Комментарии 278
Это правильно.
Хотя внезапное новое окошко авторизации немного испугало сонного меня.
Хотя внезапное новое окошко авторизации немного испугало сонного меня.
А я вообще залогиниться не мог со своей почтой. Пытался войти — говорит не зарегистрирован. Попытался зарегистрироваться — пользователь с таким email уже зарегистрирован. Потом только додумался зайти через Google.
Я тоже «чуть не открыл кирпичый завод», подумал что хабр ломанули… предупреждать же нужно )
А я сначала залогинился, а потом испугался.
> единый центр авторизации
правильно! лишите пользователей возможности выбирать! (сарказм, если что)
правильно! лишите пользователей возможности выбирать! (сарказм, если что)
И пароль заставили сменить >_<
Да, пришлось обновить бумажку на холодильнике.
Дело в том, что у части пользователей Хабра были простые пароли, которые были заданы ещё давно, когда не было жёстких требований к безопасности. В то время как на TM ID такие требования есть — если пароль короткий, то его предлагается заменить :)
Потому что у ХХ авторизация регулярно слетает, заставляя логиниться снова.
Не знаю, баг это или задуманная фича, но это несколько мешает использованию параноидальных паролей.
Не знаю, баг это или задуманная фича, но это несколько мешает использованию параноидальных паролей.
33 символа по-вашему короткий? Ну-ну…
Заменил пароль. =)
Заменил пароль. =)
20 символов пароль слишком простой? :)
НЛО прилетело и опубликовало эту надпись здесь
Все же видели эту картинку, да?
Кроме того, хабралогином войти не получилось. Только почтой.
НЛО прилетело и опубликовало эту надпись здесь
Предположим, мой пароль содержал 17 слов ( не считая предлогов и междометий). Средняя длина слова — 5 символов (я ленивый и не хотел больше). Насколько мой текущий 8 символьный пароль слабее? Смутное ощущение, что на несколько порядков слабее.
НЛО прилетело и опубликовало эту надпись здесь
Регулярно брутфорсят ssh, ftp, pop3, smtp; админки популярных движков (joomla, wordpress). Так что если вы не встречали, это не значит, что этого нет. Более того, вы можете и не подозревать, что вас брутят, если нет доступа к логам, или ленитесь в них заглянуть.
НЛО прилетело и опубликовало эту надпись здесь
Так надо приманки расставлять, которые откликаются на эти пароли, а внутри рекурсивное виртуальное дерево каталогов с миллионами файлов-дублей, а может даже и файлов-призраков с шумом генерируемом на лету. Хотя нет, дерево файлов можно оставить правдоподобным, а содержимое подменять на лету. Дать скачать парочку файлов и в бан-лист автоматом. В следующий раз будут добавлять в исключения для сканирования.
В конце-концов, взламывать ресурс который не сопротивляется не интересно, потыкаются и отстанут. А наиболее упорные соберут себе коллекцию мусора.
В конце-концов, взламывать ресурс который не сопротивляется не интересно, потыкаются и отстанут. А наиболее упорные соберут себе коллекцию мусора.
Эмм. Сколько common words в словаре? Больше, чем букв. Сколько комбинаций слов можно выдать?
Собственно, про время брутфорса прямо в комиксе все и написано.
Собственно, про время брутфорса прямо в комиксе все и написано.
НЛО прилетело и опубликовало эту надпись здесь
Можно, ещё использовать правила замены символов. Например — вместо буквы t печатаем букву правее от t на число позиций равным номеру вхождения символа в пароль. А так же вместо o печатаем p.
И вместо
correct horse battary staple
получаем
cprrecy hprse bauiry soaple
Привет перебору по словарю )
И вместо
correct horse battary staple
получаем
cprrecy hprse bauiry soaple
Привет перебору по словарю )
НЛО прилетело и опубликовало эту надпись здесь
Ну вы попробуйте угадать, какой именно бред пришёл в голову этому пользователю. А ещё, к тому же, есть те кто придумывает свои слова (как вы предложили), те, кто вставляет пароли, сгенереные специальной прогой. И в общем многообразии, если мы не знаем ничего о пароле пользователя — задача усложняется очень сильно.
НЛО прилетело и опубликовало эту надпись здесь
А можно просто нумеровать слова, или вставлять между ними какие-нибудь символы.
