Handmatig username kiezen

[aykevl]

Gebruikersnaam veld op inschrijfformulier.

Moet ik nog beter testen (maar ik denk dat het wel werkt). Ik heb hierbij Python code naar JavaScript omgezet, maar ik begreep de code niet helemaal (vage variabele namen) dus ik weet niet of het precies hetzelfde is. Als het fouten maakt, is de username wel makkelijk aan te passen (je ziet het in het veld).

closes #365

[bwesterb]

Er is nog een probleem: als de secretaris een gebruikersnaam kan kiezen, dan kan een lid dat ook indirect door de secretaris te overtuigen. Dat kan best gevaarlijk zijn. We hebben op dit moment bijvoorbeeld niets dat voorkomt dat iemand smeekt om de gebruikersnaam postmaster. Je kunt zeggen: we maken een blacklist van gebruikersnamen, maar dat is lastiger dan het lijkt.

[aykevl]

Als ik dit zo zie, is het, als we dit willen doorvoeren handiger dit via een api request te doen (zoals je voorstelden). Dan kunnen we de oude code behouden.

Ik denk wel dat het redelijk eenvoudig is om de belangrijkste adressen te beschermen. Sowieso zijn alle Karpe specifieke adressen al in gebruik dus je kunt niet 'per ongeluk' nog een keer penningmeester aanmaken. Verder zijn er wel lijsten van speciale adressen:

• http://serverfault.com/questions/497995/special-mailbox-names: niet echt compleet
• https://www.ietf.org/rfc/rfc2142.txt: een lijst van namen die je sowieso wilt blacklisten
• http://security.stackexchange.com/questions/84127/what-email-addresses-are-treated-as-trusted: relevant voor TLS. De lijst toegestane adressen voor domain-validated TLS is heel kort tegenwoordig (na een paar security incidenten).

Dit is ook nog een leuk lijstje, erg uitgebreid maar inclusief sommige namen die voor ons niet relevant zijn: http://blog.postbit.com/reserved-username-list.html

Als we dit gaan doen wil ik wel los van kninfra een lijstje maken met beschermde adressen, die kunnen we dan in kninfra gebruiken.

Sowieso lijkt het me handig om aan secretarissen (in de overdracht?) mee te geven dat het hierbij gaat om speciale bijnamen die geen technische functie/betekenis mogen hebben. Natuurlijk zouden bepaalde namen er dan nog doorheen kunnen glippen maar veel namen (bijvoorbeeld www@) zouden toch ook voor niet-technische mensen duidelijk moeten zijn.

https://xkcd.com/327/

[bwesterb]

Die XKCD is inderdaad heel toepasselijk :).

Zo te zien heb je al zorgvuldig rondgekeken. Als je een lijstje met gevaarlijke gebruikersnamen maakt, dan zal ik die toewijzen aan de juiste personen (bestuur, secretariaat, wortel, webcie...)

[aykevl]

Ik wacht even totdat ik weet dat hier vraag naar is voor ik er verder wat aan doe. Anders vind ik het zonde van de moeite.

[aykevl]

Zie #373