Комментарии 92
А тем кто придумал и навнедрял привязку к телефону — и ноги тоже.
В любом случае, вас ведь никто не заставляет пользоваться этим сервисом.
Время идёт, люди меняются, мода тоже, и это нормально.
100 лет назад было модно носить цилиндры и публично курить табак. Дурная ли это была мода? Но ведь она когда-то кем-то вводилась, и кто-то тоже её мог посчитать дурной модой… прошло время, и она уже не стала дурной. А потом еще немного времени, и вот уже мода стала устаревшей.
ага, а потом у меня в чатах будет 150 ботов для авторизации, ну нафиг
Так что бот хоть и маленькая, но надежда на будущее и такие как Вася Пупкин в очередной раз показывают на сколько не совершенны сервисы гиганты в своих проектах, что есть ещё круче творения и задумки.
Не знаю пытался дозвонится до Гугла, что-то не получилось…
Для них нельзя будет создать отдельного категории/каталога, как в почте. А ещё останется куча ретроградов, использующих «устаревшие» методы и тогда вообще наступит коллапс в голове юзера — где же всё это УГ хранится?
Пользоваться надо менеджером паролей. На всех платформах и девайсах. А базу синхронизировать git'ом
е-ящиков можно иметь сколько угодно в т.ч. выделенный под регистрации.
месенджеры приходят и уходят, а е-почта была, есть и будет есть.
чем взрослее становишься, тем больше начинаешь любить почту и её возможности взвешенной переписки.
Остапа понесло :)
Для каждого сайта добавлять еще и бота? Сколько ботов будет висеть в списке? Да и лишних телодвижений очень много, даже по сравнению с обычным подтверждением email.
Очень удобно. Я уже привык к такому поведению — открываешь на компе сайт, тут же на телефоне выскакивает окошко с большой кнопкой — зайти на сайт.
Если открываешь новый, не авторизованный сайт — вводишь логин OAUTH — нажимаешь на телефоне кнопку.
Параноики вместо кнопки проводят пальцем ноги по сканеру.
Вот это удобно, а то, что предложил автор — слишком сложно.
А что делать если человек не пользуется соц.сетями, а если и пользуется, то не хочет привязывать свой личный аккаунт соц.сети к непонятному ресурсу?
А что делать если человек не пользуется телеграммом или не хочет светить свой личный телеграмм аккаунт в непонятном ресурсе? Причём для соцсетей этот вопрос решается заведением отдельного аккаунта, а в случае телеграмма, аккаунт жёстко привязан к телефону.
И кстати, если рассмотреть создание нового аккаунта вконтакте, то без мобильного телефона у вас ничего не выйдет.
Ну, есть же фейсбучек, он и более универсален. Или там тоже сейчас телефон обязателен?
Не знаю, я вот, положа руку на сердце, скорее через фейсбучек зарегистрируюсь, чем через телеграм. А ещё более вероятно, если ресурс с
левый, просто зарегистрируюсь с отдельной почтой типа мейлрушного анонимайзера. А если совсем левый — с одноразовой почтой.
Я против привязки к телеграму, особенно с учётом того, что в РФ (правда, сам живу в Украине) для получения номера требуется пасспорт. И ещё неизвестно, будет ли такая система выдавать номер сайту, где проходит аутентификация.
Парсер ссылок (который делает скриншоты) переходит по ссылке, и для юзера она уже не действительна, а парсер авторизовался.
Пример имеет чисто демонстративный характер
Я делал авторизацию и привязку аккаунта таким способом какое-то время назад.
Пользователю в итоге нужно было нажать «Войти через Telegram» и ткнуть /start в боте
Мне нравится идея, но немного другая реализация.
Когда-то давно, мне приходила в голову такая же идея. Но я погуглил и нашёл готовую реализацию, поэтому решил не переизобретать велосипед :)
А вот если наоборот:
1. Пользователь вводит свой логин на странице (конечно используется TLS)
2. Нажимает кнопку войти
3. В телеграмме получаем запрос на вход на сайт, с информацией(и предупреждением) кто и откуда пытается зайти
4. подтверждаем простой коммандой, a-ля /letmein
5. Профит!
Для простоты можем слушать ивенты на фронте, кот. сообщат когда подтверждение пришло через мессенджер.
Если честно то ранее уже в комментариях указывали OAUTH/OAUTH2, так что я думаю лучше использовать именно последнее для публичных ресурсов. Другое дело реализация скажем для «интранета», где основное общение между коммандами реализовано через Telegramm.
с информацией(и предупреждением) кто и откуда пытается зайти
Как вы себе это представляете?
Предположим, я злодей и я пытаюсь зайти в ваш аккаунт на том же сайте, из того же места и одновременно с вами. (Сижу в той же кафешке что и вы, подключен к тому же вайфаю, подглядываю через плечо).
С вероятностью 50% вы впустите меня, а не себя.
Как это пофиксить? Например: показывать одноразовый пароль при входе, просить его отправить в телеграм. В этом случае, даже если я его подсмотрю или украду из базы, это мне не поможет, т. к. вы должны его отправить боту.
