Comments 176
Я бы поставил вопрос совсем кардинально: а нужна ли регистрация?
Не всегда ведь можно воспользоваться универсальным решением вроде OpenID. Допустим, я не хочу связывать с этим аккаунтом никакой другой. Или у меня нет никаких других аккаунтов =)
Для ретроградов можно оставить на выбор обычную форму регистрации с тридцатьюпятью обязательными вопросами, капчей, подтверждением регистрации по мылу и премодерацией.
Для всех остальных сделать вход через OpenID, Facebook, GMail, Vkontakte etc.
Для всех остальных сделать вход через OpenID, Facebook, GMail, Vkontakte etc.
Сам ты ретроград. Это дело удобства и личных предпочтений.
Ох, простите, для непонимающих юмора опять забыл поставить тег <irony> и нарисовать шесть закрывающих скобочек.
А по сути, есть что возразить? Я как бы и предложил оставить обычную регистрацию в дополнение к аутентификации через сторонние сервисы — для удобства всех посетителей сайта, а не только <irony>ретроградов ))))))</irony>.
А по сути, есть что возразить? Я как бы и предложил оставить обычную регистрацию в дополнение к аутентификации через сторонние сервисы — для удобства всех посетителей сайта, а не только <irony>ретроградов ))))))</irony>.
Есть.
Весьма удобно, да: сохранил пароль в жезле и не нужно будет при следующем входе на сайт лезть за ним в почту.
Но маленький нюанс в форме аутентификации: в поле пароля я вижу точки (что понятно), но не знаю, что за ними скрыт именно тот пароль, который записан за моей учеткой. Мало ли, что там мне сохранит жезл. Интуиция подсказывает: доверяй, но проверяй.
К тому же если пароль генерится автоматически, то я, вероятнее всего, захочу его сменить на более привычный мне, поэтому не буду сохранять его сразу в жезле. То есть ваша задумка в большинстве случаев не работает, только лишь увеличивая количество шагов пользователя от момента регистрации до использования контента сайта, увы.
Весьма удобно, да: сохранил пароль в жезле и не нужно будет при следующем входе на сайт лезть за ним в почту.
Но маленький нюанс в форме аутентификации: в поле пароля я вижу точки (что понятно), но не знаю, что за ними скрыт именно тот пароль, который записан за моей учеткой. Мало ли, что там мне сохранит жезл. Интуиция подсказывает: доверяй, но проверяй.
К тому же если пароль генерится автоматически, то я, вероятнее всего, захочу его сменить на более привычный мне, поэтому не буду сохранять его сразу в жезле. То есть ваша задумка в большинстве случаев не работает, только лишь увеличивая количество шагов пользователя от момента регистрации до использования контента сайта, увы.
Я не пользуюсь входом через соц.сети, предпочитаю завязывать аккаунты на почте.
Это не желание ретрограда. У меня есть две почты: рабочая и нерабочая. В серьёзных сервисах я регистрируюсь вводя рабочую почту, на несерьёзных нерабочую.
Я не хочу сидеть и вспоминать, к какому аккаунту в какой соц сети у меня привязан аккаунт на сайте.
Кроме того, часто после первого входа через аккаунт, всё равно просят ввести какие-то данные.
И вот пример, я делаю проект, я не делаю авторизацию через вк-аккаунт, потому что знаю, что это лазейка для кучи ботов, а мне в моём сервисе боты не нужны.
Так что с ретроградами вы погорячились. и от гнева хабра-сообщества вас ничего не спасёт))
Это не желание ретрограда. У меня есть две почты: рабочая и нерабочая. В серьёзных сервисах я регистрируюсь вводя рабочую почту, на несерьёзных нерабочую.
Я не хочу сидеть и вспоминать, к какому аккаунту в какой соц сети у меня привязан аккаунт на сайте.
Кроме того, часто после первого входа через аккаунт, всё равно просят ввести какие-то данные.
И вот пример, я делаю проект, я не делаю авторизацию через вк-аккаунт, потому что знаю, что это лазейка для кучи ботов, а мне в моём сервисе боты не нужны.
Так что с ретроградами вы погорячились. и от гнева хабра-сообщества вас ничего не спасёт))
Вот так зайдешь в карму плюсануть, а там уже…
«Не во сне, наяву бредит. Во сне видит, наяву бредит» :)
При текущем сценарии вам в любом случае придётся привязать к аккаунту свой емейл аккаунт. Замечание было о том, что вместо емейла можно использовать OpenID/OAuth, не требующий дополнительного подтверждения по получении, и регистрация с помощью которого происходит быстрее.
Существуют сервисы для людей, которые зарабатывают деньги в интернете. Вот в таких сервисах OpenID/OAuth излишек, потому что серьезные дядьки не будут регистрироваться аккаунтами из соц-сетей, максимум GMail, и то подумают. Ведь у них там деньги, возможно даже очень серьезные. Если бы была возможность регистрировать людей через акк PayPal — тогда бы наверное по-другому стоял вопрос.
OpenID не имеет к соц. сетям прямого отношения. Это проще и быстрее, чем электронная почта. PayPal ко всему прочему является OpenID провайдером (как, кстати, и Gmail, чем пользуются десятки сервисов типа Disqus, Blogger и т.п.). Излишек — это как раз лишний шаг подтвеждения email при регистрации пользователей.
Хорошо, приведите пример монетизированного сервиса, в котором крутятся миллионы долларов ежечасно, в котором используется авторизация по OpenID? Кстати, люди, которые заминусовали и коммент и мою карму, тоже пожалуйста поучавствовайте в аргументации своих действий. Я при этом могу привести пример сервиса такого, который требует от пользователя очень много информации, при этом сервис насчитывает 3кк пользователей, и там действительно крутятся миллионы долларов. И никто (!!!) не пожаловался на плохой сервис, все пользователи только за то, что монетизация может проходить не только через PayPal, но и через карты Visa, Mastercard и тд напрямую, при этом сервис обеспечивает полную сохранность личных данных.
Не минусовал, но отвечу:
Например, тот же Яндекс позволяет авторизоваться через аналоги OpenID.
В Яндексе точно крутятся большие капиталы ежечасно.
