Pull to refresh

Comments 137

TL;DR;


Менеджеры паролей часто не работают

На самом деле в статье речь о встроенном в браузере менеджере, а их использование не рекомендуется по ряду причин (начиная с кучки инцидентов безопасности, и заканчивая тем, что пароли нужны не только для вебсайтов и не только в данном браузере). Тот же Keepass умеет работать с многостраничными формами и скрытыми полями — в нём можно настроить последовательность, которую он отправит в браузер, а-ля: передать username, нажать Enter, подождать 1 секунду (пока подгружается вторая страница), передать password, нажать Enter. Но это ничего не меняет — намного удобнее, когда нет необходимости для отдельных сайтов задавать такого рода уникальные настройки.

UFO landed and left these words here
Ну это на самом деле уже вопрос конкурентоспособности менеджеров паролей, не находите? Некоторые браузеры чем-то удобнее, некоторые антивирусы имеют более полную базу, некоторые менеджеры паролей умеют динамично заполнять данные.
то есть сайт может рассчитывать только на аудиторию с определенным менеджером паролей? не находите, что это весьма сильно сокращает аудиторию сайта

Ну конечно же, нет. Менеджер паролей предоставляет вам другую возможность авторизации на сайте, он больше ничего в себе не несёт. Сайт предоставляет вам контент, а если вам пришлось авторизовываться ради контента, значит он вам точно нужен (ну или не нужен, но вы об этом не знаете). Это вообще никак не влияет на аудиторию. На недовольство пользователей — да, но это другое.

Доход сайта напрямую зависит от удобства использования сайта. Сейчас почти на все есть аналоги, и вместо того чтобы мучаться с авторизацией я пойду на другой сайт и тем самым унесу с собой их деньги. Это в первую очередь их проблемы, это они зарабатывают на мне деньги. Это у них цель сделать сайт, чтобы было мне удобно.
А с подходом кому нужно, тот сам нас найдёт и придет бизнес долго не живёт или прозябает где-то на дне.
Да, сложность с формой регистрации может отпугнуть пару процентов аудитории, но для некоторых сайтов эти пара процентов это миллионы людей, а для некоторых у кого аудитория очень маленькая каждый человек на вес золота.

Ну например доход интернет-магазина напрямую зависит от цен на товары в этом магазине. «Купи у нас со скидкой, и получи купон на скидку!» — и толпу хомчков не остановит никакая авторизация или регистрация.
Примеров тому масса, в топ-10 магазинов в том числе.

А мы с вами, господин Jacen11, не являемся ЦА таких сайтов. А те сайты, которые мы вынуждены посещать, не зарабатывают на нас. Вооот.
На самом деле в статье речь не о встроенном в браузере менеджере, а о каком то другом (возможно 1pass про который там мельком упоминается). По крайней мере в хроме менеджер паролей решает все озвученные проблемы. Но да, сабмитить формы придется вручную.
Тот же Keepass умеет работать с многостраничными формами и скрытыми полями — в нём можно настроить последовательность, которую он отправит в браузер, а-ля: передать username, нажать Enter, подождать 1 секунду (пока подгружается вторая страница), передать password, нажать Enter.


Безусловно, только это тоже дополнительные костыли. Я много использую KeePass в работе, постоянно сталкиваюсь с необходимостью подстраивать подобные последовательности и каждый раз это тормозит и раздражает. Там, где всё могло бы просто работать «из коробки», приходится тратить по пять минут на отладку последовательности автовхода. Часто этим заниматься просто некогда/лень.

Я уж молчу, что огромная масса пользователей заниматься подобным в принципе не захочет.
Плагин для Firefox под названием Kee часто делает это безо всяких настроек, приходится только «Далее» нажимать, что, конечно, раздражает, но жить можно.
Из широко известных сервисов первым спрашивать логин и пароль на разных экранах стал, кажется, Скайп.
Ненависть, других слов у меня просто нет.

Если я правильно понимаю механику, у гугла есть на то причины. У него реально двухстадийная операция. Сначала, по имени он определяет домен пользователя, относится ли он к Business Suite, а потом уже вычитывает политики авторизации (двухфакторка, экспайр пароля, наличие смартфона и подобное) и в зависимости от этого формирует следущий шаг, который может сильно отличаться от случая к случаю.

Оу, это многое обьяснает, спасибо.