Пожалуйста, перечитайте комментарий drfill и мой.
Суть в том, что сверять нужно с чем-то. Для этого нужно либо передать токен/пароль, полученный от телеграм-бота в веб-интерфейс, либо отправлять телеграм-боту пароль, полученный из веб-интерфейса.
Иначе невозможно гарантированно установить связь между пользователем, который заходит через веб и пользователем, с которым вы связываетесь через телеграм.
Во-вторых:
Подглядывать нехорошо! :) а если так, то скажем доп. информация (тема для размышлений/brainstorm) должна максимально описывать тот вход с которым пришел пользователь… ну и чтоб он сам без внешних источников/специалистов определил, что это он, а не тот кто подсматривает.
По теме можно дискутировать бесконечно, но боюсь что такого рода реализации оч. вендор специфичные, что нехорошо для конечного пользователя.
Кстати для информации x07, не для всех платформ реализован Telegramm клиент, например для BB10 его толкового нет вовсе!
Минус еще к тому же, хранение либо открытого пароля в базе, либо шифра который можно с легкостью декриптовать, т.б. отметаем сразу соли и т.п.
Изначально, вы указали на то, что пароль, который хранится открыто в базе — это не хорошо.
Но потом, вы предложили использовать вместо него ещё более открытую информацию, ту информацию, которую можно добыть и без кражи базы.
показать пользователю информацию, например из места по Геотаргетингу определенную, либо по GeoIP.
Вы уже забыли, что я сижу прямо за вашей спиной, на том же айпишнике? :)
UA браузера в человекочитаемом формате
UA передаётся при каждом запросе, да я и так прекрасно вижу, что у вас Firefox под Ubuntu (например).
доп. информация (тема для размышлений/brainstorm) должна максимально описывать тот вход с которым пришел пользователь
Как насчёт, сгенерировать случайный код и показать его и там и там? :)
Мне как владельцу сайта это на фиг не нужно, так как я получаю не полноценного пользователя, а какой-то телеграм-обрубок при пароле.
Проблема не в самой процедуре, а в том, как её реализуют 99% сайтов. Процедура регистрации может быть быстрой. Может не требовать перехода по ссылке. Т.е. ввел email и пароль — вошел на сайт. Всё, пользуешься.
Самый главный минус предложенного способа — зависимость от стороннего сервиса. Всё остальное, что вы перечислили — тоже плохо, но не так критично.
Не у всех есть аккаунт в соц.сети, мессенджер или телефон/смарт, для которого бы была бы версия этого приложения.
Если я на своем сайте сделаю аутентификацию только через, например PIN BBMa с отсылкой на него пароля, Вы что сделаете? В 95% покрутите у виска, скажете «Чо за BBM?!» и уйдете.
Если Ваш сайт/бложик посещают 1,5 анонимуса и Вы точно знаете, что они в случае потери доступа к смарту/приложению смогут аутентифицироваться — тогда да.
Если у Вас сайт/блог с хорошей посещаемостью, то делать только такую функцию аутентификации и без каких-либо альтернатив — ИМХО, не самая лучшая идея.
В чем прикол открыть на компе сайт, потом открыть на телефоне телеграм, найти где добавлять ботов, ввести имя бота, добавить, потом хз сколько шагов еще? Это не проще обычной регистрации, особенно если через oauth.
Телефон доставать незачем — никто не мешает по ссылке перейти в веб-версию мессенджера (искать бота в этом случае тоже не нужно). А если сделать deep linking, как писали выше — то и пароль не нужно будет копировать/вставлять: немедленно после начала диалога с ботом пользователь будет авторизован. Регистрация буквально в три клика.
Чтож мне идея нравится. Кто-то против. Но с другой стороны если ничего не придумывать, то и будет все на месте стоять. Лучше бы не критиковали, а дельные советы давали.
В принципе, чем такой способ хуже, если вместо смс использовать телеграмм или, например, вконтакте или любую другую соцсеть.
Но вместо отправки пароля по запросу в бесседе лучше действовать в обратном ключе: на форме входа отображать временный пароль, символов на 5. Пользователь вводит его в доступный ему месседжер, а дальше уже серверная часть получает извещение, от какого пользователя пришел пароль и заводит на него сессию и дает какие-то данные.
К слову, удобно использовать глубокие ссылки телеграмма, или вконтакте (vk.me/username) чтоб не искать бота вручную.
Понятное дело, использование такого способа авторизации, как основного, сейчас — это большая ошибка. Но в качестве дополнительной альтернативы, почему нет? Думаю, подобно тому как авторизация через соцсети сейчас стоит в одном ряду с email, так и этот способ сможет получить своё место под солнцем в будущем. Надеюсь в ближайшем.
