Студенты! Хвосты подобрать!

[andrzejn]

LJ запустил в массовое использование новый вид страницы настроек. По-моему, стало много удобнее.

Не обошлось и без ляпов. Вы, наверное, знаете, что из истории ваших e-mail адресов можно удалять только адреса, введенные позднее, чем текущий. Это сделано специально, чтобы если враг захватит ваш журнал и введёт свой новый e-mail, он не смог стереть ваш старый e-mail, а вы смогли бы запросить на него новый пароль журнала и изгнать врага.

Но есть и оборотная сторона: у многих из нас первым e-mail'ом значится какой-нибудь старый ящик на уязвимом бесплатном сервере или старом месте работы. Злоумышленник может захватить этот первый e-mail, запросить на него пароль - и всё.

Так вот. В новой странице настройки почтовых адресов они проверку этого правила поломали. Я только что удалил свой старый адрес со времён 2005 года. У кого там болтаются ненужные ящики - сходите и удалите, пока баг не исправили.

Upd.: Говорят, что это не баг, а фича. Можно удалять старые адреса, если нынешним вы пользуетесь уже не менее 6 месяцев.

Comments

[marina_p]

О, какой полезный баг! Спасибо!

[andrzejn]

Говорят, что это не баг, а фича. Можно удалять старые адреса, если нынешним вы пользуетесь уже не менее 6 месяцев.

[cheremis.livejournal.com]

а, кстати, старница неплохо получилась, да ))

[posthum.livejournal.com]

скопирую сейчас этот текст себе
спасибо

[andrzejn]

Говорят, что это не баг, а фича. Можно удалять старые адреса, если нынешним вы пользуетесь уже не менее 6 месяцев.

[posthum.livejournal.com]

ОК. Сейчас сделаю апдейт

[0lgerd.livejournal.com]

This page only lets you remove e-mail addresses that were used after the first time you used the e-mail address your account is currently validated with.
Текущий не равно первый. Если после уязвимого первого валидейтили по новому адресу, то первый уже не в счет, разве нет?

[andrzejn]

На тот адрес, который был у меня первым, я не переключался после валидации нынешнего адреса - его отключили, когда я ушёл с того провайдера. Так что он был неубиваемым.

Неоднократно я заходил на страницу управления адресами и грустно смотрел на отключённый чекбокс против того старого e-mail'а. А сегодня зашёл посмотреть - и опаньки!

[andrzejn]

Говорят, что это не баг, а фича. Можно удалять старые адреса, если нынешним вы пользуетесь уже не менее 6 месяцев.

[0lgerd.livejournal.com]

И новый через 6 месяцев становится неудаляемым.
After changing to a new email address for use with an account, verifying it, and using it on the account for six months, it becomes un-removable, but allows for all earlier email addresses to be removed on the Manage Email page.

[andrzejn]

Но, как я понял, через 6 месяцев после смены его на новый снова становится удаляемым.

[0lgerd.livejournal.com]

Да, так. Но это ж надо, чтобы злоумышленники полгода просидели со своим, чтобы удалить хозяйский старый.

[etoile_verte]

Хех. Удалила все 10 (я и не знала, что их так много). Спасибо.

[etoile_verte]

А до страницы с юзерским CSS всё равно добираться далеко.