а что мешает спросить логин и пароль на одной форме, а все вышеперечисленное сделать в фоне проверить пароль (если надо) и, при необходимости, дозапросить остальное?
Есть сильное подозрение, что подавляющее большинство пользователей остаётся на самой простой схеме логин+пароль.

Вероятно ввод пароля требуется не во всех сценариях.

Есть сценарии, когда форма пароля не появится вообще. Это разные сценарии лока аккаунта. Наверное можно было спрашивать пароль в любом случае, а потом отшибать, но видать им кажется это лишним.

Сделать для них отдельную форму логина?
либо сделать поле пароль не обязательным для сабмита формы. и уже на втором шаге проверять нужно ли что-то дозапрашивать.
Потому что пароль может не понадобиться. Вместо этого гугл может вообще на сторонний сайт для логина переадресовать. Получается, что человеку придется два раза вводить одно и то же.
UFO landed and left these words here
Гугл так сделал, потому что у него бизнес-процесс сложный, а все остальные повторяют, как дурачки, хотя у них ничо сложного нет)))
Но раньше было на одной странице.
Раньше он мелкомягким не принадлежал.

Насколько я знаю, такой вход обусловлен объединением учёток из разных источников. В зависимости от формата логина используются разные авторизационые формы

UFO landed and left these words here
ничего не мешает помимо попап формы сделать и отдельную страничку с логином. и для службы поддержки и для редиректа, когда юзер входит не авторизованным в зону где она необходима.
Менеджер паролей в хроме как минимум заполняет скрытые формы. Открываются они все таки отзывчивей.
Еще знаки в поле ввода раздражают, написано телефон или логин:

пчелки1
image


И стоит знак вопроса с пояснением, под которым сложно кликнуть в значок заполнения от LastPass (да это можно сделать из другого места, но тем не менее с формы было бы быстрее):

пчелки2
image


Блин, ну хочется сделать подсказку, — вынесете её за пределы формы (вон у кнопки войти в самый раз будет), а саму форму можно сделать короче, — с неё не убудет. Хорошо, недавно сделали, что этот символ исчезает при :focus.

Но пароль, опять же, надо вводить в следующем окошке и там при :focus символ показать-скрыть пароль не исчезает и лично у меня не хватает ловкости, чтобы попасть мышкой в значок заполнения там и приходится идти более длинным путём:

пчелки3
image
image


Ну что мешает вынести за форму, я не понимаю. Нет, я согласен, что всякими менеджерами паролей пользуется безусловное меньшинство, но как-то это всё…
Мне кажется LastPass должен заботиться о том как он выглядит на странице, а не сайты
Понаписали то, понаписали, аж целая ветка.

Есть стандарт форм и делать их по-человечески никто не мешает. Или давайте сайт будет делать вертикальные или вообще с наклоном черные формы без отображения символов, а остальные подстраиваются? Чего нет то? А — Адекватность. С — стандарты.

Вот гугл, они что, глупые и подстраиваются под ластпасс? Нет, они просто нормально верстают формы:

image

Никаких проблем с никакими значками нет и впомине. А вот это вот «пусть весь мир подстраивается под нашу унылую верстку», — это бред.

При всем уважении, менеджер паролей это все-таки довольно экзотичный класс софта.
Понимаю, что среди аудитории хабра намного более популярный, но в общем масштабе довольно редкий. Плюс в самом парке пасс-менеджеров каждый дышит как он слышит и особой стандартизации нет.
Поэтому совсем непонятно почему пчелки, букинг или кто-либо ещё должны подстраиваться под неумейки каких-то экзотических зверюшек?

Плюс в самом парке пасс-менеджеров каждый дышит как он слышит и особой стандартизации нет.

KeePass делает так же, значок ровно в той же позиции.
У меня тоже ластпасс и это однозначно его косяк
Ох… Увидел пчелайн и не смог удержаться.
Знаете сколько этапов нужно что бы войти в личный кабинет домашнего интернета привязанного к тарифу «всё»?
1) Телефон или Логин


2) Пароль


3) Логин и пароль, попытка 2


При этом между формами по 2-3 редиректа и ожидание в 2-5 секунд.
Ну и как вишенка на торте — в любой момент авторизация может зафейлится и придётся начинать сначала.
А после нескольких попыток ещё и с капчей.