1correct 2horse 3battary 4staple
Привет, перебор по словарю. И запоминается легче.
PS: интересно, имел ли хоть один аккаунт в мире такой пароль, до публикации комикса, а так же сколько аккаунтов имеет такой пароль после публикации?
1correct 2horse 3battary 4staple
Привет, перебор по словарю. И запоминается легче.
PS: интересно, имел ли хоть один аккаунт в мире такой пароль, до публикации комикса, а так же сколько аккаунтов имеет такой пароль после публикации?
А можно поинтересоваться о бруте чего именно речь? :) Формы ввода с капчей или кто-то слил базу паролей с хабра и всерьез надеется что они без соли? :)
Да тут спор о бруте вообще. Что проще сбрутить, пароль из символов или пароль из слов по базе словаря.
Никто не учитывает правда, что тот кто брутит, не знает каков именно формат пароля у пользователя (в нашем сценарии их исключительно 2: пароль вида «Pa$$w0rd» и пароль вида «correct horse battary staple» без пробелов.
Никто не учитывает правда, что тот кто брутит, не знает каков именно формат пароля у пользователя (в нашем сценарии их исключительно 2: пароль вида «Pa$$w0rd» и пароль вида «correct horse battary staple» без пробелов.
О сферическом бруте в вакууме тут речь )
Проще использовать силу русской морфологии. Взять обычное слово, образовать от него производное но несуществующее. И запомнить легко, и по словарю не брутфорсится. Например, берём слово «метроном» и используюем в пароле «метрономный». Попробуйте подобрать «метрономный безсветовой антидвигатель №4»
P.S. Заметили нарочную орфографическую ошибку в пароле? Это на всякий случай, даже если кто-то услышит как я во сне или под гипнозом бормочу свой пароль, всё равно не сможет угадать его правильное написание.
P.P.S. Мой пароль на хабре сформирован по другому принципу ;)
P.S. Заметили нарочную орфографическую ошибку в пароле? Это на всякий случай, даже если кто-то услышит как я во сне или под гипнозом бормочу свой пароль, всё равно не сможет угадать его правильное написание.
P.P.S. Мой пароль на хабре сформирован по другому принципу ;)
«В сложном пароле 11 символов» => «В сложном пароле 5 слов».
Вы просто сравниваете несопоставимые вещи — очень сложный для запоминания пароль (11 символов включая цифры и все остальное) и очень простой для запоминания пароль (четыре слова).
Вы просто сравниваете несопоставимые вещи — очень сложный для запоминания пароль (11 символов включая цифры и все остальное) и очень простой для запоминания пароль (четыре слова).
А зачем запретили спецсимволы в пароле? Пришлось придумывать более простой пароль, чем хотел. :(
> у части пользователей Хабра были простые пароли
это Вы по хеш-сумме вычислили длину пароля? (ооочень надеюсь)
это Вы по хеш-сумме вычислили длину пароля? (ооочень надеюсь)
Откуда вы знаете что у части пользователей были простые пароли?
При авторизации ставится флаг о том, простой пароль или нет.
т.е. надцать лет назад, когда регались юзеры, хабр уже тогда определял, сложный пароль или нет? ога =)
Нет, вы ж когда логинитесь шлёте пароль плейн текстом (пусть и через SSL). Ну а там что с ним делается, кроме хеширования для сравнения с хешем в БД, ведомо лишь ТМ.
т.е. сейчас при авторизации, они тупо сохранили пароли в открытом виде? не уж-то все так плохо?
Передает — возможно, а сохраняет ли — не факт. Может, сложность пароля определяет скрипт на стороне клиента…
Скорее не так. Проверили пароль по критериям безопасности, результат проверки сохранили, а пароль незахешированный выбросили в /dev/null.
Но чисто теоретически могли и сохранить плейнтекстовый пароль. Другое дело зачем им это...)
Но чисто теоретически могли и сохранить плейнтекстовый пароль. Другое дело зачем им это...)
Как, вы думате, делается graceful transition на новую схему хранения паролей?
никак не думаю, ибо не представляю о чем речь.
Ну сайт хранил пароли в md5 без соли. А потом решил, что доколе и захотел поменять на PBKDF2. Как? Паролей-то в открытом виде нет.