Например, тот же Яндекс позволяет авторизоваться через аналоги OpenID.
В Яндексе точно крутятся большие капиталы ежечасно.
Яндекс в первую очередь зарабатывает сам. Что касается людей, которые хотят заработать на Яндексе — это как-то забавно (я изначально говорил про сервисы, на которых люди зарабатывают деньги). И еще, Яндекс ограничивает вывод средств для физических лиц, даже для авторизованных пользователей, думаю, что для юр.лиц другая система действует совсем, там по OpenID и аналогам не зарегистрируешься и не авторизуешься. И да, через Яндекс-деньги можно продавать только услуги, товары нельзя. Не думаю, что уместный пример, хотя оборот конечно хороший, но это оборот Яндекса и тех контор, которые через него получают деньги.
Если я пришел на ресурс зарабатывать деньги, и не 100р-10000р, а намного больше, при этом я не являюсь юридическим лицом (юр.лицо само организует сайтик для продажи своих услуг и/или продуктов, что собственно и видно в предоставленном списке, других я там не встретил как-то, может быть мне не по шарам). И я не собираюсь использовать этот сайт как платежную систему, не собираюсь оплачивать таким образом товары и услуги, то по-вашему я буду регистрироваться через OpenID/OAuth? Вы вообще понимаете о каких сервисах я изначально говорил?
Скажу больше, Вы думаете, что на любой из существующих бирж (фьючерсов, валюты, спорта и тд) человек придет и будет авторизовываться через OpenID?
Практически любая из существующих бирж работает через толстый клиент, что приводит к затруднениям при работе (а именно аутентификации) с OpenID.
Уже есть конкуренция в веб против толстых клиентов.
Пошукайте, я уверен, что наверняка увидите там и «войти через OpenID/Facebook». И на будущее, не будьте настолько категоричны.
В тех, что существуют, нету. Что касается OpenID — я скорее всего подумаю, так как я сейчас создаю вспомогательный сервис для одной из бирж. Возможно это будет правильное предложение. Я не категоричен, я конкретные вещи излагаю, если кто-то не готов меня услышать — извините.
То, что вам нужно, называется SSO. Кастомные OpenID или OAuth провайдеры могут являться краеугольным камнем для SSO.
А вот к топику это не имеет никакого отношения.
А вот к топику это не имеет никакого отношения.
Простите, промазал с ответом и ответил сам себе.
[irony]Видимо, об эротических веб-трансляциях. Простите, в этом смыслю мало.[/irony]
Поясните мне разницу между регистрацией с использованием email на Gmail'е, и с использованием OpenID Gmail. Возможно, мне больше станет понятна ваша позиция.
Поясните мне разницу между регистрацией с использованием email на Gmail'е, и с использованием OpenID Gmail. Возможно, мне больше станет понятна ваша позиция.
Я говорил лишь о том, что есть допустим спортивная биржа, где даже не предлагается вариация с OpenID, при этом есть ли смысл создавать сервис, который будет вспомогательным для этой биржи, если там не будет в принципе авторизации кроме OpenID/OAuth?
Вы не отвечаете на прямые вопросы, и ваша позиция не стала мне яснее.
Изначально вы утверждали, что «серьезные дядьки не будут регистрироваться аккаунтами из соц-сетей». А теперь выясняется, что речь об игроманах и ещё и толстых клиентах. Разберитесь изначально с тем, как что работает. Либо зарабатывайте свои игровые деньги вместо того, чтобы сальванировать на сайте технической направленности.
Изначально вы утверждали, что «серьезные дядьки не будут регистрироваться аккаунтами из соц-сетей». А теперь выясняется, что речь об игроманах и ещё и толстых клиентах. Разберитесь изначально с тем, как что работает. Либо зарабатывайте свои игровые деньги вместо того, чтобы сальванировать на сайте технической направленности.
Я не зарабатываю на бирже. Я технарь, как и все тут. Я разрабатываю сервис, который должен помогать людям зарабатывать или проигрывать на бирже. Возможно, Ваша позиция правильная, но почему-то биржы не идут на это, возможно потому что работают с другим контенгентом. Не так?
Возможно потому, что организаторам там далеко за шестьдесят?
Не, ну вот правда, какая с технической точки зрения разница, получит ли сайт логин, пароль (паролем тут может стать хэш openid линка) и мыло через post или через openid?
И что мешает в целях секьюрности требовать для проведения денег проапгрейдить аккаунт сменой пароля с openid линка на буквоциферки и логиниться нормально?
Openid это не какая-то неведомая магическая система с пультом доступа у владельца очередной соцсети, это просто способ более удобной передачи данных для регистрации, не требующий их вбивать каждый раз заново и позволяющий к этому ещё и пароли не придумывать опционально. Но ни что не мешает спрашивать пароль даже параллельно с openid авторизацией, если того требует безопасность.
Не, ну вот правда, какая с технической точки зрения разница, получит ли сайт логин, пароль (паролем тут может стать хэш openid линка) и мыло через post или через openid?
И что мешает в целях секьюрности требовать для проведения денег проапгрейдить аккаунт сменой пароля с openid линка на буквоциферки и логиниться нормально?
Openid это не какая-то неведомая магическая система с пультом доступа у владельца очередной соцсети, это просто способ более удобной передачи данных для регистрации, не требующий их вбивать каждый раз заново и позволяющий к этому ещё и пароли не придумывать опционально. Но ни что не мешает спрашивать пароль даже параллельно с openid авторизацией, если того требует безопасность.
Нужна, если проект приватный и вязать к нему открытые id просто нельзя.
Довольно странная деамка, если мне всё равно надо идти в почту за паролем, то зачем меня перенаправлять на форму логина? Не лучше ли в письме дать ссылку на активацию, которая направит к данной форме?
Суть в том, чтобы пользователь не лез в почту для продолжения работы, а просто нажал «Войти», сохранил пароль Жезлом или чем там еще и был счастлив. А для того, чтобы авторизоваться с другого компа, у него на почте валяется пароль.
UFO just landed and posted this here
Хмм… А в каком же виде тогда пароль на почту отправлять?
Кстати, браузер пишет пароль не для папки, а для домена, насколько я понимаю.
Кстати, браузер пишет пароль не для папки, а для домена, насколько я понимаю.
