Pull to refresh

Comments 97

Статья классная, огромное спасибо за потраченое время на перевод. Считаю идеальной формой регистрации — поле email + поле пароля. Ошибся при вводе пароля, зайди посмотри/восстанови на почту.
Буду рад, если вы укажете на ошибки в переводе, чтобы я мог их оперативно исправить.???
Перевод === перевод. У вас иначе?
Закралась ошибка из предыдущей статьи, которая как раз была переводом. Я её уже исправил, спасибо за внимательность :)
По-моему, поле пароля тоже не нужно. Пусть генерируется и высылается на почту, желающие смогут поменять при первом входе.
Не согласен. Большинству нравится использовать одинаковый пароль для многих сайтов, а смена его лишний гемор.
Еще и от потери данных застрахуют.
(Один псевдоним, один пароль.)
Страховаться от потери данных путем отсылки пароля в clear text — мягко говоря, неэффективно :)
Идеальный вариант, новая информация по мере надобности. (телефон, адрес, псевдоним)
Ну а вообще, конечно, пора уже openid прикручивать.
Самопиар на избитой теме? Для этого корпоративные блоги есть.
Поддерживаю, особенно во второй части, учитывая их прайс пиар не через корпоративный блог вызывает недоумение и сомнения.
Да Tumblr во многих отношениях выигрывает. Обожаю этот сервис.
Сам раньше использовал обычную регистрацию — логин, пароль(почту можно потом ввести если хочется получать уведомления или восстановить пароль). А потом прикрутил django-social-auth и навешал все возможные(написанные для django-social-auth) сайты для входа. В django почти всегда авторизация/регистрация — это логин и пароль. А остальное можно и в настройки профиля перенести(и там уже заполняются по желанию).
Благодарю за подробный разбор полетов над регистрацией. Взял на заметку, хоть многое и очевидно, не всегда думаешь об этом.
Не думаю, что Capcha — хороший способ отсеивать ботов. Если быть точным, то я не против её применения, однако только после того, как пользователь ввел неправильно свой пароль несколько раз. Это достаточно явный признак того, что ведётся перебор пароля.

А как же массовая регистрация аккаунтов?
Это проблема, согласен. Однако, решить её можно изящнее, чем просто вставив капчу.
Кстати, не совсем понимаю — какой резон в массовых мёртвых аккаунтах?
Например, можно влиять на рейтинг тех или иных элементов сервиса.
Да, сильная брешь. Однако, думаю, тут проблема не в интерфейсе, а внутренней механике: если нет защиты от такого рода вещей, то внесение капчи избавит от головной боли владельца сайта, но доставит немного посетителям.
«Кстати, не совсем понимаю — какой резон в массовых мёртвых аккаунтах?»
Вы держите интернет-магазин, где только зарегистрированные пользователи могут оставлять отзывы о товаре. Я поставляю товар и хочу накрутить его рейтинг. Угадайте, что я сделаю?
В интересах владельца магазина фильтровать такого рода вещи, иначе весь институт отзывов будет опорочен. Возможно, есть смысл оставить возможность оставлять отзывы только тем людям, которые купили данный товар в этом магазине. Нужно поразмыслить на досуге.
Теряете людей, которые купили этот товар в другом магазине.
На мой скромный дизайнерский взгляд лучше всё же потерять пару отзывов, чем пару покупателей.
Притягиваю за уши, конечно. Но вот такаяситуация:
*Не допечатал, простите.

Притягиваю за уши, конечно. Но вот такая ситуация:
Я активный покупатель, просматриваю ваш каталог и нахожу товар, который когда-то где-то покупал. Хочу оставить отзыв, а мне не разрешают. Я гневаюсь на такое отношение к клиентам и ухожу. Навсегда.
Ситуация не за уши притянута? Сколько наберется таких случаев, где:
а) человек настолько вовлечен в процесс пользования вещью, что хочет оставить отзыв на купленную когда-то вещь,
б) настолько дрянная вещь, что на нее не жалко потраченного времени на написание негативного отзыва,
в) человек, уже обладающий вещью, является потенциальным покупателем ее повторно (т.е. это недорогая и постоянно требующая обновления — ну, как помидоры там или айфон)

Сколько набралось? Сколько обычных интернет-магазинов в пролете?