И вот он поддерживает какое-то время аутентификацию что со старыми хешами, что с новыми. Но если пользователь аутентифицировался со старым — то в этот момент (и только в этот) сайт видит его пароль плейнтекстом, и тут же его хеширует новой функцией и сохраняет этот хеш взамен старого.
Так постепенно все активные пользователи перейдут на новую схему. Спустя какое-то время можно подстегнуть остальных, а можно так и оставить: пусть поддерживаются все типы хешей, активные/новые-то пользователи будут всегда с самыми надёжными хешами, а остальные — на сайт не заходят, ну и ладно.
И вот он поддерживает какое-то время аутентификацию что со старыми хешами, что с новыми. Но если пользователь аутентифицировался со старым — то в этот момент (и только в этот) сайт видит его пароль плейнтекстом, и тут же его хеширует новой функцией и сохраняет этот хеш взамен старого.
Так постепенно все активные пользователи перейдут на новую схему. Спустя какое-то время можно подстегнуть остальных, а можно так и оставить: пусть поддерживаются все типы хешей, активные/новые-то пользователи будут всегда с самыми надёжными хешами, а остальные — на сайт не заходят, ну и ладно.
НЛО прилетело и опубликовало эту надпись здесь
> Ну сайт хранил пароли в md5 без соли. А потом решил, что доколе и захотел поменять на PBKDF2. Как?
Хранить PBKDF2(md5(password))
Хранить PBKDF2(md5(password))
Если известны все параметры PBKDF2 (мы же не говорим о Security through obscurity?), то PBKDF2(md5(password)) хранить не безопаснее, чем md5.
PBKDF2 хорош тем, что при бруте базы хэшей стоимость вычисления одиночной итерации на порядки выше, чем для md5, sha1 и т. п.
Так что безопаснее, в том смысле, что стоимость перебора или построения RT (если соль не использовалась, как в примере в этом треде) существенно выше.
Количество итераций KDF атакующий может узнать, если у него есть свой аккаунт или доступ к исходным кодам приложения. Естественно, что на реальной системе соль является обязательной, чтобы существенно затруднить атаку с помощью rainbow tables.
Так что безопаснее, в том смысле, что стоимость перебора или построения RT (если соль не использовалась, как в примере в этом треде) существенно выше.
Количество итераций KDF атакующий может узнать, если у него есть свой аккаунт или доступ к исходным кодам приложения. Естественно, что на реальной системе соль является обязательной, чтобы существенно затруднить атаку с помощью rainbow tables.
Ваша фраза эквивалентна следующей: «PBKDF2(password) хранить не безопаснее, чем просто password»
Вы не знаете, зачем нужен PBKDF2 и прочие «тяжёлые» хэши?
Вы не знаете, зачем нужен PBKDF2 и прочие «тяжёлые» хэши?
>Нет, вы ж когда логинитесь шлёте пароль плейн текстом
я вот кстати не понимаю, зачем.
Такой вариант имхо лучше, нет?
сервис хранит hash(passwd).
форме авторизации передаётся одноразовая соль salt
клиент при вводе форму передаёт не passwd, a hash(hash(passwd)+salt).
сервис считает свой hash(hash(passwd)+salt), и авторизует при совпадении.
отличие от тупой авторизации по паролю — что при перехвате траффика злоумышленик получает не полноценный пароль, а лишь одноразовый хеш (ибо соль одноразовая), с которым он не сможет авторизоваться самостоятельно.
Есть какие минусы у такой схемы?
я вот кстати не понимаю, зачем.
Такой вариант имхо лучше, нет?
сервис хранит hash(passwd).
форме авторизации передаётся одноразовая соль salt
клиент при вводе форму передаёт не passwd, a hash(hash(passwd)+salt).
сервис считает свой hash(hash(passwd)+salt), и авторизует при совпадении.
отличие от тупой авторизации по паролю — что при перехвате траффика злоумышленик получает не полноценный пароль, а лишь одноразовый хеш (ибо соль одноразовая), с которым он не сможет авторизоваться самостоятельно.
Есть какие минусы у такой схемы?
НЛО прилетело и опубликовало эту надпись здесь
Да, такая схема плохо себя ведет при угоне базы паролей (например, через sql injection). Злоумышленник сразу получает все, что ему необходимо для доступа к сайту (hash(passwd)), в отличие от стандартной схемы, где ему еще надо было бы восстановить прообраз хеша.