Ю — Юзабилити ***.

Ещё можно упомянуть злобные капчи. Хотя это вообще отдельная тема.
Логин, пароль, а теперь докажи, что ты не робот. Пройди тест Тьюринга.
Особенно гугловские знаки-машинки. Очень стимулирует закрыть сайт и больше не возвращаться.
Кстати, есть какие либо боты или скрипты, для прохождения этой гадосьи автоматически?

Нет, потому что это сложные картинки. Гугл как раз вас и использует для обучения своих алгоритмов

UFO landed and left these words here
Ну так их ставят не от хорошей жизни, значит боты задолбали.

Переводчику конечно же спасибо за труды, но вот с автором не согласен в некоторых моментах, я согласен что советы автора делают авторизацию более удобной при использовании менеджеров паролей. Но не нужно забывать, что каждое решение имеет предпосылки и решает какую-то задачу: усложнение брутфорса или ещё чего там. Иногда требуется компромис между удобством и решением некоторых задач.

Боюсь, по большей части такие формы решают задачу типа «Нужно что-нибудь выкатить, чтобы получить премию».

мне кажется, что не за премию, а чаще "сделайте чтобы было большое просмотров страниц и увеличилось время на сайте за посещение")

UFO landed and left these words here
Отсутствие перезагрузки страницы (меньше трафика)
Враки. Теперь код для формы авторизации таскается за мной каждую страницу (больше трафика).
Быстрее работает сайт (опять же все сводится к загрузке страницы и отработке всех скриптов)
Опять неправда. Теперь мне нужен ещё один скрипт (ага, на странице и так уже обвешанной всякими метриками, тоже наверно для скорости), который ещё нужно чтоб загрузился и выполнился, что срабатывает не всегда и теперь мне надо обновить всю страницу (больше трафика, увеличенное время ожидания результата).
пугает — большое количество полей на одной странице могут отпугнуть пользователя. В результате он бросит это дело;
А ещё пользователя отпугивает бесконечное «Далее-Далее-Далее», где на каждой странице просят что-то ещё заполнить (сначала только логин/пароль, потом ФИО, потом адрес и всю родословную — желания сайта растут с каждой страницей, моё желание падает быстрее). Лично я так не делаю только если уж очень нужно попасть на сайт (заполнение анкеты на получение визы). В случае магазина — не проблема уйти в другой.
Одна страница: я могу прикинуть сколько это времени займёт и найти его.
Теперь код для формы авторизации таскается за мной каждую страницу (больше трафика).

А он разве не должен быть закэширован?
Вероятность этого ненулевая.
А с чего бы, если в 99% случаев модалки это скрытый div?
UFO landed and left these words here
И это позволяет выиграть в скорости.
Или проиграть, когда под грузом скриптов страница работает медленнее, чем если бы перезагружалась.
UFO landed and left these words here
в итоге скорость чисто клиентского приложения выше чем при сервером рендере

Это если у клиента достаточно мощное железо, в противном случае часто всё печально.
UFO landed and left these words here
Я тоже занимаюсь разработкой, только больше с уклоном в серверный рендеринг html.

Да, когда необходимо избавиться от необходимости перезагрузки страницы (к примеру, чтоб музыка не переставала играть при переходе по страницам сайта или когда реально необходимо постоянно частично перезагружать часть информации страницы) Ваш подход оправдан.
В остальных же случаях это усложнение ради усложнения.
Браузеру всё равно ждать ответ сервера, хоть в виде html, хоть в виде json, только в последнем случае ему потом ещё необходимо самому рендерить html на высокоуровневом языке (и тратить энергию на это, что критично для мобильных устройств) и уже только после этого подгружать новый контент для страницы (к примеру уникальные картинки для каждой из страниц).

Экономии трафика тут как таковой нет, т.к. объём html на фоне общего веса страницы минимален, да ещё и пережимается сервером перед отправкой, а весь остальной контент кешируется, если грузится неоднократно.

На слабых устройствах, да ещё и при слабом канале разница порой очень заметна.

К примеру, мой прежний телефон (1080 разрешение, но при этом довольно слабое железо) от самостоятельного рендеринга страниц через небольшой промежуток времени становится тёплым, а батарейка улетает на глазах.

