<p>What I am trying to say, is that</p>
<ol>
<li>
<p>We don't need a working e-mail at the sign-up time. Yes we are checking it, by sending a confirmation letter, but after that a few month or even years can pass before a user receives their first e-mail from osm.org.</p>
</li>
<li>
<p>A belief that e-mail confirmation ensures a e-mail address is working, is not based on anything. It's like these security procedures in airports: they look complex, scary and effective, but when tested, they turn out to be much hassle for regular passengers and transparent for attackers.</p>
</li>
</ol>
<p>For example, I have around 30 accounts on osm.org, most of which I made for teaching or for testing, and while all e-mails from the website are confirmed, I obviously don't check these e-mail accounts.</p>
<p>The only reason for confirmation e-mails is to validate the typed address. When we believe that a user <em>wants</em> to receive e-mails and types his address <em>by hand</em> in the relevant field, we send a confirmation e-mail to verify that they haven't made any typos. It is obviously redundant when we get an address from a third-party service, which has verified it the same way.</p>
<p>So even if you remove the line allowing for google, facebook and yahoo users to not use the confirmation link, you won't get better e-mail addresses or protect yourself from mailinator and similar services. Getting a proper e-mail address from a user is not a techical task, but a designer one. To make a user enter their actual working address, you have to show them the value of messages we will send them. The current registration page does not do that (e.g. we don't even assure that we won't send any spam), so we might get some fake e-mails. Again, the reason is not that we don't send confirmation e-mails for some registrations.</p>

<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br />You are receiving this because you are subscribed to this thread.<br />Reply to this email directly, <a href="https://github.com/openstreetmap/openstreetmap-website/pull/1433#issuecomment-280377938">view it on GitHub</a>, or <a href="https://github.com/notifications/unsubscribe-auth/ABWnLTopU-yAXd0Wls__IF1YsS4UEzWaks5rdHa4gaJpZM4L8Kyb">mute the thread</a>.<img alt="" height="1" src="https://github.com/notifications/beacon/ABWnLefrrsDfW3mrgpr2oVirfWWkfMoiks5rdHa4gaJpZM4L8Kyb.gif" width="1" /></p>
<div itemscope itemtype="http://schema.org/EmailMessage">
<div itemprop="action" itemscope itemtype="http://schema.org/ViewAction">
  <link itemprop="url" href="https://github.com/openstreetmap/openstreetmap-website/pull/1433#issuecomment-280377938"></link>
  <meta itemprop="name" content="View Pull Request"></meta>
</div>
<meta itemprop="description" content="View this Pull Request on GitHub"></meta>
</div>

<script type="application/json" data-scope="inboxmarkup">{"api_version":"1.0","publisher":{"api_key":"05dde50f1d1a384dd78767c55493e4bb","name":"GitHub"},"entity":{"external_key":"github/openstreetmap/openstreetmap-website","title":"openstreetmap/openstreetmap-website","subtitle":"GitHub repository","main_image_url":"https://cloud.githubusercontent.com/assets/143418/17495839/a5054eac-5d88-11e6-95fc-7290892c7bb5.png","avatar_image_url":"https://cloud.githubusercontent.com/assets/143418/15842166/7c72db34-2c0b-11e6-9aed-b52498112777.png","action":{"name":"Open in GitHub","url":"https://github.com/openstreetmap/openstreetmap-website"}},"updates":{"snippets":[{"icon":"PERSON","message":"@Zverik in #1433: What I am trying to say, is that\r\n\r\n1) We don't need a working e-mail at the sign-up time. Yes we are checking it, by sending a confirmation letter, but after that a few month or even years can pass before a user receives their first e-mail from osm.org.\r\n\r\n2) A belief that e-mail confirmation ensures a e-mail address is working, is not based on anything. It's like these security procedures in airports: they look complex, scary and effective, but when tested, they turn out to be much hassle for regular passengers and transparent for attackers.\r\n\r\nFor example, I have around 30 accounts on osm.org, most of which I made for teaching or for testing, and while all e-mails from the website are confirmed, I obviously don't check these e-mail accounts.\r\n\r\nThe only reason for confirmation e-mails is to validate the typed address. When we believe that a user _wants_ to receive e-mails and types his address _by hand_ in the relevant field, we send a confirmation e-mail to verify that they haven't made any typos. It is obviously redundant when we get an address from a third-party service, which has verified it the same way.\r\n\r\nSo even if you remove the line allowing for google, facebook and yahoo users to not use the confirmation link, you won't get better e-mail addresses or protect yourself from mailinator and similar services. Getting a proper e-mail address from a user is not a techical task, but a designer one. To make a user enter their actual working address, you have to show them the value of messages we will send them. The current registration page does not do that (e.g. we don't even assure that we won't send any spam), so we might get some fake e-mails. Again, the reason is not that we don't send confirmation e-mails for some registrations."}],"action":{"name":"View Pull Request","url":"https://github.com/openstreetmap/openstreetmap-website/pull/1433#issuecomment-280377938"}}}</script>