НЛО прилетело и опубликовало эту надпись здесь
Хм, хранить hash(hash(passwd)+salt), а от пользователя передавать hash(passwd). Передается хеш пароля, а все остальное аналогично обычной практике. Можно даже мигрировать безболезненно, если изначально хеши без соли или с единой солью salt1 — hash(pass+salt1), можно перешифровать в hash(hash(pass+salt1)+salt2) и передавать salt1 в случае с единой солью.
И пароль не передается, и слив базы ничего не даст
И пароль не передается, и слив базы ничего не даст
Скорее всего нет, просто сейчас при вашей успешной авторизации «хабр» знает ваш пароль в открытом виде и хеш от него, и соответсвенно после успешной авторизации может вам сказать, что пароль слабоват/коротковат/етц.
Никогда не понимал, на кой черт нужны такие «требования к безопасности», при которых, каждый раз при слетевшей авторизации приходится по 5 минут, как дурак, вспоминать, а какие же на этом конкретном сайте условия на пароль накладывались?
Защита должна быть адекватна ценности информации, если пользователей устраивали простые пароли, то зачем создавать им лишний головняк?
И так всех мучаете это жуткой капчей и постоянно слетающией авторизацией, теперь сделали подлянку для мобильных устройств.
И так всех мучаете это жуткой капчей и постоянно слетающией авторизацией, теперь сделали подлянку для мобильных устройств.
15 символов с спецсимволами и цифрами — слишком простой?
Офтопик, но вот, внезапно, спросить негде.
Boomburum, а за каким фигом меня просят принять соглашение тостера, когда я пытаюсь открыть Q&A?
Boomburum, а за каким фигом меня просят принять соглашение тостера, когда я пытаюсь открыть Q&A?
Мда, вопрос можно снять. Анонсы теперь делать не можно. Ни про Авторизацию, ни про Q&A.
Знаете, мне не интересно читать про конференцию Toster. Поэтому, угадайте, читал ли я соседний топик про то, что Q&A теперь Тостер? И лицензионное соглашение выглядит так, как будто я сейчас передам свои данные левой компании. Да, соглашения (в отличии от топиков про Тостер) я читаю, на свою голову.
Знаете, мне не интересно читать про конференцию Toster. Поэтому, угадайте, читал ли я соседний топик про то, что Q&A теперь Тостер? И лицензионное соглашение выглядит так, как будто я сейчас передам свои данные левой компании. Да, соглашения (в отличии от топиков про Тостер) я читаю, на свою голову.
Меня QA-раздел вообще встретил 500ой ошибкой
Угу, теперь мой пароль из 12 символов, но без цифр в нём — небезопасен )
Есть такая идея по поводу секурности пароля — посчитать количество вариантов брутфорса для его алфавита (cкажем, для пароля из строчных латинских букв в 12 символов количество вариантов будет 2612 ≈ 9.54 * 1016) и сравнить с требуемым (для 8-значного пароля из разнокалиберных цифробукв (26+26+10)8 ≈ 2.18 * 1014 — на два с половиной порядка меньше).
Алфавит — не в смысле символы, используемые в пароле, а по классам символов — строчные, заглавные буквы, цифры и спецсимволы.
Алфавит — не в смысле символы, используемые в пароле, а по классам символов — строчные, заглавные буквы, цифры и спецсимволы.
Дело в том, что у части пользователей Хабра были простые паролиСтоп. Откуда вы знаете насколько прост мой пароль? Не в открытом ли виде он хранится?
Читать комментарии полезно.
Однажды на хабре был пост про простые пароли… Я там написал, что мой пароль dmitriy, попутно сменив на новый, нормальный и безопасный :)
С тех пор везде завожу разные безопасные и достаточно длинные пароли.
С тех пор везде завожу разные безопасные и достаточно длинные пароли.