В любом случае, Дезмастер прав — в любом интернет-магазине так или иначе работа над отзывами ведется, и порой отсечь гневающихся из-за того, что нельзя оставить отзыв о товаре, подтвердить обладание которым вы не можете, — полезно.

Хотя есть и более простые способы — дать им возможность оставить отзыв, но не, например, оценить вещь по пятибалльной шкале (и, соответственно, не включать в рейтинг), плюс около отзыва писать «купил в нашем магазине» у тех, кто действительно покупал.
Давайте рассматривать какие-нибудь классные решения, сказать что решить можно изящнее и я могу :)
Вставка форм через js, куки, сессии, заголовки, локальные хранилища, проверка возможностей бразуера, лок по времени, да всё, что угодно. Капча маст дай.
«Не думаю, что Capcha — хороший способ отсеивать ботов. Если быть точным, то я не против её применения, однако только после того, как пользователь ввел неправильно свой пароль несколько раз.»

Что, если бот регистрируется, а не брутфорсит пароли?
«Посетителю сайта регистрация совсем не нужна.» — спорное утверждение, имхо.

Для меня, как для посетителя важно, что под моим логином пишу комментарии только я. Именно поэтому я и заинтересован в регистрации.

Для сравнения: раньше IRC чаты не требовали регистрации. И это порождало большую проблему: не факт, что под ником SexyBlonde, с которой я говорил вчера и сегодня скрывается один и тот же человек. И для того, чтобы защитить свой ник от злоупотребления, люди добровольно регистрировали их.

Похожая ситуация и для сайтов. Я не хочу, чтобы кто-то писал на хабре от моего имени; я не хочу, чтобы кто-то воспользовался моей скидкой в магазине и т.п.
Вероятно, имеет смысл немного переформулировать мысль. Я говорил о большинстве людей.
О! Против новой формулировки возражений нет. :)
UFO just landed and posted this here
Поменяйте кодировку *facepalm*
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Да, скоро восьмой сезон выйдет. Редкостная тягомотина для домохозяек
Шрифт Verdana у вас полетел. Перезагрузитесь.
Я решил в своих проектах использовать регистрацию только с одним полем — валидным номером телефона. Авторизация элементарна — вводите телефон, на него приходит код авторизации, пользователь его аппрувит и вуаля. А уж если сочтет (или появится необходимость) заполнить полный профиль — на то его воля.
UFO just landed and posted this here
Полностью согласен.
Для массовых проектов выбранный мной способ еще не подойдет и тем, что отправка смс платная.
Но в частном случае это мне помогает преодолеть барьер аудитории, которая с Интернет имеет шапочное знакомство. Кроме того, моим пользователям не нужно запоминать логины, пароли, адрес почты, с которой выполнена регистрация. Только свой номер телефона.
не стал бы регистрироваться, и родителям своим запрещаю.
на первый взгляд это ж неприкрытая МТ-Подписка :)
Выше разобрались уже — я говорил о своих проектах, где это рационально. Для массовых проектов такой способ не подойдет.
крайне интересно, а можно пример какой-нибудь?
возможно я не совсем разумно всегда отметаю такой вариант.

хотя в моем понимании, для указанной выше аудитории, шапочно знакомой с интернетом, тоже не подходит, ведь у них возникает позитивный опыт от, в общем случае, небезопасной операции.
с другой стороны, пусть учатся разбираться, кому доверять :) вконтакте тоже ведь шлет сообщения с кодами.
> крайне интересно, а можно пример какой-нибудь?