+ При рендеренге страниц на клиенте страдает поисковая оптимизация, что зачастую критично.
UFO landed and left these words here
мобилки — понятно. Но они постоянно наращивают свои мощности и потому это уже не имеет значения.

Если Ваш сайт не нацелен на узкую категорию пользователей, то имеет значение.
То, что топовые устройства наращивают свои мощности не означает, что перестают выпускаться устройства со слабым железом. И люди не перестают покупать их.
Не говоря уже о том, что многие просто используют свои старые аппараты и не видят смысла их менять, так как они их всем устраивают.
тот же рекламный кабинет на нем и почта новая
Почему тогда старая почта у него работает на порядок быстрее? ФБ, кста, у меня тормознее, чем ВК.
вероятно вы не веб-разработчик.

Как раз он самый.
скрипты на клиенте выполняются быстрее по одной причине — не прилетает большая куча хтмл.

HTML парится браузером, который написан на компилируемом языке и высоко оптимизирован для этой задачи.
Так же при перезагрузке страницы после того как прилетит весь хтмл — должны отработать скрипты.

И если их мало, это происходит весьма быстро.
UFO landed and left these words here
Как раз все в плюсе: менеджеры, поисковые боты, пользователи. Но в минусе — функционал

А каждому ли заказчику нужен функционал в ущерб поисковой оптимизации и удобству пользователей?
Я говорю о скорости передачи данных а не о скорости отображения полученного хтмл

Ну и сколько же их экономится при клиентском рендеринге?
или все писали на хтмл?

Что значит писать на HTML? Я работаю с движками, где используются шаблоны.
Да, в скорости одной страницы выигрываю, но в конечном счете — нет.

Я понимаю, если бы вы продвигали серверный пререндеринг для первой страницы, а дальше скрипты. Но я от вас этого не услышал, ощущение, что вы об этом и не слышали.
Я уже об этом говорил. Может вообще все без жс писать?

К чему доведение до абсурда?
Но в минусе — функционал

Для 95% сайтов совершенно не нужный функционал.
UFO landed and left these words here
при работе с клиентским рендерингом — мгновенно

Не мгновенно, вместо этого идёт рендер всей страницы на js, что для слабых устройств накладно.

+ При нормальной оптимизации обычной html страницы (вынесение скриптов в конец страницы и т.д.) она начинает рендериться и отображаться пользователю ещё до того, как прогрузятся и отработают все второстепенные скрипты.
Ага. Только при перезагрузке скрипты отрабатывают после того, как страница начала отображаться. У пользователя уже есть сайт, который он может скроллить и читать, если вы конечно не из тех, кто пихает синхронное скрипты в head. А про «мгновенность» клиентского рендеринга уже отписали.
Ситилинк: div id=«authorization_popup» где тут закешировано? Это вместо обычного a href="\login". Да, это текст и он будет ужат при передаче, но всё же.
Какой скрипт у вас грузится каждый раз заново?
Где я написал про каждый раз? А страница наверняка динамическая, в каше не лежит, загружать через интернет.
избавиться от перезагрузки страниц помогает
Не помогает. Если страница периодически тупит и не реагирует, то единственный способ её быстро реанимировать — перезагрузить её. Делать приложение с клиентским рендерингом — сделать ещё хуже.
Сразу видно, что вы этими технологиями не особо интересуетесь
Зато мне приходится ими пользоваться и я не в восторге от всех этих ваших приложений на JS в браузере.
По хорошему в пункте с модальными окнами всё должно отрабатываться грамотной работой с сессиями. Да, это всё те же куки, но куда же без них. Собственно, запись важной информации в параметрах сессии должна всё решать: и какие категории он просматривал, и что дольше всего изучал, и всё прочее. А дальше уже бэк, исходя из всего этого, должен разбираться, куда отправить пользователя после регистрации/авторизации. За счёт того, что это предлагает максимальную бесшовность процесса, так уже почти все крупные конторы делают, даже опуская всякие гуглы и яндексы, которые в принципе сбором даты себе на хлеб зарабатывают.
5) Это удобно для пользователей

Нет. Вместо даже заполнения двух полей руками и нажатия отправить я должен заполнить поле, переключится на мышку для нажатия далее, заполнить ещё одно поле и уж тогда только авторизоваться.
Что дает постраничная форма:

Вызывает тонны ненависти. Особенно когда начинают вымогать номер телефона на последнем шаге, мол, раз уж потратил кучу времени на заполнение других полей, то бросать будет жалко. НЕНАВИСТЬ! Использую магическую комбинацию Ctrl+W для прекращения этого безобразия.
Да и вообще не думаю что менеджеры должны быть привязаны к дизайну.