как оказалось, можно не обновлять ;)
Моя позиция (правда по отношению к другому сервису рассказана, но какая разница) выражена тут:
habrahabr.ru/company/wargaming/blog/193974/#comment_6735392
habrahabr.ru/company/wargaming/blog/193974/#comment_6737616
Если вкратце — оставьте сложность пароля ответственностью самого пользователя, пожалуйста. И чётко про это где-нибудь напишите. Не надо пытаться делать не свою работу.
habrahabr.ru/company/wargaming/blog/193974/#comment_6735392
habrahabr.ru/company/wargaming/blog/193974/#comment_6737616
Если вкратце — оставьте сложность пароля ответственностью самого пользователя, пожалуйста. И чётко про это где-нибудь напишите. Не надо пытаться делать не свою работу.
А позиция ТМ тоже уже сто раз выражена. Когда пользователя с простым паролем ломают ради аккаунте или спама на хабре — виноват почему-то не пользователь, а ТМ. Поэтому и капча. Поэтому и забота о пароле.
Это — СЛЕДСТВИЕ такого подхода, о чём я в своих комментариях по ссылкам и писал. В данном случае Хабра берёт на СЕБЯ ответственность за обеспечение безопасности со стороны ПОЛЬЗОВАТЕЛЯ — и не может полностью её обеспечить, потому что полезла не на своё поле. Ну а ответственность то она взяла — потому то она и виновата. Тут ей же могло быть проще без подобного подхода, но нет — она сама себе — да ещё и нормальному большинству пользователей — злая буратина.
Не КРИЧИТЕ на меня. :)
Вот с одной стороны, я понимаю пользователей — я сам возмущаюсь, когда кто-то решает, какой мне пароль иметь. Альфа-банк например, уже достал меня сменой пароля раз в три месяца.
С другой стороны, я понимаю ТМ — пользователей настолько много, что за всеми не уследить. Кто-то рассказывал, что смысл в взломе был такой — проходились по всем аккаунтам со списком частых паролей, и получали доступ к десятку-другому акков. Имея доступ к 10 акаунтам, можно запостить 10 топиков с рейтингом в 9, что позволит выползти на главную. Это никому не надо.
К хабру сложно подходить с принципами работы с почтой, например. Почту может кто угодно зарегистрировать, и вашу будут взламывать только если нужны именно вы. А акк на хабре ценен сам по себе
Кстати, все что я написал выше — бессмысленно. Все равно ТМ лучше знают что у них там с авторизацией и взломами, и менять систему будет только по своему мнению.
Вот с одной стороны, я понимаю пользователей — я сам возмущаюсь, когда кто-то решает, какой мне пароль иметь. Альфа-банк например, уже достал меня сменой пароля раз в три месяца.
С другой стороны, я понимаю ТМ — пользователей настолько много, что за всеми не уследить. Кто-то рассказывал, что смысл в взломе был такой — проходились по всем аккаунтам со списком частых паролей, и получали доступ к десятку-другому акков. Имея доступ к 10 акаунтам, можно запостить 10 топиков с рейтингом в 9, что позволит выползти на главную. Это никому не надо.
К хабру сложно подходить с принципами работы с почтой, например. Почту может кто угодно зарегистрировать, и вашу будут взламывать только если нужны именно вы. А акк на хабре ценен сам по себе
Кстати, все что я написал выше — бессмысленно. Все равно ТМ лучше знают что у них там с авторизацией и взломами, и менять систему будет только по своему мнению.
Я не кричу, мне просто лень теги bold или underline ставить :) Я выделяю слова :)
Хабр — саморегулирующееся сообщество. Ну взломает кто-то 10 аккаунтов, выведет топик на главную… И этот топик благополучно сольёт сотня хабровчан. Толку — чуть. Больше шума…
А вот ответственность брать на себя, которую всё равно никогда не сможешь полностью обеспечить — моветон.
Хабр — саморегулирующееся сообщество. Ну взломает кто-то 10 аккаунтов, выведет топик на главную… И этот топик благополучно сольёт сотня хабровчан. Толку — чуть. Больше шума…
А вот ответственность брать на себя, которую всё равно никогда не сможешь полностью обеспечить — моветон.
del
Не заставили, лишь попытались заставить. Клик по своему нику в верхнем правом углу — и спокойно попадаешь в настройки, без необходимости менять пароль. Далее снова тыкаешь на хабре «зайти через ТМ ID» и voilà
я закрыл это окошко и вошел без его смены :). Не хорошо так заставлять людей внезапно выдумывать новые пароли
Логинитесь, видите просьбу сменить пароль, закрываете вкладку, тыцкаете на хабре «войти», страница перегружается, вуаля, вы залогинены со старым паролем =)
Скоро попросят сканы счетов ЖКХ.