Человечество в край обленилось и
Как мне кажется все эти генераторы паролей все таки, где то хранят сгенерированные последовательности знаков, дабы исключить повторение в… ну скажем в короткие временные промежутки до завершения какого либо цикла. Ну или пока не кончатся все возможные варианты. А если это все где то хранится (Повторюсь, это мое предположение), то где то эту нехилую базу можно использовать в бруте паролей, учитывая что сейчас множество сервисов авторизации привязывает к логину номер телефона или адрес почты (и то и другое не сложно узнать, в сети каждый где то оставлял эти данные в свободном доступе, будь то объявление по поиску / предоставлению работы, покупке / продаже, соц.сети)
Поправьте если не так. Обеспечение безопасности доступа к частной собственности (читай аккаунт в сети) — должно быть делом самого пользователя, а не сервисам, которые при желании могут собрать инфо о тебе и слить куда угодно…
Смысла складировать одноразовые генерируемые пароли нет никакого.
дабы исключить повторение
Во первых, в БД стоит констрейнт на уникальность, во вторых символов в пароле столько, что вероятность совпадения крайне мала, учитывается так же регистр, что увеличивает количество генерируемых вариантов.
Обеспечение безопасности доступа к частной собственности (читай аккаунт в сети) — должно быть делом самого пользователя, а не сервисам, которые при желании могут собрать инфо о тебе и слить куда угодно…
При желании, любой посещаемый крупный ресурс, может слить все пароли или хеш пароля, телефоны, логины и емейлы тому кто хорошо попросит.
любой посещаемый крупный ресурс, может слить все пароли
Собственно по этой причине к каждому сервису где я нахожусь используется индивидуальный пароль. Почти десяток адресов почты (за исключением пары адресов куда сыпется спам от сомнительных сервисов или одноразовых регистраций)
В данном случае конечно все субъективно и уровень паранойи (если таковая имеется) у всех различный. Кому как, но лично мне как то спокойнее спится, если в сети как можно меньше инфо можно «накопать».
PS: Не все так плохо, пока дополнительными одноразовыми симками не закупаюсь, но по возможности стараюсь находить аналоги интернет-сервисов, где не требуется верификация по номеру телефона.
так что волноваться тут не о чем.
Я считаю, что это наоборот плюс, есть сайты, которые борются со спамерами, фейками, размножением аккаунтов, путем подтверждения регистрации по смс. Многие пользователи не хотят светить свой номер в интернете, но все равно это делают, потому что нет другого выбора. Если сайт окажется с гнильцой, то потом на телефон будет лететь смс-спам как минимум. В случае с телеграммом, номер телефона останется в тайне, ресурс не сможет его узнать, но зато, для ресурса это будет означать что пользователь с определенной долей вероятности настоящий. Ведь пойти купить левую симку сложнее, чем пойти зарегить 10 новых емейл адресов.
Никакой дополнительной вероятности, что пользователь настоящий. Арендовать симку и получить на неё смс можно даже не вставая, есть куча сервисов. У меня был случай, когда пришлось создать кучу аккаунтов телеграма, всё очень просто и быстро и стоит дешевле, чем покупать симки — 20 рублей за аккаунт.
Сомневаюсь что за 20р вам дают номер навсегда. Вы скажете что аккаунт уже создан в телеграмме и номер уже не нужен, то, как тогда вы откроете кучу аккаунтов телеграма на одном устройстве, для подтверждения аккаунта в дальнейшем?
В моем примере подтверждение входа не требуется, но в боевой версии алгоритм можно поменять, бот, например, будет отправлять в телеграмм уведомление о входе, или же вход будет осуществляться через телеграмм. Опять же на ресурсе, для борьбы с фейками, должен быть алгоритм который выявляет подозрительную активность пользователя, и в случае если такая активность есть, просить подтвердить свою личность через смс или телеграм. Вероятность тут все же есть, в отличие от емейла.
Я вам возразил исключительно по поводу вашей фразы:
"это будет означать что пользователь с определенной долей вероятности настоящий. "
Для чего вам возвращать фейковый аккаунт? Но уж если зачем-то потребовалось и требуется ещё раз ввести смс, делаете заявку и вам опять этот же номер предоставляют. Номер ваш навсегда, его используют для других сервисов, но телеграм уже никто на него не зарегистрирует. Правда я думаю это не гарантированно будет вечно работать.
как тогда вы откроете кучу аккаунтов телеграма на одном устройстве, для подтверждения аккаунта в дальнейшем
На компе можете открыть сколько угодно клиентов телеграма на разные номера и подтверждать вход в ваши аккаунты. У меня два аккаунта открыто постоянно, и ещё десяток просто хранятся, чтобы я мог дать доступ к аккаунту, не прибегая к смс.
Я вам возразил исключительно по поводу вашей фразы:
«это будет означать что пользователь с определенной долей вероятности настоящий. „
Я не ради спора это все пишу) Просто высказываю точку зрения, почему вероятность есть).
Для чего вам возвращать фейковый аккаунт?
вы же зачем-то его создавали? Причем, потратили деньги, пусть даже и незначительную сумму.
Я к тому, что этот процесс, в отличии от регистрации кучи емейлов, более трудоемкий и стоит денег. Если система будет эффективно выявлять такие фейковые аккаунты, то скорее всего, их будет просто не выгодно создавать.
Простой пользователь, врятли будет заморачиваться со всякими сервисами и покупкой второй симкарты(если конечно для него это не жизненоважно), но тем не менее, для него это препятствие, пусть и небольшое.
Вход на сайт при помощи Telegram