UFO just landed and posted this here
дать пользователю самому ввести пароль? Меня например, дико бесят сервисы которые сами генерят пароль, потому как мне потом приходится лезть на почту за новым паролем, искать форму смены его, копипастить старый пароль, писать новый, потом лезть на почту что бы нажать ссылку подтверждения смены пароли. Есть конечно всякие там жезлы и запоминалки, но у них всех есть один большой минус, они не кроссплатформенны. И когда мне понадобилось зайти с телефона на какой-то из таких сайтов, мне пришлось запрашивать восстановление пароля.
UFO just landed and posted this here
Насчет кроссплатформенности — есть в новом Firefox сервис Sync, видимо Вы о нем.
С ним работают и Хром, и Опера, и ИЕ, включая мобильные? Если говороим о веб-приложении, то кроссплатформенность обычно означает и кроссбраузерность.
LastPass or 1Password
Кроссбраузерность обеспечивается или заинтересованностью разработчика браузера или его относительной свободностью и заинтересованностью компетентных пользователей. Написать плагин для Sync нет никаких проблем ни в какой оси — исходники есть, документация тоже. Была бы возможность.
Собственно я себе для андройда написала уже, теперь мой нук колор синкается со всеми моими лисами.
Собственно я себе для андройда написала уже, теперь мой нук колор синкается со всеми моими лисами.
По поводу второго пункта, а не надуманная ли проблема? В конечном итоге, это почта пользователя и он(а так же сервис, предоставляющий услуги почты) отвечает за её безопасность.
UFO just landed and posted this here
>«при взломе одной лишь почты злоумышленник получит сразу все пароли»
Так ведь разве это проблема сайта(сервиса, форума и т.д.)? За безопасностью почты должны следить а) владелец эл. почты б) сервис предоставляющий услуги эл. почты, разве нет?
Так ведь разве это проблема сайта(сервиса, форума и т.д.)? За безопасностью почты должны следить а) владелец эл. почты б) сервис предоставляющий услуги эл. почты, разве нет?
UFO just landed and posted this here
И все же, на мой взгляд, есть достаточно тонкая грань между удобством и безопасностью и не всегда есть смысл переходить ее. Конкретно касательного данного случая, часть паролей на моей почте лежит в открытом виде, там нет важных паролей т.к. я предпочитаю запоминать их и в случаи, если я забыл пароль от сайта\сервиса, я захожу на почту, смотрю пароль, вбиваю на сайт и все! Можно продолжать работу с сайтом\сервисом, а не пользоваться услугой восстановления пароля.
Я думаю, что нет однозначного ответа на вопрос «Стоит ли отправлять пароль на почту в открытом видео?», все зависит от сайта\сервиса.
Я думаю, что нет однозначного ответа на вопрос «Стоит ли отправлять пароль на почту в открытом видео?», все зависит от сайта\сервиса.
а что мешает пользователю зайти на почту и сразу удалить письмо с паролем? Думаю что о безопасности паролей должен думать не админ сайта, а пользователь, админ сайта должен думать только о том, как защитить утечку паролей с сайта.
Если админ сайта не должен думать о безопасности, тогда зачем вообще вводить пароли? Сделать всё беспарольным с временной информацией в куках — и делов — и сразу автоматически отправлять новую пользовательскую инфу на индексацию поисковиками.
Админ, отказывающий пользователю в праве выбрать себе [дефолтный] пароль, но отсылающий его третьим лицам по неизвестным каналам в нешифрованном виде — нонсенс.
Админ, отказывающий пользователю в праве выбрать себе [дефолтный] пароль, но отсылающий его третьим лицам по неизвестным каналам в нешифрованном виде — нонсенс.
Вставлю своё имхо:
Админ сайта должен думать о безопасности сайта.
Админ пользователя должен думать о безопасности пользователя.
Админам не стоит лезть в сферу ответственности других админов.
По поводу отправки пароля на мыло — стоит сделать снизу формы регистрации чекбокс «отправить пароль на почту». Для секъюрности можно сделать его выключенным по дефолту, можно даже в display:none спрятать и открывать только по нажатию на какое-нибудь «показать расширенные опции регистрации»
Я бы так и сделала… А хотя вот пойду и сделаю на паре своих сайтиков сейчас.
Админ сайта должен думать о безопасности сайта.
Админ пользователя должен думать о безопасности пользователя.
Админам не стоит лезть в сферу ответственности других админов.
По поводу отправки пароля на мыло — стоит сделать снизу формы регистрации чекбокс «отправить пароль на почту». Для секъюрности можно сделать его выключенным по дефолту, можно даже в display:none спрятать и открывать только по нажатию на какое-нибудь «показать расширенные опции регистрации»
Я бы так и сделала… А хотя вот пойду и сделаю на паре своих сайтиков сейчас.
С разграничением ответственности проблема в том, что ни админ пользователя ни админ сайта не контролируют безопасность среды, через которую передаётся сообщение — сети, в т.ч. «домашние» на хабах, почтовые сервера и т.п. К тому же респектабельные сайты чутко относятся к возможности фэйла для пользователя по его незнанию/неумению и т.п. — даже маленький процент фэйлов может ухудшить конкурентоспособность сервиса.
С функционалом логина/регистрации (кстати, почему-то очень мало сервисов создают учётку по случайной попытке логина). А отсылать емейл при регистрации с краткой памяткой — хорошая практика, но вот пароль там указывать лишнее. Лучше отладить функционал восстановления забытого пароля.
С функционалом логина/регистрации (кстати, почему-то очень мало сервисов создают учётку по случайной попытке логина). А отсылать емейл при регистрации с краткой памяткой — хорошая практика, но вот пароль там указывать лишнее. Лучше отладить функционал восстановления забытого пароля.
ни админ пользователя ни админ сайта не контролируют безопасность среды, через которую передаётся сообщение — сети, в т.ч. «домашние» на хабах, почтовые сервера и т.п.
Это работа админа пользователя.
Хотя ещё админ сайта может предоставить шифрованный туннель до соседнего в стойке сервера.
И я не против чрезмерной безопасности, я против навязывания её пользователю против его воли и отсутствие возможности от неё отказаться.
