Правила безопасности в ЖЖ – часть 3

3. Редактирование списка старых адресов

Список старых адресов, возможность высылать на них текущий пароль, и возможность их редактировать — система, продуманная очень тщательно, специально так, чтобы дать легитимному хозяину возможность полностью восстановить контроль над своим дневником. Попробую объяснить это в двух словах. Если бы списка старых адресов вообще не было, то взломщик, заполучивший каким-то образом пароль, мог бы изменить текущий адрес и навсегда получить контроль над дневником, без надежды настоящего хозяина вернуть его. Список старых адресов нужен в первую очередь для того, чтобы настоящий хозяин мог выслать себе изменённый пароль на один из них, и восстановить с его помощью доступ к дневнику. Но вместе с тем представьте себе такую ситуацию: взломщик получает доступ к дневнику, меняет текущий адрес на свой. Потом возвращается хозяин и меняет пароль опять, и возвращает свой адрес. Но теперь адрес взломщика находится в списке старых адресов, и он может в любой момент восстановить свой контроль над дневником, выслав на него текущий пароль так, как описано в пункте 2. выше. Поэтому хозяин дневника в такой ситуации не сможет восстановить полный контроль над дневником — взломщик в любой момент может получить его обратно.

Так обстояли дела в LiveJournal когда-то давно. Для того, чтобы исправить эту ситуацию, была введена возможность просматривать список старых адресов на странице http://www.livejournal.com/tools/emailmanage.bml и удалять некоторые из них. Теперь хозяин дневника, восстановив контроль над ним, может пойти на эту страницу и удалить “чужеродный” адрес взломщика из списка; после этого взломщик не сможет заново выслать себе пароль. Казалось бы, всё прекрасно! Но нет, опять проблема: что если взломщик, получив контроль над дневником, пойдёт на эту страницу и удалит оттуда как раз адреса настоящего хозяина? Тогда как раз хозяин не сможет выслать себе пароль на старый адрес и восстановить контроль над дневником! Для того, чтобы избежать этого, система устроена так, что на этой странице удалить можно не все старые адреса, а только некоторые. Те адреса, которые нельзя выделить для удаления в форме, удалить невозможно. Какие именно адреса можно удалить, а какие нельзя, и почему — понять не так уж просто, но я попробую объяснить подробно.

(Важно: вы можете пропустить длинное объяснение с примерами ниже, если вам не хочется или нет времени его читать. Это не самая важная информация, и к ней можно вернуться позже. Но в таком случае пролистайте к следующему пункту, про первый адрес, и прочтите обязательно хотя бы его).

Удалять можно только те адреса из списка старых адресов, которые вошли в него после того, как текущий адрес впервые вошёл в него, при условии, что текущий адрес сейчас подтверждён. Это наверняка не будет понятно сразу, поэтому я поясню с помощью нескольких примеров.