Очнитесь. Это просто еще один сетевой ресурс. Если я отношусь к нему серьезно — у меня будет сложный сгенерированный пароль без всяких напоминаний. Если мне все равно — можно я буду пользоваться именем своего первого хомячка, а? И можно я буду с одного и того же статического айпи заходить уже без капчи каждые несколько дней, а?
Через год уже пиццу будет не заказать без сложносочиненного пароля с использованием трехэтапной авторизации.
Очнитесь. Это просто еще один сетевой ресурс. Если я отношусь к нему серьезно — у меня будет сложный сгенерированный пароль без всяких напоминаний. Если мне все равно — можно я буду пользоваться именем своего первого хомячка, а? И можно я буду с одного и того же статического айпи заходить уже без капчи каждые несколько дней, а?
Через год уже пиццу будет не заказать без сложносочиненного пароля с использованием трехэтапной авторизации.
Я подумал редизайн хабра, когда мне окно авторизации показалось.
Надеюсь теперь не нужно будет заново авторизироваться каждые несколько дней, а то в последний месяц как-то напрягало. Заходишь на хабр и тут ни с того ни с сего опять нужно капчу разгадывать.
НЛО прилетело и опубликовало эту надпись здесь
Честно говоря не любитель — стоит потерять по какой-либо причине доступ к этому аккаунту и потеряешь доступ к куче других сайтов. Да и не сильно утруждало, пока хабровские куки авторизации работали по 30 дней ;)
Запомнить логин+пароль, а после привязать к нескольким социалкам? (в списке доступных ещё github, назвать его социалкой правда… трудно).
НЛО прилетело и опубликовало эту надпись здесь
А если забанят аккаунт вконтакте?
НЛО прилетело и опубликовало эту надпись здесь
Когда случится будет поздно :) Это как бакапы делать. А если ВК забанят? Тоже пока не случалось…
Да мало ли почему. За нарушение их правил.
Вот про фейсбук был пост на эту тему habrahabr.ru/post/166643/
Вот про фейсбук был пост на эту тему habrahabr.ru/post/166643/
Так на сайте обычно никто не мешает иметь логин+пароль+привязку к социалке. Ну забанят аккаунт, у меня ещё есть Gmal, Twitter, Github и свой пароль…
А мне наоборот недавно пришлось отказаться от авторизации по соцсети… по какой-то причине перестала работать авторизация на MySku через вконтактик… благо там можно было авторизоваться по логин-паролю, а что делать в случаях если бы нельзя было?
Вот меня тоже не пустило на хабр по е-мейлу(может там логин регистрочувствительный стал?) пришлось зайти через гуглплюс, но если бы у меня не было ни одной из перечисленных соцсетей? Или не захотел светить аккаунт, а новый создавать только для цели логина — это бред.
Вот меня тоже не пустило на хабр по е-мейлу(может там логин регистрочувствительный стал?) пришлось зайти через гуглплюс, но если бы у меня не было ни одной из перечисленных соцсетей? Или не захотел светить аккаунт, а новый создавать только для цели логина — это бред.
Т.е. если не хочется раскрывать хабру свои соц. данные, то придётся регулярно вбивать капчу? На зло, так сказать.
Хабр — единственная соцсеть, которой я пользуюсь. Нет меня не в гугле, ни в контакте, ни на фейсбуке, ни в твитере.
И что делать теперь? Зачем это хабру надо зависеть от других?
И что делать теперь? Зачем это хабру надо зависеть от других?
Был у меня один ресурс, который я часто посещал, а будет — один ресурс, который я часто посещал, и ещё какие-то, на которые меня загоняют :-)
Логин/пароль от хабра не работает. Работает только имейл/пароль от хабра.
НЛО прилетело и опубликовало эту надпись здесь
Авторизация на Хабре фантастически слоупочит. После авторизации на TM ID проходит минут 10 перед тем, как хабр отреагирует хоть как-то. 1й раз я оказался залогинен на хабре минут через 10 после логина, 2й — через 5 минут вместо «войти» показалась кнопка «войти чемез tmid», по нажатию которой Хабр обновился, но уже залогиненным.
boomburum, а почему не прикрутили ко всему этому многофакторную аутентификацию на основе тех же Рутокен Web? Если уж делать сервис аутентификации, то надо вообще уйти от чисто парольной защиты.