Вот например, у меня хороший не подбираемый пароль придумался для секьюрной регистрации на сайте. Но эта сволочь требует добавить туда ещё цифорку и заглавную буковку, иначе не пустит. Ну вот нафига, а? Они что, правда думают, что двадцативосьмизначный не словарный пароль подобрать проще, если в нём нет цифорки и он в одном регистре записан?
А некоторые другие современные сайты ограничивают не только минимальную, но и максимальную длины паролей. Вот спрашивается, если он всё-равно хешом храниться должен — ну не пофиг ли, какой он длинны? Траффик экономим что ли? А если он в открытом виде хранится, то думать надо ужё о собственной безопасности и не лезть в чужую, пока дома бардак.
Это я к тому, что все такие меры начинаются с благих намерений в духе заботы о пользователе. Может ничего плохого в этом намерении и нет, но дорога в ад из них и выстраивается. В ад для пользователя как при регистрации, так и после.
Можно провести аналогию с домом и хранением документов.
при взломе почты злоумышленник так и так получит доступ к функции восстановления пароля на большинстве сайтов. а список сайтов он найдет в той же почте (по письмам «спасибо за регистрацию»)
UFO just landed and posted this here
UFO just landed and posted this here
Моя личная практика показывает, что от секретных вопросов больше проблем, чем безопасности. Хочется уберсекьюрности — спрашивайте серию и номер пасспорта, их хоть подобрать не так просто будет (если сверять с физическим носителем). Секретные вопросы или легко подбираются или сам пользователь их забывает. Или он хранит ответы на них в почте, чтобы не забыть.
UFO just landed and posted this here
Серию и номер паспорта очень легко подобрать близким людям, включая, например, коллег. Как и вопросы типа «девичья фамилия матери».
Большей частью, имхо, проблема утечки конфиденциальных данных (если не брать публичных личностей) не в том, что они станут известны неопределенному кругу лиц, а в том, что они станут известны непосредственному кругу общения.
Большей частью, имхо, проблема утечки конфиденциальных данных (если не брать публичных личностей) не в том, что они станут известны неопределенному кругу лиц, а в том, что они станут известны непосредственному кругу общения.
При взломе почты, злоумышленник может воспользоваться функцией «Восстановить пароль» и получить его или ввести новый. Я думаю, что люди привязывая аккаунты к почте отдают себе отчёт в том, что почта всё-таки ещё и сервис хранения паролей. И сервис, предоставляющий услугу почты, тоже это понимает. Они же тоже регистрируются где-то. Какие ваши предложения?
Мне кажется, чтобы уж совсем не беспокоиться об открытости пароля, в письмо нужно добавить текст о необходимости смены пароля на свой собственный.
2й пункт меня всегда веселил, некоторые считают что отправлять на почту пароль в открытом ввиде, и аргумент? если взломают ящик то получат пароль. Смешно :) простите а если там пароля не будет, но будет контроль над ящиком (т.к. он взломан) то по вашему получить этот пароль через форму восстановления паролей дело не преодолимое?
Пароль от ящика можно восстановить, но к тому времени злоумышленник может успеть сгрузить почту к себе на компьютер для дальнейшего изучения.
Аргумент против такой — каждый раз когда вы сидя на http видите свой пароль в html (например, читая почту через mail.ru) его также видят/кэшируют все прокси/провайдеры/wi-fi точки через которые вы работаете, а также сниферы в вашей сети.
Для начала нужно узнать, что человек вообще зарегистрирован на конкретном сервисе. А так открываешь почту, а там и названия сервисов, и пароли. Да ещё в отдельной папочке «Регистрации», как у меня :)
топик стартер говорит о том что плохо рисылать пароль в открытом виде на почту.
Причина? если ломанут почту то писец найдут пароль.
А теперь сопли вытерли и давайте размышлять, ну кому вы нащуй сдались? у вас что фамилия цукерберг? что вы бло ноете как маленькие, я вам абсолютно точно говорю, если захотят тебя поиметь и есть на это деньги то все равно поимеют, самый безопасный компьютер это компьютер которого НЕТ.
Аргумент что html контент кешируется (ну или другими словами может быть прочитан) третьей стороной, ну так и что? они и так это делают все время, и вы по этому плохо спите?
Все это чистой воды дуйня. Вы пишете код что б дурак его взломать не смог, а остальное все равно если захотят взломают вот и все.
Что лучше сделать клиенту кучу геморроя — потому как правила безопастности? Или сделать его счастливым но защитить его от «дурака»?
Я выбираю второе.
На мой взгляд (повторю еще раз) если вас захотели «по иметь» в сети, и для этого есть ресурсы то они сделают в любом случае.
И все будет зависит только от кол-ва ресурсов у этой стороны. По этому если вы не предстовляете особого интереса (а вы его прямо скажем не предстовляете) то и нехера вести себя как пароноик.
Дверь надо закрывать и даже на замок это нормально, что б мимо проходящий «дурак» дернув за ручку не смог ее открыть. Но я вас умоляю, какие бы вы крутые системы безопастности (замки и т.д.) не устанавливали, если кому то это будет нужно, они откроют вашу тайную дверь.
Не согласных прошу это отразить в установке минусов.
Людей которые разделяют мою точку зрения прошу — плюсуйте.
И узнаем где чья правда.
Спасибо.
Есть же смысл писать защиту от дурака.
Причина? если ломанут почту то писец найдут пароль.
А теперь сопли вытерли и давайте размышлять, ну кому вы нащуй сдались? у вас что фамилия цукерберг? что вы бло ноете как маленькие, я вам абсолютно точно говорю, если захотят тебя поиметь и есть на это деньги то все равно поимеют, самый безопасный компьютер это компьютер которого НЕТ.
Аргумент что html контент кешируется (ну или другими словами может быть прочитан) третьей стороной, ну так и что? они и так это делают все время, и вы по этому плохо спите?
Все это чистой воды дуйня. Вы пишете код что б дурак его взломать не смог, а остальное все равно если захотят взломают вот и все.
Что лучше сделать клиенту кучу геморроя — потому как правила безопастности? Или сделать его счастливым но защитить его от «дурака»?
Я выбираю второе.