Несколько сотен членов одной профессиональной организации, которым проект приносит клиентов.
Регистрация строго по приглашениям, в целом участие в проекте только для «своих».
уяснил. в таком случае действительно отличный вариант!
UFO just landed and posted this here
Саоме ужасное когда после аутентификации через социальные сайты меня еще просят дозаполнить форму.
Самая минимальная региастрация/аутентификация у меня это ввод логина (только) или логина и пароля, если такое сочетание в базе есть — логиню, если нету — создаю и логиню, это быстро, удобно, но если я забуду логин и пароль восстановить его клиенту будет невозможно, но там где это не критично — неплохой способ. Работает на music.bonart.org.ua.
UFO just landed and posted this here
Регистрация = аутентификация, аутентификация != авторизация
UFO just landed and posted this here
Вообще говоря регистрация может быть и без аутентификации. Только идентификация.
UFO just landed and posted this here
Не всегда это подтверждение требуется, имхо. Часто, но не всегда. Зачем, например, пароль, если всё что дает регистрация — это возможность сохранять настройки? Защита против хакеров, которые злобно изменят тему отображения?
UFO just landed and posted this here
Вы не правы!

Аутентификация — проверка подлинности.

При регистрации никто не проверяет подлинность пользователя(в исключительных случаях, которые не рассматриваются в данной статье, требуется аутентификация — пример подтверждение телефонного номера или email).
UFO just landed and posted this here
UFO just landed and posted this here
Если только пароль можно сменить сразу после регистрации.
До того как я начал пользоваться lastpass я бы с вами не согласился, сейчас же у меня lastpass всё помнит и генерит пароли.
У вас он есть, а у 99% пользователей нет, как и достаточно хорошей памяти, чтобы запомнить хотя бы десяток сложных паролей. Как вы думаете, при проектировании интерфейса, на какую часть аудитории надо ориентироваться, на вас или на всех остальных?
UFO just landed and posted this here
Думаю лучше всего давать пользователю возможность пользоваться сайтом без регистрации, а если уж внутренние функции слишком требовательны к ней, то дать ссылку для регистрации. Также вход через соц сети и т.д.
Просто часто бывает, что заходишь видишь сайт, а даже не знаешь вдруг того, что тебе нужно после регистрации нет на сайте. Очень обидно когда регистрируешь по большой форме заполняешь и т.д. а потом видишь что это совсем не то. И на мыло спам и на сайте лишний акк и время потрачено зря.
А если дать пользователю зайти, то больше вероятность регистрации после — он найдет что ему нужно и зарегиструется, иначе он бы испугался большой формы и ушел бы.
если не скрывать поле пароля, то пользователь не станет регистрироваться на сайте из публичных мест, что тоже является большим ограничением
— А точно большим ограничением? Имхо звездочки чаще раздражают, чем являются необходимостью. Хотя и являются стандартом де-факто.
В кафе и комп.клубах редко кто за спиной стоит и постоянно пялиться в монитор, во вторых к тому же кейлоггеры нужно предполагать, а в первых сниффинг. А если параноить по полной, то никто не мешает «врагу», смотреть что человек набирает на клавиатуре, а не что появляется на мониторе.
На некоторых сайтах делают выбор — звездеть или не звездеть, это хоть какой-то разумный подход. А вообще пароль лучше просто присылать на почту.
Опередили с комментарием.

По-моему хороший вариант — это создавать «триальный» аккаунт, не спрашивая пароля вообще, сразу давая доступ пользователю на сайт, одновременно высылая ссылку кодом подтверждения по почте. И потом, когда пользователь по этой ссылке пройдет, запрашивать создание пароля.
Это один из возможных вариантов «мягкой» регистрации :)
«Не думаю, что Capcha — хороший способ отсеивать ботов. Если быть точным, то я не против её применения, однако только после того, как пользователь ввел неправильно свой пароль несколько раз.»

Капча — не самое плохое решение против отсеивания ботов. Но я поддерживаю, что на этапе регистрации ей не место. Капчу можно вынести на этап активации аккаунта:
— человек регистрируется с минимальным набором полей;
— ему приходит сообщение на e-mail про активацию аккаунта;
— проходит по ссылке из письма и уже на этом этапе вводит капчу чтобы завершить активацию.

Таким образом убираем лишнее поле при регистрации и защищаемся от ботов не жертвуем капчей.
Но тогда запись о создании аккаунта всё равно засорит базу.
И тогда можно будет написать бота, который целенаправленно будет засорять базу.
в результате база отожрёт много места, а админ, почистив её, вернёт капчу на её законное место.
Это всё решается:
— неактивированные аккаунты удаляются раз в N дней;
— ограничение на кол-во регистраций с одного IP в день.