Они не привязаны к дизайну. Они привязаны к разметке. Нужны человеческие input с человеческими name.
UFO landed and left these words here
Что мешает нажать энтер?

Не всегда работает. А таб на одной странице работает намного чаще.
Не все так быстро сгорают как ты.

Ну та, есть люди по тепреливее меня.
Ой. А может перестанем использовать жс вообще?

Нет, но вот поддерживать работоспособность сайта без скриптов совсем не помешает.
И да, мой менеджер паролей прекрасно справляется с описанным в статье, а многостраничные формы и скрытие инпутов я считаю плохим совсем по другим причинам, которые я и озвучил выше.
Очень спорно обвинять в плохом UX исходя из тезиса «это не работает в менеджерах паролей». Обвиняйте недоработанные менеджеры паролей и разработчиков не оглядывающихся на их присутствие.

1. Модальные окна не увеличивают количество шагов, могут иметь прямую ссылку и могут позволить работать менеджеру паролей.
2. Скрытые поля, при соблюдении некоторых условий тоже могли бы быть доступны для менеджера паролей.
3. Магическая ссылка это принципиально другой способ аутентификации и пока что не в зоне ответственности менеджера паролей (но это вопрос времени, банковские приложения тоже не сразу научились получать пароли из СМС).
За магические ссылки скажу:
1. не нужно придумывать качественный пароль
2. сразу проверяется email адрес
3. можно при регистрации сразу залогировать человека в систему (и отправить пароль на почту). Т.е. пароль ему потребуется только для второй сессии
1. не нужно придумывать качественный пароль

В итоге всё зависит только от пароля на почту.
2. сразу проверяется email адрес

Ну да, как же без сбора базы для спама.
3. можно при регистрации сразу залогировать человека в систему

Абсолютно ничего не запрещает логинить сразу при регистрации. Один минус — плохо работает с теми же менеджерами паролей. Поэтому я в таких случаях предпочитаю выйти и зайти по-нормальному.

Сбербанк и Госуслуги тоже двинулись в сторону этого ада.

А у сбера что? По крайней мере сбербанк онлайн сделан правильно, обычная форма с логином и паролём.

До тех пор


пока один раз не войдешь

image

А, ну я всегда выхожу, плюс у меня удаляются куки по истечению пары минут после закрытия сайта, так что для меня каждый раз как первый.
Хотя ситуацию на скриншоте Kee для Firefox с высокой долей вероятности разрулит без проблем.
Я всегда через «инкогнито» захожу, даже не знал о такой фишке.

Может я немного параноик но я не буду доверять свои пароли всяким менеджерам если такой менеджер не написал я сам и он вертится на моем сервере.


Пока я этого не сделал — использую метод генерации пароля по нескольким ключевым словам и цифрам и держу этот метод в голове.


Что касается форм, если сделать как предлагают автор — тогда никакие менеджеры паролей не нужны в принципе — справятся и встроенные в chrome/firefox хранилища паролей + синхронизация.

Keepass (и его варианты вроде KeepassXC) опенсорсный, формат его базы открытый, и крутится он на Вашем десктопе/телефоне, ничего не передавая по сети. Параноики довольны.

Что касается форм, если сделать как предлагают автор — тогда никакие менеджеры паролей не нужны в принципе — справятся и встроенные в chrome/firefox хранилища паролей + синхронизация.

Что, если я зарегистрировался в браузере, а потом хочу залогиниться в приложении?
Что, если я зарегистрировался в хроме, и хочу залогиниться в лисе?
Что, если я вообще не могу/хочу использовать сервис через браузер, а только через приложения?

И да, паранойя по безопасности менеджеров паролей и использование встроенных в браузеры менеджеров несколько не сочетаются.
Какой-то Брэд Фрост истерит из-за того что его менеджер паролей не работает с некоторыми решениями на некоторых сайтах, и указывает как надо делать.
Ладно. Но формы авторизации стали такими не просто так. И они решают конкретные задачи. А то что некоторые менеджеры паролей не могут с ними работать, то упс. Так что камень не в тот огород.
Но формы авторизации стали такими не просто так.