На мой взгляд (повторю еще раз) если вас захотели «по иметь» в сети, и для этого есть ресурсы то они сделают в любом случае.
И все будет зависит только от кол-ва ресурсов у этой стороны. По этому если вы не предстовляете особого интереса (а вы его прямо скажем не предстовляете) то и нехера вести себя как пароноик.
Дверь надо закрывать и даже на замок это нормально, что б мимо проходящий «дурак» дернув за ручку не смог ее открыть. Но я вас умоляю, какие бы вы крутые системы безопастности (замки и т.д.) не устанавливали, если кому то это будет нужно, они откроют вашу тайную дверь.
Не согласных прошу это отразить в установке минусов.
Людей которые разделяют мою точку зрения прошу — плюсуйте.
И узнаем где чья правда.
Спасибо.
Есть же смысл писать защиту от дурака.
Ну раз уж попросили, то минусанул коммент. Не согласен в том, что моя переписка, в том числе на различных сайтах знакомств и социальных сетях, интереса не представляет ни для кого. Например, для подруги или жены вполне может представлять. При том у неё есть физический доступ к компу. До установки кейлогеров и сниферов она, наверное, не додумается, денег платить кому-то тоже, но вот посмотреть забытую открытой почту может вполне, а там пароль к какому-нибудь wanttofuck.com в открытом виде.
зачем вам нужны такие подруги или жены, задумайтесь, и меняйте пока молоды, дальше будет хуже? А если вы и в правду там что то скрываете от них в каких то wanttofuck.com то тем более не пойму зачем это делаете…
это же утопия. Интернет это не приватная зона, девелоперы то должны это понимать?
Это жуткий стереотип, который вам навязан кион или еще кем то, все что хоть раз побывало в интрнете при определенных усилиях может стать публичным по счету раз.
А теперь что касается конкретно вашего кейса…
заходит ваш доброжелатель в забытую вами почту и видит вместо письма с логином и паролем, к вашему любимому сайту, письмо об успешной там регистрации. и все. и точно так же заходит на этот сайт, восстанавливает пароль и вуаля. и она уже наслаждается вашей перепиской.
И не надо говорить что для того что бы пасс восстановить мозгов больше нужно чем читать чужой оставленный комп.
Есть еще реальные аргументы против посылки пароля открытым текстом в письме? (мало того ведь юзер всегда его может поменять сам, но это реально проблему не решает потому как только злоумышленник получил доступ к вашей почте, все он получил ключи от всех дверей :) )
это же утопия. Интернет это не приватная зона, девелоперы то должны это понимать?
Это жуткий стереотип, который вам навязан кион или еще кем то, все что хоть раз побывало в интрнете при определенных усилиях может стать публичным по счету раз.
А теперь что касается конкретно вашего кейса…
заходит ваш доброжелатель в забытую вами почту и видит вместо письма с логином и паролем, к вашему любимому сайту, письмо об успешной там регистрации. и все. и точно так же заходит на этот сайт, восстанавливает пароль и вуаля. и она уже наслаждается вашей перепиской.
И не надо говорить что для того что бы пасс восстановить мозгов больше нужно чем читать чужой оставленный комп.
Есть еще реальные аргументы против посылки пароля открытым текстом в письме? (мало того ведь юзер всегда его может поменять сам, но это реально проблему не решает потому как только злоумышленник получил доступ к вашей почте, все он получил ключи от всех дверей :) )
Взаимовыгодное партнерство. Только они потом начинают желать пересмотреть условия, а я нет. Но это офтоп.
А вот письма о регистрации без паролей я как раз удаляю, ибо мусор вообще не имеющий смысла. Равно как уведомления о новых сообщениях и т. п. — это однораззовые письма, прочёл — удалил.
Поменять, кстати, не всегда может. Вернее может, но только на такой же генерированный.
А вот письма о регистрации без паролей я как раз удаляю, ибо мусор вообще не имеющий смысла. Равно как уведомления о новых сообщениях и т. п. — это однораззовые письма, прочёл — удалил.
Поменять, кстати, не всегда может. Вернее может, но только на такой же генерированный.
Пардон, не сразу понял вашу задумку — в некоторых случая 6 жирных точек означают необходимость ввести пароль в этом поле. Так что задумка хорошая, но идёт вразрез с устоявшейся практикой и может быть неправильно понята.
а может быть проще тогда уж и форму сабмитить за пользователя автоматом?
А нужно ли за человека придумывать пароль? Сэкономили один шаг при регистрации, но принудили лезть в профиль, чтобы тут же сменить на желаемый.
На мой взгляд — нужен onclick с яваскриптом, генерящим рандомный пароль. И ещё один, который заменяет точечки буковками, так, на всякий случай. И ещё чекбокс для отправки его в почту опционально. Ну и для секьюрности можно их все по дефолту выключить. И даже спрятать в display:none с опциональным показом по желанию потенциального пользователя.
А зачем менять на желаемый? ;)
Вы пытаетесь решить на стороне сайта проблему, которую на самом деле должен решить разработчик программы для запоминания паролей. Я пользуюсь Lastpass, и он без проблем запоминает логин и пароль, введенный на странице регистрации, а затем подставляет его в форму входа.
Нелогично заставлять всех пользователей сделать лишний клик ради некоторой части пользователей, которые пользуются несовершенными средствами запоминания паролей.
Нелогично заставлять всех пользователей сделать лишний клик ради некоторой части пользователей, которые пользуются несовершенными средствами запоминания паролей.
Я думаю, что когда все станут пользоваться удобными инструментами (т.е. когда такие инструменты станут внедряться в популярные браузеры изначально), мы сможем забыть этот сценарий и вернуться в «молчаливой» авторизации. Но как временное решение такой подход может несколько облегчить жизнь пользователям.
Лишний клик при регистрации, это же единичное событие. Нелогично не пользоваться встроенным запоминателем, а заставлять всех ставить Lastpass.
Подозреваю, что эта «некоторая» часть довольно большая. Например, Хром может не определить форму логина, где Файерфокс определяет.
Согласен.
Firefox также запоминает логин/пароль еще на странице регистрации и сие есть самая удобная практика.
Firefox также запоминает логин/пароль еще на странице регистрации и сие есть самая удобная практика.