И тогда можно будет написать бота, который целенаправленно будет засорять базу.

Форма регистрации тут самая большая проблема? Тогда уж можно написать бота, который будет создавать какие то блоги или загружать файлы или что-то еще, зависит от вашего проекта.
А через форму регистрации, очень сомневаюсь, что кто-то серьезно засорит вашу базу :)
Лично я считаю что полей вообще должно быть два.
— Мыло
— Логин
ВСЁ

На мыло присылается уведомление о регистрации где и высылается логин и сгенерированный пароль, ссылка на активацию (если оная требуется) должна вести сразу в профиль где пароль (и всё остальное) можно сменить. ВСЁ (даже логин можно опционально сделать, сгенерировать что-то типа Юзер0001 и послать всё в том же письме, но это в случае если в проекте не будет запрещено его менять.)

Для магазинов же вообще считаю регистрацию опциональной. Карзина в идеале реализуется на JS (т.е клиент-сайд) или в крайнем случае Сессиях (если сервер-сайд) в обоих случаях регистрация там ни к чему. Однако она вполне может там быть, для постоянных клиентов. (чтоб вести историю, получать на мыло сообщения о новинках и акциях, и.т.д.)

Борьба с ботами отдельная история, капча может и быть, но она должна отсеивать ботов а не людей… Я увы чаще всего вижу капчу системы «угадай мелодию с одной ноты», и это реально бесит, словно отсеивают людей а не ботов…
Бесят меня сайты. где нельзя выбрать логин и пароль при регистрации. Если уж на то пошло, то сделать поле «пароль» опциональным — оставили пустым — пароль генерируется и высылается, ввели что-то записалось в базу. Кроме всего прочего высылка паролей на почту не секурна.
ВОТ выбор должен быть.

Регистрация вообще отпугивающий манёвр, и по этому надо угодить как можно большему количеству людей. О чём я и говорю. должно быть как можно меньше обязательных полей. (Перебарщивать с опциональными тоже не стоит, но и как мы выяснили на вашем примере недобор не всегда на руку.)
Имхо не нужно обязательно требовать e-mail.
А тем более делать e-mail логином.
Единственная причина, по которой это делается — вынудить пользователя ввести реальный е-мейл, а потом слать спам, сославшись (или не сославшись: кто запалит, если в письме не будет информации об источнике базы е-мейлов :) на пользовательское соглашение.
Если сайт требует e-mail в качестве логина, то я в большинстве случаев зарегистрируюсь через временный е-мейл на один раз.
Если опять потребовался сайт — повторяю процедуру.
Мыло нужно для связи с человеком вне сайта (Например в случае утери пароля) Вместо него можно использовать что угодно, вплоть до аськи (если стоит скрипт чтоб слать на неё сообщения)
если не скрывать поле пароля, то пользователь не станет регистрироваться на сайте из публичных мест

в публичных местах вообще не стоит регистрироваться, ибо пакеты все видны, а на компе может стоять кейлоггер/формграббер
"Два пути регистрации на сайте Dribbble"
Вы простите за занудство, но на этом сайте есть только один путь регистрации — получить приглашение.
Вы же на скриншоте указали два пути авторизации. Да и то — при первой авторизации при помощи твиттера нужно привязать свой аккаунт на дрибббл.
Статья изначально писалась для Хабра и впервые была опубликована именно здесь. В моём личном блоге, фактически, кросспост с Хабра.
До недавнего времени я была уверена в том, что при регистрацию нужно максимально упрощать, но не так давно столкнулась с тем, что у конкурентов полей больше, и люди, приходящие на наш сайт, заполняют 4 поля (почта, пароль/подтверждение и капча), а потом начинают доставать саппорт «а где же мне добавить то-то и то-то»? Провели A/B тестирование, и увеличение полей при регистрации на 3 шт. оказалось более результативным. Так что от специфики бизнеса и привычек пользователей тоже многое зависит.
Осмелюсь обратить внимание, что регистрация на Хабре усложнена и тут мало кто откажется заполнять поля регистрационной карточки и отказываться от инвайта только потому, что ему не лень. При этом, тут в большинстве своем вменяемые люди, не ищущие лишних проблем на свою голову.