Чтобы выделиться среди других? Чтобы лучше вымогать номера телефонов?
UFO landed and left these words here
Почему ты готов предоставить эмаил и не предоставить номер телефона?

Потому что я могу делать по мылу на каждый сервис. Потому что эмейл надёжнее. Потому что он анонимнее. Он просто лучше и удобнее.
с эмаилом гогол тоже может передавать данные фээсбэ по запросу

У меня нет постоянной учётной записи в гугле. И гражданином империи гогол я не являюсь.
Почему-то все смирились со спамом на почту одно время

Кто смирился? Сервисы прекрасно задерживают спам. В отличии от ОпСоСов, которые только и рады этому.
UFO landed and left these words here
у тебя все привязан у номеру?

Эм, наоборот, никаких привязок не использую.
ВК

Не состою.
тогда думаю стоит в топе сидеть постоянно.

Не понял, о каком топе идёт речь, что за взломы и почему он не шифрует трафик.
надеюсь ты помнишь когда спам не фильтровался.

И все спам ненавидели, никто не мирился.
и мне на смс спам не сдали не разу — компаниям не выгодно с тарифами текущими.

Попробуйте оплатить номер с терминала киви, желательно замого замшелого и увешанного рекламой с видео.
Чтобы лучше защитится от атак. Чтобы упросить сложную регистрацию. Чтобы облегчить архитектуру. Чтобы еще много разного.
Но речь конечно про нормальные ресурсы, а не мусорные, на бесплатных шаблонах WP. Там просто «мода».
Чтобы лучше защитится от атак.

В итоге любая форма заканчивается POST запросом на сервер, и пофигу, что происходит на клиенте.
Вот кого-то бесит модальное окно логина, мол «Сложна». А меня наоборот, бесят дополнительные переходы со страницы на страницу. В Хроме и Яндексе менеджеры паролей спокойно заполняют все формы, что нужно, даже гугловскую (или нет, но я в нем редко логин делаю). Перевод хороший, жаль статья далеко не во всем толковая.
Можно долго спорить/доказывать — автор высказал своё мнение.
А так — сколько людей, сколько мнений. Кому-то удобно одно, кому-то другое.

Ну и заявлять безапелляционно «не делайте так!» — тоже перегиб :-)
1. Эт почему нельзя в попап форму входа поместить? зачем нужен еще один переход, чтобы просто залогиниться? и почему это нельзя сделать ссылку на попап? очень даже можно! Да или иметь и отдельную страницу для входа

2. Очень даже можно скрывать поля, никто не говорит о том, что их надо удалять и вставлять при клике на лэйбл, а спрятать за плейсхолдером очень даже нужно

3. И в примере форма входа вордпресса начала 2000-х, которая черт знает когда последний раз обновлялась
Очень даже можно скрывать поля, никто не говорит о том, что их надо удалять и вставлять при клике на лэйбл, а спрятать за плейсхолдером очень даже нужно

Чтобы при фокусе на поле ввода и последующем отвлечении нельзя было понять, что это за поле?
3. И в примере форма входа вордпресса начала 2000-х, которая черт знает когда последний раз обновлялась

С тех пор она стала только удобнее, благодаря привычке.
2. Никто не говорит про нативный placeholder="", то есть placeholder — это блок, при фокусе поля, к которому он относится, его можно чуть уменьшать и сдвигать вверх — на самом деде — это самый распространенный и просто кейс

3. И чем же она стала удобнее, имхо?
3. И чем же она стала удобнее, имхо?

Привычкой, написал же. Тысячи раз заполненная форма, действия с которой отточены до автоматизма.
Менеджер хрома успешно справляется с модальными формами. А вот с постраничной формой бывают проблемы.

По поводу popup или отдельная страница — тут лучше чтобы были оба варианта в зависимости от сценария использования.


Что касается popup и того факта, что его скрипт таскается от страницы к странице — то в этом случае поможет code-splitting и например vue, который может работать и не как spa.


Изначально в статике ссылка на отдельную страницу (для тех у кого стоит NoScript), потом загружается vue и перехватывает событие нажатия и при нажатии на кнопку входа уже отдельно подгружает сам попап. В итоге все рады =)


  • Есть вход для пользователей без js
  • Попап не таскается туда-сюда вместе с его js+css+img
  • loader логина не ест ничего пока не нажали на кнопку входа
  • ??????
  • PROFIT!