Ненавижу сайты, которые за меня придумывают пароль…
А если его можно будет поменять на втором шаге, при авторизации?
UFO just landed and posted this here
С одной стороны я вас поддерживаю. Сам отношусь к людям, который для даже самого дерьмовенького сайта генерируют 60-ти значные пароли самого высокого уровня сложности.
Однако это мы с вами. А вот когда я наблюдаю, как обыватели на всех своих сайтах, включая различные финансовые, ставят один и тот же пароль вида «marusia1987», я начинаю придерживаться жесткого мнения, что пароли должен генерировать сайт и точка.
Однако это мы с вами. А вот когда я наблюдаю, как обыватели на всех своих сайтах, включая различные финансовые, ставят один и тот же пароль вида «marusia1987», я начинаю придерживаться жесткого мнения, что пароли должен генерировать сайт и точка.
Знаете, когда некий простенький онлайновый сервис, на который я зашел первый раз чисто поглазеть, после статьи на хабре, не хочет 3 раза подряд съедать мой пароль (не слишком сложный, но не «123»), я обычно закрываю сайт ко всем чертям и никогда больше туда не возвращаюсь.
На простеньком онлайновом сервисе вообще не должно быть регистрации, либо вход через соц.сети.
Сервис может быть такой, что лучше никому не знать, что я туда заходил :)
Опять же, зачем там регистрация тогда?
Персональные настройки, например.
Если это простой онлайновый сервис, можно сохранять конфиг настроек в локал.сторэйдж. Без регистраций всяких.
Между компами их нельзя перемещать, по крайней мере легко. Как я вижу основные цели регистрации со стороны пользователей на простых сервисах типа хабра (по сути же он не сложный, да? :) ):
— никто не сможет выдать себя за меня
— личные данные и настройки не надо вводить постоянно, а достаточно ввести их один раз и с любого девайса они будут доступны
— карма аккумулируется годами :)
Приватность личных сообщений, черновиков и т. п. — это лишь фичи, для основных целей малозначащие.
— никто не сможет выдать себя за меня
— личные данные и настройки не надо вводить постоянно, а достаточно ввести их один раз и с любого девайса они будут доступны
— карма аккумулируется годами :)
Приватность личных сообщений, черновиков и т. п. — это лишь фичи, для основных целей малозначащие.
Удобство вс безопасность — вечная дилемма, но спасение утопающих дело рук самих утопающих. Можно предупредить пользователя, что его пароль слишком простой, но заставлять его запоминать, копипастить из почты (на которую скорее всего будет тот же «marusia1987») или менять, имхо, могут позволить себе лишь немногие сайты, для которых факт взлома любого аккаунта даже самого «блондинистого» нанесет серьезный урон по репутации. А некоторые еще и запрещают менять на произвольный, либо произвольный не такой уж произвольный.
Проблема копипаста из почты и запоминания пароля решается простым восстановлением паролей. Ведь если вам не важен данный сервис, то и запоминать пароль вы не будете и вам в принципе не важно, какой пароль там будет.
Если вы хотите использовать везде один и тот же пароль — пожалуйста, меняйте его потом на нужный в настройках.
Чтобы не надо было копипастить, в письме после регистрации надо кидать не логин-пароль, что является нарушением безопасности, а ссылку на форму входа с предзаполненными данными. Эти данные и менеджер паролей подхватит, и вы посмотреть сможете.
Плюс ко всему я не говорю о жесткой генерации, в которой даже пользователь не принимает участия. Нет, пароль генерируется при регистрации и вы его видите. И он здесь же подхватывается менеджером паролей. При желании можете и свой вписать, но вас строго предупредят о нежелательности данного действия.
Если вы хотите использовать везде один и тот же пароль — пожалуйста, меняйте его потом на нужный в настройках.
Чтобы не надо было копипастить, в письме после регистрации надо кидать не логин-пароль, что является нарушением безопасности, а ссылку на форму входа с предзаполненными данными. Эти данные и менеджер паролей подхватит, и вы посмотреть сможете.
Плюс ко всему я не говорю о жесткой генерации, в которой даже пользователь не принимает участия. Нет, пароль генерируется при регистрации и вы его видите. И он здесь же подхватывается менеджером паролей. При желании можете и свой вписать, но вас строго предупредят о нежелательности данного действия.
>Если вы хотите использовать везде один и тот же пароль — пожалуйста, меняйте его потом на нужный в настройках.
Лишний шаг, а то и несколько (некоторые сервисы не позволят просто сменить пароль, то же письмо приходит с подтверждением, а то и смс).
>и вы посмотреть сможете.
Через Ctrl+U?
>При желании можете и свой вписать,
С этого надо было начинать. Я за то, чтобы у пользователя было как можно больше выбора при регистрации. Указывать или нет мыло, получать ли ссылку активации, сгенерировать пароль или ввести свой и т. п. — не решайте за меня, дайте мне решить. Поставьте значения по умолчанию, которые вам нравятся, но дайте мне их изменить.
Лишний шаг, а то и несколько (некоторые сервисы не позволят просто сменить пароль, то же письмо приходит с подтверждением, а то и смс).
>и вы посмотреть сможете.
Через Ctrl+U?
>При желании можете и свой вписать,
С этого надо было начинать. Я за то, чтобы у пользователя было как можно больше выбора при регистрации. Указывать или нет мыло, получать ли ссылку активации, сгенерировать пароль или ввести свой и т. п. — не решайте за меня, дайте мне решить. Поставьте значения по умолчанию, которые вам нравятся, но дайте мне их изменить.
А как на счёт сайтов, которые придумывают за вас пароль только по вашей просьбе?
На ум приходит, например, интерфейс создания юзера в phpmyadmin.
На ум приходит, например, интерфейс создания юзера в phpmyadmin.
Мне кажется, что в любом случае нужно отталкиваться от задачи. Если ваш сервис ставит целью максимально быстрого привлечения пользователей, то да, наверно, процедуру регистрации и аутентификации необходимо сводить к минимуму. Хотя, по-моему, для пользователей уже привычна связка e-mail+пароль+повторите пароль+письмо с подтверждением :)
Пользователю придется регистрироваться заново, если он ошибся при вводе емейла.
