А на странице в строке, по «скрыт» выпуск газеты, в сттаье которой указана ячейка в банке, ключ от которой можно получить, отгадав загадку. Получив ключ — получаем заветный пароль.
Были на хабре 2 статьи [1],[2] по мотивам которых я создал себе скрипт-инструмент для генерации паролей под разные сайты\сервисы. Использую, пока доволен.
В качестве продолжения хотел было написать аналогичный инструмент под мобильный телефон, но руки пока не дошли.
Позволю себе добавить, что не лишним будем так же использовать:
md5(secret.md5(salt.md5(pass))), где pass — … salt — уникальная соль для каждого пользователя secret — ваша секретная фраза, уникальна в пределах ресурса.
При таких раскладах, даже если кому-то удастся стащить базу с хешами + солью, у него не будет секрета, что еще более усложнит Брут!
Спросил у коллег в офисе — 3 из 3-х сказали, что это что-то связанное с маком, и только начальник, сидящий за макбуком, пробормотал: «я не маковод» =) Так мило…
Для этого надо создавать таблички и наполнять их данными.
Кроме того, меня не очень интересует конкретный пример, больше теория, почему «Если внутри IN подзапрос то индекс не будет использоваться.»
Вы — заведете, но много моих клиентов — не будут даже думать о слове «регистрация», я уже писал, у них и так мало времени. Они зашли на сайт (может даже на конкретный товар с рассылки, к примеру), нажали купить и забыли, до того момента, пока курьер в дверь не позвонит.
В любом случае — надо смотреть, как правильно делает автор статьи, на ресурс и на целевых его посетителей. И уже исходя из этой информации выбирать тот или иной вид рег-ции \ авторизации.
Когда таких клиентов 2-3 — проблем нет, но когда их скажем, 50, и когда заказы обрабатываются менеджерами в полуавтоматическом режиме,. важно, чтоб скидка сразу же показывалась в админ панели в информации о заказе.
Согласитесь, что каждый раз искать клиента в «блокноте ВИП» — не то, на что стоит тратить время.
1) Явная рег-ция и так остается
2) Вы в любом случае соглашаетесь на то, что мне станут известны ваши данные (ибо без них я не смогу продать вам товар
При этом, с моей стороны, не следует никаких навязчивых действий, я просто сообщу,. что вы можете входить на сайт под своим логином\паролем и получать бонусы\скидки… не хотите — ходите анонимно…
Многие из моих клиентов не хотят регистрироваться, мол, у них и так мало времени…
Но когда, сделав несколько заказов на солидную сумму, они не понимают, почему у них еще нет скидки — начинаются проблемы и «терки», чтоб уладить ситуацию, ибо такого клиента (та и в принципе любого клиента) терять не хочется. Вот тут и начинаются мутки с запоминанием заказов пользователей без регистрации…
Подождите, если при регистрации вы ввели мусорный емейл — это только ваши заботы.
Да, вместо генерации пароля можно, к примеру, отправлять ссылку на «Подтвердить регистрацию и ввести пароль», но от этого схема кардинально не меняется.
Почему же?
Я сделал заказ на 800 грн, к примеру. На почту мне пришло сообщение:
«Мы вас зарегистрировали, чтоб вы могли получить скидку (от 1000 грн — 25%). Пароль — … „
Я буду рад такой мороке, особенно, если я собирался стать клиентом этой фирмы.
А если нет — ну ничего страшного, просто проигнорю…
У себя делал похожую схему, она-то как раз и отвечает на ваш вопрос.
Для интернет-магазина делал полноценную регистрацию (простую, но полноценную, с вводом всех необходимых ..). Так же предлагал пользователям вариант быстрой покупки без регистрации, запрашивая контактную информацию. Если пользователь ввел емейл — регистрировал его и отсылал пароль.
И еще, полезная фича — если пользователь ввел телефон — регистрируем по телефону (но пока ничего не отсылаем — ибо некуда). В дальнейшем мы сможем вести историю заказов не только по емейлу, но и по телефону
В качестве продолжения хотел было написать аналогичный инструмент под мобильный телефон, но руки пока не дошли.
md5(secret.md5(salt.md5(pass))), где
pass — …
salt — уникальная соль для каждого пользователя
secret — ваша секретная фраза, уникальна в пределах ресурса.
При таких раскладах, даже если кому-то удастся стащить базу с хешами + солью, у него не будет секрета, что еще более усложнит Брут!
На войне как на войне, если решились на пакость — будут юзать любые доступные методы.
Все от требуемой сложности зависит.
Кроме того, меня не очень интересует конкретный пример, больше теория, почему «Если внутри IN подзапрос то индекс не будет использоваться.»
Действиям тех же анонимаусов можно найти оправдание, тут же банальный DDoS токль ради DDoS-а…
В любом случае — надо смотреть, как правильно делает автор статьи, на ресурс и на целевых его посетителей. И уже исходя из этой информации выбирать тот или иной вид рег-ции \ авторизации.
Согласитесь, что каждый раз искать клиента в «блокноте ВИП» — не то, на что стоит тратить время.
2) Вы в любом случае соглашаетесь на то, что мне станут известны ваши данные (ибо без них я не смогу продать вам товар
При этом, с моей стороны, не следует никаких навязчивых действий, я просто сообщу,. что вы можете входить на сайт под своим логином\паролем и получать бонусы\скидки… не хотите — ходите анонимно…
Но когда, сделав несколько заказов на солидную сумму, они не понимают, почему у них еще нет скидки — начинаются проблемы и «терки», чтоб уладить ситуацию, ибо такого клиента (та и в принципе любого клиента) терять не хочется. Вот тут и начинаются мутки с запоминанием заказов пользователей без регистрации…
Да, вместо генерации пароля можно, к примеру, отправлять ссылку на «Подтвердить регистрацию и ввести пароль», но от этого схема кардинально не меняется.
Я сделал заказ на 800 грн, к примеру. На почту мне пришло сообщение:
«Мы вас зарегистрировали, чтоб вы могли получить скидку (от 1000 грн — 25%). Пароль — … „
Я буду рад такой мороке, особенно, если я собирался стать клиентом этой фирмы.
А если нет — ну ничего страшного, просто проигнорю…
Для интернет-магазина делал полноценную регистрацию (простую, но полноценную, с вводом всех необходимых ..). Так же предлагал пользователям вариант быстрой покупки без регистрации, запрашивая контактную информацию. Если пользователь ввел емейл — регистрировал его и отсылал пароль.
И еще, полезная фича — если пользователь ввел телефон — регистрируем по телефону (но пока ничего не отсылаем — ибо некуда). В дальнейшем мы сможем вести историю заказов не только по емейлу, но и по телефону