Все потому что, регистрация еще и средство отфильтровать нежелательных посетителей, а также (что очень важно), средство воспитания пользователей.

Если у пользователя достаточно сильная мотивация, чтобы воспользоваться ресурсами, предоставляемыми данным сайтом зарегистрированным пользователям, его не остановит, ни капча, ни десяток лишних полей.

Если же пользователь — просто так решил заглянуть на сайт, то дав ему упрощенную возможность записать себя в члены клуба пользователей сайта, тем самым Вы обесцениваете это членство.

Кратко: Если сайт интересен пользователю, обычная регистрация его не остановит. Если же сайт не интересен, упрощенная регистрация его не удержит.
Мне очень понравилась регистрация на одном из сайтов-клонов групона. Вводишь e-mail, ajax-ом производится регистрация, отсылается пароль и ajax-ом же меняется панелька, где указано, что ты уже авторизован. То есть за один клик ты уже зарегистрирован и авторизован.
У меня вопрос такой: как сделать регистрацию, в которой пользователь точно ввел все свои данные, включая возраст, пол и т/п, и чтобы они были реальными, а не от балды?
не не не =) не пойдет. как бы сделать это не мудрствуя лукаво, чтобы пользователь сам хотел ввести правильно данные. либо построить поля регистрации так, чтобы логической связью они определяли, правильно ли указана информация.
Некоторые сервисы, чтобы проверить введен ли реальный домашний адрес, высылают на него письмо, в котором напечатан код. Далее, чтобы подтвердить регистрацию, вы просто вводите полученный код в специальном поле.
=))) да, этот геморой с госуслугами я тоже прошел =)
я использую очень простую регистрацию.
есть ссылка на регистрацию — жмякаешь, открывается небольшое всплывающее окно. там только соглашение и ввод каптчи. после ввода каптчи — регистрация завершена, выдается логин вида xxxxx-dddd. запомнить тяжело, но если пользователь согласен дальше использовать сайт, то наверху страницы до полной регистрации форма для ввода логина, пароля и по желанию емыла. у меня примерно каждый 5 заполняет логин и пароль, и примерно каждый 10 — емыло. однако процент всех регистраций 30% к уникам. могу написать статью с картинками и примерами, если кому интересно. но я думаю тут и так все ясно.

я выбрал такой путь, чтобы пользователя не напрягать и была его какая-никакая идентификация… что по забыли логин — есть жалобы по фидбеку, но просто смотрю логины по ипи фидбека, если есть такой же ип в учетки — то отдается он плюс рекомендации по установке логина и пароля. все это сделано одной кнопкой.

конечно это подойдет не под все ниши, но половине сайтов вполне хватит.
>>> Если человек хочет ввести «12345», то запрещать ему не стоит
все зависит от аудитории, если это игровой портал, например, то надеяться на понимающую публику не стоит.
У меня на одном проекте после того как переделали регистрацию, сделав обязательной сложный цифробуквенный пароль количество обращений по взломам упало с 5-10 в день (которые отнимали порой по несколько часов времени на расследование) практически до 0. Правда были были вопросы при регистрации, мол не могу создать аккаунт, но на такие вопросы намного проще и менее затратно отвечать, чем разбираться по взломам.

>>> Лучше оставить поле для повторного ввода пароля.
еще очень часто не хватает галочки «показать пароль». Я, например, всегда пароль вставляю копипастом в оба поля из генератора, иногда можно отвлечься и после сгнерированного пароля нажать Ctrl-c где-то еще (например при том же повторном вводе email, интересно есть ли люди, которые реально email вводят 2 раза, а не копируют из 1-ого поля).
Логин с помощью OpenID — «маст хев» на любом современном сайте.
Регистрация с помощью адреса почты и пароля должна быть дополнительной фичей и только.
1) Не разговаривайте с дизайнерами о капчах!
2)
Дизайнер/проджект: «какую же из регистраций выбрать… Все!»
Разработчик: "#%^*+!!!!!!!"

Когда одни слишком тупые или ленивые, другим приходится быть слишком трудолюбивыми!
Sign up to leave a comment.