Да, но это уже другая проблема, к нашей задаче не относящаяся. Или Вы знаете сервисы, которые восстанавливают почту по паролю? ;)
Именно поэтому на почту высылают ссылку на активацию акка.
Как верно заметил kuber, подтверждение необходимо для того, чтобы проверить, что почта настоящая.
Да ну, ерунда какая. Большинство никакими запоминателями пароля не пользуются.
И вообще похоже на шырли мырли там, где не надо
И вообще похоже на шырли мырли там, где не надо
А как меня картинки с буквами заибали…
Не, не очень идея. Я лично не готов на каждый сайт держать по паролю и мне не удобно, что после входа придётся менять пароль на свой, перед этим слазив в почту — я скорее всего тупо забуду об этом. На некоторых сайтах нечто подобное реализовано — они генерят пароль и шлют на почту, а потом автоотлогина, приходится судорожно искать то самое письмо с паролем, т.к. это было недели 2-3 назад.
Имхо самое правильное — регистрация с вводом собственного пароля (можно сделать кнопочку сгенерить пароль, если уж на то пошло), автологин на сайт, а вот на сайте уже можно сделать какое-то действие только после активации, да и то — всё зависит от тематики сайта. С обязательной регистраций не стоит переусердствовать имхо.
В общем меня лично никогда не напрягала активация. Единственное что иногда не радовало — нельзя ткнуть на ссылку (она без <a href) и приходилось копипастить из письма в браузер.
Имхо самое правильное — регистрация с вводом собственного пароля (можно сделать кнопочку сгенерить пароль, если уж на то пошло), автологин на сайт, а вот на сайте уже можно сделать какое-то действие только после активации, да и то — всё зависит от тематики сайта. С обязательной регистраций не стоит переусердствовать имхо.
В общем меня лично никогда не напрягала активация. Единственное что иногда не радовало — нельзя ткнуть на ссылку (она без <a href) и приходилось копипастить из письма в браузер.
Так а Вам не надо помнить все пароли — Вы их храните в памяти браузера, а тот же Firefox через Sync может синхронизировать пароли на работе и дома. Вы вообще о пароле не заморачиваетесь. Но если Вы захотите его сменить — это можно сделать уже на втором пункте, при первой авторизации.
Ну, знаете ли, наверное дело вкуса, но я никогда в браузерах не сохранял пароли, да и закладками не пользуюсь. Наверное я не лучший пример типичного пользователя)
В общем, как писалось выше в комментах, — всё зависит от задач и принимать решение о способе авторизации надо хорошенько продумав дальнейшее развитие и тп и уже от этого оталкиваться.
В общем, как писалось выше в комментах, — всё зависит от задач и принимать решение о способе авторизации надо хорошенько продумав дальнейшее развитие и тп и уже от этого оталкиваться.
а значит, при следующем входе им придется вспоминать свои логин-пароль вместо того, чтобы войти почти автоматически.
lastpass умеет запоминать юзернейм/емейл и пароль при регистрации, и потом заполнять при аутентификации, если имена полей совпадают.
файрфокс умеет сохранять пароль при регистрации, если форма стандартная.
Касательно юзабилити добавлю, что удобнее было бы поле для ввода пароля сделать необязательным, и если пользователь туда ничего не вводит, пароль генерируется автоматически.
Кстати да, интересная идея! Надо только подпись соответствующую сделать. Мало кто решится пароль пустым оставить.
В общем-то ту же самую проблему и решает OpenID/OAuth, представляющий собой третью сторону, с помощью которой можно подтвердить личность пользователя. Только в случае утери пароля для регистрации с емейл адресом нужно будет заказать ссылку на сброс и создание нового пароля на почту, а в случае с OpenID/OAuth это происходит с помощью некоторой прозрачной для пользователя логики каждый раз когда пользовательская кука устарела. То есть в данном случае почтовый сервер предоставляет неавтоматизированный сервис аутентификации.
Вот читаю про OpenID — всё красиво, пытаюсь воспользоваться — фигня какая-то получается. Неужто кто считает, что ссылку типа www.google.com/accounts/o8/id ввести проще, чем мыло?
Я только что провел небольшой тест.
Если форма регистрации и форма авторизации имеют одинаковый адрес в браузерной строке отличающийся только GET параметром, а имена полей формы авторизации совпадают с именами полей формы регистрации, если пользователь сам вводит пароль, и не требуется подтверждать email, то достаточно согласиться запомнить пароль браузером пройдя лишь одну регистрацию, чтобы при последующих посещениях сайта, логин(email)/пароль подставлялись автоматически, если сам браузер поддерживает автоподстановку данных.
Значит разработчик легко может снять с пользователя все возможные головняки, если захочет конечно и авторизовать его сразу после прохождения формы регистрации.
Если форма регистрации и форма авторизации имеют одинаковый адрес в браузерной строке отличающийся только GET параметром, а имена полей формы авторизации совпадают с именами полей формы регистрации, если пользователь сам вводит пароль, и не требуется подтверждать email, то достаточно согласиться запомнить пароль браузером пройдя лишь одну регистрацию, чтобы при последующих посещениях сайта, логин(email)/пароль подставлялись автоматически, если сам браузер поддерживает автоподстановку данных.
Значит разработчик легко может снять с пользователя все возможные головняки, если захочет конечно и авторизовать его сразу после прохождения формы регистрации.
А как насчет безопасности уже введенного пароля в поле?
UFO just landed and posted this here
Автоматическая генерация паролей — зло.
UFO just landed and posted this here
Кэп подсказывает, что у него есть решение — одна единая форма для авторизации и регистрации:
/>
/>
/>
/>
/>
Каптчу можно сразу не показывать, а выдавать после нажатия на кнопку регистрации.
/>
/>
/>
/>
/>
Каптчу можно сразу не показывать, а выдавать после нажатия на кнопку регистрации.
Если не делать авторизацию после регистрации, т.е. пользователь сразу автоматически входит в систему после введения регистрационных данных, то необходимо также отменить активацию учетной записи по e-mail (иначе смысл максимального упрощения процедуры регистрации->авторизации пропадает), а для этого нужно проработать схему от спам-ботов, которые возможно в дальнейшем будут вас доставать.