Претензии про менеджеры паролей необоснованы. Это и небезопасно. Уже были истории, когда сайты вставляли в содержимое мнимые формы, а менеджер их заполнял. Потом скрипт читал форму и слал данные на чужой сервер.


Насчет входа на сайт через почту, автор что-то перепутал. Вовсе не нужно копировать и вставлять одноразовый пароль, достаточно перейти по волшебной ссылке. Автор намеренно раписал эти действия как что-то долгое, а на самом деле это быстро: нажал на кнопку, альт-таб в почту, клик по ссылке — и ты на сайте. На мобиле еще проще — достаточно нажать на пуш-нотификацию почтовика.

Обычно менеджер паролей сохраняет пароли отдельно для каждого домена. И на чужом сайте подставлять пароль не будет.
На мобиле еще проще — достаточно нажать на пуш-нотификацию почтовика.

Не у всех на мобильных стоят почтовики.
UFO landed and left these words here
И чаще всего безответное.
Давно заблочил все домены этих сервисов, в большинстве своём используется десятка два рассадников этой заразы.
А вот кастомные попапы на весь экран с подписками и соцсетями так не искоренить (
А ещё разрешение показывать уведомление на сайтах, которые я впервые открываю (и после этого, чаще всего, и в последний раз).
Давно отключил запрос на это уведомление, и да, забанил пару дебильных сервисов, которые показывают своё окошко согласия, забыв проверить, что уведомления у меня отключены.
Скрытие символов пароля звёздочками -очень давно бесящая (лично меня) штука. Хорошо, что с развитием Javascript разработчики/дизайнеры/etc догадываются возле поля для ввода пароля добавить кликабельный глаз.

Ладно ещё когда скрывают пароль, но когда скрывают поля для ввода одноразовых кодов (TOTP, смс-ки) — вот это реально бесит, потому что, в отличие от пароля, при их вводе опечататься намного проще, а скрывать их смысла нет в принципе.

Пользуюсь FF + KeePass + Kee. Этот чёртов кликабельный глаз в форме логина Яндекса не даёт нажать на иконку, которую добавляет Kee к полю для ручного выбора чем заполнить (автоматическое заполнение отключено) :)
.passp-password-field__eye {
    right: 25px;
}

В юзерстили.
Не скрывайте поля

Скажите это той же VMWare, да и вообще большому числу сервисов. Им же «так красивее», блин!

Не разделяйте форму входа на несколько страниц

Скажите это Гуглу!
UFO landed and left these words here

Ещё печалька, когда стоит запрет на copy/paste из/в поле ввода. Нечасто, но все ещё встречается.

Ну, с копированием из поля пароля понятно, сами браузеры это запрещают. А вот за запрет вставки придумавших это ждёт отдельный котёл в аду.
последний раз натыкался на такое в пейпале
Вот бы ещё кто прислушался. А если прислушаются, то следующий «котёл» должен быть для тех, кто определяет язык по IP адресу, вместо заголовков браузера о предпочитаемых языках…
Максимально полезная информация. Спасибо) вроде и очевидно это все, но на практике, как девелопер, думаешь что сделал круто, а вот отклика, который вы дали, очень не хватает)
Это да. Недавно несколько мелких проектов закрыл, где была либо ссылка/кнопка «войти» либо «регистрация». Но не обе вместе. Т.е. в брифе, в ТЗ об этом было прямо сказано. Что вторая кнопка должна быть «внутри». Обосновали менеджеры это какой-то глупой херней про трафик, сео, и т.п.
А может надо сделать пост «умничайте, разрабатывая менеджер паролей?»
И продолжать усложнять весь мир?
Интерфейсы по идее для людей делают, а не для ботов.
Так эти самые люди вынуждены пользоваться переусложнёнными и тормозными сайтами.
Что кому-то кажется переусложнённым, кому-то может казаться удобным. Например, двухшаговая форма логина мне удобна, если после ввода логина идёт проверка на его существование, и только если он есть предлагается ввести пароль.
Но зачем? У меня логин, как и пароль, вводит KeePass, и нет смысла в дополнительных проверках на существование логина — он там с вероятностью 99,999% есть.
Ключевое слово «у меня»? Я вот ручками ввожу на таких важных аккаунтах как основная электронная почта.
А это, между прочим, уязвимость с точки зрения инфобезопасности — вы можете проверить существование логина в системе.
Идентификатор пользователя не является секретной информацией обычно.
Такое возможно, что есть форма в модальном окне и по ссылке.

