Политика безопасности не учитывает ранее введенный пароль

Рейтинг: 2.9115  
На голосовании
Предложил Долганин Антон 01.10.2014 12:34:27

Политика безопасности не учитывает ранее введенный пароль

Самый обычный кейс:

- ну ты зарегайся, я тебе права админа дам
* идет регается с паролем 111111 *
- готово
- права выдал

И система не ругнется, потому что пароль нам неизвестен. Соответственно, при изменении пароля (добавлении нового) надо смотреть его текущую политику - и информацию по этой политике сохранять. И если пользовательский пароль не попадает под новую группу - запрещать ставить группу.  

Рейтинг: 0  
Задойный Алексей 02.10.2014 14:14:24
учитывая, что пароль хешированный/солёный, то уверены, что это удастся?
Может добавить свойство "менять пароль при добавлению в данную группу"? И вне зависимости от удовлетворения пароля политике, система заставит юзера пароль сбросить.
Рейтинг: 0  
Долганин Антон 02.10.2014 20:56:16
Алексей, ты меня не понял. При изменении пароля - сохранять ту политику, к которой пароль относится. А при смене групп не смотреть на пароль вообще, смотреть на последнюю политику.
Рейтинг: 0  
Куклин Евгений 02.10.2014 22:32:33
Т.е. при каждой установке пароля сохранять с ним в пару политику, при которой установлен? И при добавлении в группу, политика в которой жёстче, требовать смену пароля?
Рейтинг: 0  
Долганин Антон 02.10.2014 22:47:04
Да, типа того. Ибо меня очень беспокоит кейс выше.