Прочитав заголовок, ничего не понял. По тексту оказалось, что имеется ввиду аутентификация. Судя по коментам видно, что для большинства «авторизация», «аутентификация», «регистрация», это почти одно и тоже. Но топик читают и те, кто понимает разницу. Не вводите их в заблуждение.
Авторизация — это не то же самое,[4] что идентификация и аутентификация: идентификация — это называние лицом себя системе; аутентификация — это установление соответствия лица названному им идентификатору; а авторизация — предоставление этому лицу возможностей в соответствии с положенными ему правами или проверка наличия прав при попытке выполнить какое-либо действие.
Хмм, по-моему речь идет именно об авторизации.
С другой, многие используют всевозможные приложения и менеджеры паролей (интегрированные в браузер или сторонние сервисы), а значит, при следующем входе им придется вспоминать свои логин-пароль вместо того, чтобы войти почти автоматически.
Вы сейчас о какой аудитории говорите? Если посетители хабра, может быть. «Обычные», технически не подкованные пользователи используют простейший пароль для всех сайтов и держат его в голове или на бумажке, и таких большинство
Вы сейчас о какой аудитории говорите? Если посетители хабра, может быть. «Обычные», технически не подкованные пользователи используют простейший пароль для всех сайтов и держат его в голове или на бумажке, и таких большинство
нормальное решение у вас, а вот тем кто ставят на одной форме и капчу, и логин и пароль, надо руки оторвать. пользователь будет сам решать сохранять пароль или нет, а капчу на второй этам аутентификации всегда можно перенести.
Что-то мне подсказывает, что для 90% пользователей интернета решаемая проблема просто не существует. А вот показ какой-то непонятной формы и раздражения из-за непонятных плясок — существует.
Но для самого себя вы наверняка придумали прекрасный интерфейс. Вам он будет очень полезен, да -))
Но для самого себя вы наверняка придумали прекрасный интерфейс. Вам он будет очень полезен, да -))
ну как бы… я вот раньше не думал что меня это бесит, а сейчас задумался — «а может и правда бесит?» =))
но с вами я согласен, имхо, парится сейчас не стОит. Если когда-либо это перерастёт в сколь-либо важную проблему — разработчики браузеров об этом подумают и придумают более цельное решение. Хотя, все равно всё идёт в сторону openid и иже с ним. Если в конкретном случае не хочется светить свой openid — это куда меньше 10% народу.
но с вами я согласен, имхо, парится сейчас не стОит. Если когда-либо это перерастёт в сколь-либо важную проблему — разработчики браузеров об этом подумают и придумают более цельное решение. Хотя, все равно всё идёт в сторону openid и иже с ним. Если в конкретном случае не хочется светить свой openid — это куда меньше 10% народу.
Здесь можно просто убрать первую форму, получив из второй сразу и регистрацию и авторизацию. Не нужно слать мне спам со сгенеренным паролем, если уж так охота, сделайте галочку «отправить пароль на email». Если же нужно обязательно подтвердить адрес почты, то лучше прислать ссылку с ключом, по которой можно будет войти на страницу продолжения регистрации, причем без авторизации. Да и сразу после регистрации не помешало бы авторизовать пользователя, чтобы он мог начать пользоваться сайтом, пока письмо идет (в вашем примере это несколько минут заняло). А вот если пользователь не вводит пароль, то это означает, что ему нужно прислать ссылку для смены пароля, которая ведет на ту же форму регистрации, только нужно учесть, что пароль в ней уже вводить не нужно.
Для некритичных сервисов, очень удобно делать регистрацию/авторизацию через сторонние сайты (соц.сети, почтовики, openid).
Лично меня уже сильно напрягают сайты, в которых только для того, чтобы оставить комментарий нужно заполнять форму из 10 полей и 3 каптчей. На подобных сайтах ИМХО обязательно нужна регистрация через сторонние сайты. Пусть хотя бы Loginza поставят для минимазации трудоемкости. Ну и конечно можно сделать классическую регистрацию, например, как тут (нажать на Войти)
Лично меня уже сильно напрягают сайты, в которых только для того, чтобы оставить комментарий нужно заполнять форму из 10 полей и 3 каптчей. На подобных сайтах ИМХО обязательно нужна регистрация через сторонние сайты. Пусть хотя бы Loginza поставят для минимазации трудоемкости. Ну и конечно можно сделать классическую регистрацию, например, как тут (нажать на Войти)
Тут скорее стоит спросить:
Вы будете заходить только с этого компьютера или с разных.
Если только с одного — легче установить куки и вообще не упоминать паролей.
Периодически менять ее — чтобы не отлавливали.
Интересно сохранит ли пассворд менеджер пароль если это будет поле с названием password, но тип hidden? ;)
(для синхронизации паролей между компьютерами и общего пароля на базу паролей).
Вы будете заходить только с этого компьютера или с разных.
Если только с одного — легче установить куки и вообще не упоминать паролей.
Периодически менять ее — чтобы не отлавливали.
Интересно сохранит ли пассворд менеджер пароль если это будет поле с названием password, но тип hidden? ;)
(для синхронизации паролей между компьютерами и общего пароля на базу паролей).
Божественно! Давно хотел об этом написать, ибо бесит, когда логин-пароль не попадают в менеджер ключей. Единственная проблема тут — то, что пользователь, уже войдя на сайт на самом деле ещё не подтвердил свой емейл адрес, но это можно сделать и позже (например, переведя его аккаунт в режим с ограниченными возможностями до момента открытия линка подтвеждения емейл адреса), ведь проблема с сохранением пароля уже решена.
Было бы ещё неплохо упомянуть то, что пароль частенько не предлагает запоминать при отправке формы AJAX'ом, напомнить о значении галочки «запомнить меня»/«запомнить меня на этом компьютере», и упомянуть форму сброса пароля. Был бы золотой пост.
Было бы ещё неплохо упомянуть то, что пароль частенько не предлагает запоминать при отправке формы AJAX'ом, напомнить о значении галочки «запомнить меня»/«запомнить меня на этом компьютере», и упомянуть форму сброса пароля. Был бы золотой пост.
Sign up to leave a comment.
Нужна ли авторизация после регистрации?