Comments 37
2. Неужели так сложно при нажатии «Вспомнить пароль» запоминать e-mail и подставлять его в это поле? Нигде еще такого не видел, и всегда приходится набирать дважды.
PS: Правда почта сохранялась при неверном пароле и двигалась обратно на форму логина.
Плюс чтобы это начало раздражать — нужно каждый день сбрасывать пароль )
Кстати, еще это объясняетя тем, что в разделах входа и восстановления пароля может еще не быть сессии, чтобы передать логин в другую форму.
регистрируются не более чем на несколько емейлов, которые можно найти. В итоге это не создает проблем для злоумышленника, но создает проблемы для пользователя.
Защита должна быть в пароле (а если необходима еще более серьезная — двухфакторная авторизация), а эта идея про «не понятно, есть ли емейл» — больше похоже на прятание головы в песок, такое же безсмысленное, а может даже вредное в силу ложной безопасности.
Например: Моя мама спокойно поведется на СМС с надписью «На таком-то популярном сайте (ВК/Ютуб) разыгрываются призы. Отправьте СМС ХХ на номер ХХХ и вы...».
Так как основной контингент моих сайтов — ученые за 40 (у них своеобразное мышление), я пытаюсь избежать таких, казалось-бы глупейших, лазеек и не вижу в этом зазорности.
«На таком-то популярном сайте (ВК/Ютуб) разыгрываются призы. Отправьте СМС ХХ на номер ХХХ и вы...».
А такая атака будет успешной даже если ваша мама зарегистрирована на ВК под другим емейлом (у моей мамы вот регистрация там еще на емейле от рамблера, но если ей придет такое сообщение на гмейл аккаунт — она ничего не заподозрит), так что совершенно не аргумент.
я пытаюсь избежать таких, казалось-бы глупейших, лазеек и не вижу в этом зазорности.
Вы как в том анекдоте про швабру:
Пожилая еврейская пара готовится ко сну.
— Изя, ты закрыл калитку?
— Закрыл, Соня, закрыл.
— А дверь ты закрыл?
— И дверь закрыл.
— А на английский замок?
— И на английский замок, Соня.
— А на бельгийский?
— И на бельгийский закрыл.
— А на засов?
— И на засов закрыл, Соня.
— А на цепочку?
— И на цепочку тоже.
— Изя, а швабру ты подставил?
— Ой! Швабру, кажется, забыл.
— Ну вот! Заходи и бери, что хочешь!
Вот все упорно продолжают ставить швабру с этой глупостью и плевать, что об нее чаще спотыкаются обычные жители вместо того, чтобы хоть как-то защищать от мошенников. Но швабру надо поставить, потому что бабушка так делала.
А такая атака будет успешной даже если ваша мама зарегистрирована на ВК под другим емейлом
Да, но если моя мама там не зарегистрирована вовсе — она заподозрит неладное.
Вот все упорно продолжают ставить швабру с этой глупостью и плевать, что об нее чаще спотыкаются обычные жители вместо того, чтобы хоть как-то защищать от мошенников.
Ваше право это воспринимать именно так. Мое право это воспринимать по другому.
Но швабру надо поставить, потому что бабушка так делала.
А вы не находите что показывать сообщение "данный имейл у нас отсутствует" и есть это самое действие бабушки, которое вы повторяете? (:
Да, но если моя мама там не зарегистрирована вовсе — она заподозрит неладное.
Вы говорите об атаке с анализом личности, а потом оказывается, что все, что знает злоумышленник — это емейл. Тут скорее вашей маме необходимо бояться нигерийских принцев. Моя мама до слез со мной ругалась, потому что говорила: «ну откуда ты знаешь, вдруг он и правда хочет нам подарить 10 миллионов, всякое бывает». Ваша «атака» — она имеет слишком много «если» и слишком мало «зато», чтобы рассматривать ее серьезно.
А вы не находите что показывать сообщение «данный имейл у нас отсутствует» и есть это самое действие бабушки, которое вы повторяете? (:
Не нахожу, потому что «емейл или пароль неизвестен» — это та псевдо-безопасность которую все повторяют словно попугаи. На всех сайтах, блин. И совершенно бессмысленно!
Вы говорите об атаке с анализом личности, а потом оказывается, что все, что знает злоумышленник — это емейл.
Мой первый комментарий в этой ветке был именно про это.
Ваша «атака» — она имеет слишком много «если» и слишком мало «зато», чтобы рассматривать ее серьезно.
Может быть.
На всех сайтах, блин. И совершенно бессмысленно!
То что вы не видите в этом смысл — не означает что в этом его нет. Вам не удобно — мне удобно. Вашей маме жалко нигерийских принцев — моя с первых дней поняла что это развод (хотя на рекламу все еще щелкает, успешно забивая гадостью планшет). Сколько людей столько и мнений. Был-бы я менее ленив и более косноязычен — сделал-бы статью-опрос на хабре по обсуждаемой нами теме.
Желающие этого избежать используют более одного емейла.
Давайте будем разграничивать на подкованных информационно людей, средне-подкованных и чайников. Я, как правило, работаю регулярно с людьми у которых даже личного имейла нет — только корпоративный и на него зарегистрировано все, от ВК до аккаунта в научных журналах.
только корпоративный и на него зарегистрировано все, от ВК до аккаунта в научных журналах.
Классическая ситуация. И тогда подобная «мера защиты» совершенно бессмысленна
Обычно на сайтах, где пишут «почта ИЛИ пароль некорректны» есть регистрация.
И если там попробовать зарегистрироваться на существующую почту, то оно скажет что-то вроде: «почта уже занята».
Так что подобная позиция — не более, чем лицемерие.
И если есть необходимость проверить корректность зарегистрированной почты — можно сперва попробовать на нее зарегистрироваться.
Если вы будете регистрироваться на почту которая уже есть в базе — модуль регистрации не пискнет и просто на почту направит ссылку для восстановления доступа.
Если пользователь тыкает восстановить пароль и вводит почту — ему не напишет «данная почта не найдена», а просто вышлет ссылку на восстановление доступа.
Первое правило — ни под каким предлогом не дать возможность выведать, есть-ли почта в БД.
Пробую зайти с несуществующей почтой:
А вот пробую с ней же зарегистрироваться:
Так зачем была эта глупая «с почтой ИЛИ паролем»? Почему бы сразу не написать «Пользователь с такой электронной почтой не найден»? Как и на сотнях других сайтов.
Например, у меня на сайте 2 профиля:
login1: superman
pass: qwerty
login2: batman
pass: 000000
Я запутался и ввел:
superman
000000
Может я ошибся паролем, а может и логином. Под каким профилем я хотел авторизоваться? Это только я могу знать.
Поток «Удалить и восстановить»
Вы знаете, когда вы удаляете что-то супер важное и нужно немедленно его восстановить? Нет? Хорошо.
А это просто позорище.
Дальше даже не читал, чтобы не расстраиваться. Кому-то это, конечно, нужно, но не 90% опытных юзеров.
Полезно, но… степень ужасности этого перевода превышает все допустимые пределы.
Заставка — нафиг сплэшскрины! Раз уж у вас такое тормозное приложение, что просто необходимо чем-то занять юзера, пока оно там кряхтит и грузится, то пусть это будет нечто полезное, скажем — последние сообщения, если это почтовый клиент; или тупо скриншот, сделанный последний раз перед выходом, если это карты местности. Суть — как в сериалах, «краткое содержание предыдущих серий», шоб контекст было комфортно восстановить. :)
«Я не злюсь, я просто разочарован.»
UX-дизайн: 50 вещей, которые вы наверняка забыли сделать