Merge branch 'master' of ssh://ikiwiki.branchable.com
authorSimon McVittie <smcv@debian.org>
Mon, 15 Sep 2014 20:39:18 +0000 (21:39 +0100)
committerSimon McVittie <smcv@debian.org>
Mon, 15 Sep 2014 20:39:18 +0000 (21:39 +0100)
doc/bugs/notifyemail_fails_with_some_openid_providers.mdwn
doc/news/openid.mdwn

index dd5016619588e2d177efcdc7e521187b876d5c24..c4542c8d02357952b1eea3f7c45b287a0f263ae9 100644 (file)
@@ -89,3 +89,9 @@ Any other ideas? --[[anarcat]]
 >>> willing to send notifications to a verified address?
 >>>
 >>> --[[smcv]]
+>>>
+>>>> hmm... true, that is a problem, especially for hostile wikis. but then any hostile site could send you such garbage - they would be spammers then. otherwise, you could ask the site manager to disable that account...
+>>>>
+>>>> this doesn't seem to be a very big security issue that would merit implementing a new verification mechanism, especially since we don't verify email addresses on accounts right now. what we could do however is allow password authentication on openid accounts, and allow those users to actually change settings like their email addresses. however, I don't think this should be blocking that functionality right now. --[[anarcat]]
+>>>>
+>>>> besides, the patch I am proposing doesn't make the vulnerability worse at all, it exists right now without the patch. my patch only allows users that **don't** have an email set (likely because their openid provider is more discreet) to set one... --[[anarcat]]
index c158ec3f98a46c1574205d949430239f2796e6db..03fca5567cd339ecf875b24eecfe7e3b9acf1b4e 100644 (file)
@@ -10,4 +10,4 @@ log back in, try out the OpenID signup process if you don't already have an
 OpenID, and see how OpenID works for you. And let me know your feelings about
 making such a switch. --[[Joey]]
 
-[[!poll 76 "Accept only OpenID for logins" 21 "Accept only password logins" 49 "Accept both"]]
+[[!poll 76 "Accept only OpenID for logins" 21 "Accept only password logins" 50 "Accept both"]]