутствие у них инструкций разъяснять эти ограничения и не доводить до публичных жалоб.
Sign up to leave a comment.
Вопрос ребром: регистрации аккаунтов на общедоступных email-серверах