Ещё раздражают формы логина с autocomplete="off". С такими встроенный в браузер менеджер паролей не работает.

Насчет поп-апа с формой входа, категорически не согласен. Взять тот же Хабр, чтобы войти на хабр нужно кликнуть кнопку Вход, тебя бросает на отдельную страницу (это вообще страшный сон), там вписываещь данные если они не сохранены в браузере и входишь, и при этом после входа, тебя бросает на страницу всех хабов, а не на ту страницу на которой ты был в момент клика по кнопке Вход (это ж вообже дичь юзабилити). А поп-ап это компромис, золотая середина между тем случаем когда поля входа находятся сразу в сайдбаре, и переходом на отдельную страницу. В поп-апе мы ввели данные, кликнули по кнопке и остались на все той же странице, мы не теряем связь с нашим путешествием по сайту. Так что с этим с автром я категорически не согласен.
Попап с входом на отдельной странице не так уж и связан. Я видел и системы, где после ввода пароля вас редиректили прямо обратно( по Referer или параметром в адресе страницы логина). Я видел, когда после ввода логин/пароль в сайдбаре вас выкидывало на главную страницу сайта.
Заходя на некоторые сайты, как же иногда хочется некоторым разработчикам вот таких форм врезать палкой по их тупым бошкам.

К сожалению, это следствие общего одибиливания человечества. Люди перестают читать художественные книги, а значит мыслить простыми категориями. Программист, получив некие знания, теперь торопится воплотить их как можно скорее и где придется… А ведь надо-то всего лишь посидеть, подумать и сделать простую операцию простой.
Мне кажется или всё, что нужно для работы нормальному менеджеру паролей (встроенному в браузер или расширению), это наличие формы логина с более-менее стандартными именами полей на странице сразу при её открытии и то, что именно эти поля заполняет пользователь. А то как и в каком порядке поля отображаются его волновать не должно. Какая разница видно их или нет если у него есть доступ к DOM, в котором он спокойно может найти форму, заполнить её и отправить. Проблемы возникают только если поля генерируются динамически из кода. Вот за это реально нужно делать ататат. А как там изголяются авторы страницы со способами отображения формы логина если она уже есть где-то на странице не суть важно. В крайнем случае всегда можно сделать форму на отдельной странице, но отображать её во фрейме не покидая активную.
Должны ли вообще дизайнеры и разработчики сайтов учитывать наличие менеджеров паролей? а если должны, то в какую сторону — помогать им или мешать? Вполне вероятно в случае веб-приложений типа банковских, что в требованиях есть что-то вроде «такие-то менеджеры паролей не должны быть способны обнаружить форму логина и(или) заполнить её».
Так эти требования снижают безопасность.
Технически точно повышают, а не снижают: если пароль хранится где-то кроме головы пользователя, то значит его можно оттуда извлечь без ведома пользователя и совершить какие-то действия от его имени.
Если пароль хранится в голове, то это обычно простой пароль, или такой же, как на других сайтах. На хранилку же можно поставить один хороший пароль, без знания которого извлечь другие пароли не выйдет.
Запреты на автовставку кроме раздражения, ИМХО, ничего не вызывают.
Так что я всё равно убеждён, что использование менеджеров паролей повышает безопасность.
Часто в требованиях указывают, что необходимо заставить пользователя авторизоваться через соцсети. Т.е. нужно усложнить путь до формы ввода пары логин-пароль и регистрации через почту. В рамках этой же политики возможно «отключение» браузерных менеджеров паролей.
По поводу модальных окон, очень часто встречаю сайты где присутствует формы в модальных окнах при этом урл ссылки «Войти» по которой открывается модалка ведет на отдельную станицу входа. И при клике колесом «prevent default» не отрабатывает. по моему это лучшее решение если уж так хочется форму в модалке. Кстати тот же LastPass, на сколько помню, справляется с такими окнами.
Что касается разделения входа на несколько экранов, тут по-моему самым ярким представителем является accounts.google.com.
Only those users with full accounts are able to leave comments. Log in, please.