Отлично. Заодно вспомнил, что почта регистрации от давно проданного домена. Хорошо, привязал к Google+
Кстати, вы считаете пароли длинной в 15 символом со спецсимволами и разными регистрами в нём, но без цифр, слабым?
Я как-то не вижу смысла его менять, ибо помню его наизусть. А новый — ещё надо будет запоминать.
Честно говоря, из-за глюка с задержкой авторизации думал, что меня не пускают именно из-за пароля. И уже собирался ругаться с поддержкой )
Я как-то не вижу смысла его менять, ибо помню его наизусть. А новый — ещё надо будет запоминать.
Честно говоря, из-за глюка с задержкой авторизации думал, что меня не пускают именно из-за пароля. И уже собирался ругаться с поддержкой )
Дуров, верни «стену»!
К концу дня можно будет начинать составлять статистику, кто насколько параноик в придумывании пароля)
Блин, ну кто так меняет авторизацию. Вместо логина теперь емейл. У меня логин/пароль сохранены в браузере, а емейл я и не помню, какой указывал. Благо догадался поискать, куда мне письма приходили. Ужас.
Не хотите менять пароль — не меняйте, это уведомление можно игнорировать.
Об этом надо ещё догадаться.
Чтобы зайти без смены пароля надо:
1) зайти на хабр
2) нажать на вход
3) авторизоваться на tmtm
4) вернуться на хабр
5) нажать на вход
Чтобы зайти без смены пароля надо:
1) зайти на хабр
2) нажать на вход
3) авторизоваться на tmtm
4) вернуться на хабр
5) нажать на вход
а можно просто методом тыка. как я, собственно говоря, и сделал =)
Я так и сделал. Проигнорировал предложение изменить пароль на тостере, вернулся на хабр, повторно нажал на кнопку авторизации и «дело в шляпе». Это очевидная последовательность действий и потому многие пошли этим путем. А немногие заменили пароль на новый без спецсимволов :)
З.Ы. мое замечание касается тех, кто не пользуется соцсетями.
З.Ы. мое замечание касается тех, кто не пользуется соцсетями.
Без проблем авторизовался через соцсеть. Паролем на Хабре не пользуюсь, т.к. капча доставляет.
Дайте возможность сменить почту без смены пароля
Так вот почему авторизация в последние дни постоянно слетала. А то меня уже завалили на почте сообщениями что в приложении лента не грузится. Попутно хотелось спросить — а планируется ли, наконец, реализовать какой-нибудь Хабра API?
Сначала подумал, что кто-то хитрый вымогает у меня логин с паролем. Потом долго ругался на того, кому пришла гениальная идея оставить вход только по e-mail, тогда как на хабр всю жизнь заходил по логину.
Сделать изменения и оповестить постфактум — тоже очень хорошо.
mod:evil.
Сделать изменения и оповестить постфактум — тоже очень хорошо.
mod:evil.
ID TM будет использоваться не только для Хабра, но и для других проектов, где другие пользователи, возможно, захотят использовать разные логины. Поэтому вход по почте.
Я прекрасно понимаю вашу логику. Сам такие формы входа проектировал. Только можно было оставить вход по логину хабра на первое время и кидать на страницу с нотайсом о том, что дальнейший логин возможен только по почте + предложение эту почту сменить.
Вот это был бы нормальный UX. А многие старожилы свои почты позабывали уже. Я свою минут 20 пытался вспомнить.
Вот это был бы нормальный UX. А многие старожилы свои почты позабывали уже. Я свою минут 20 пытался вспомнить.
Какое мне дело до других пользователей, которые, возможно, чего-то там захотят?
«Постфактум» — это мягко сказано.
Не просто при следующем входе на хабру, а прямо во время чтения статьи (был авторизован), разлогинило.
Не просто при следующем входе на хабру, а прямо во время чтения статьи (был авторизован), разлогинило.
Это теперь на вопросы, которые я раньше задавал почтенной аудитории Хабра, будут отвечать, голосуя друг за дружку, школьники, понабежавшие с «Вопросов Меил.ру»?
Присоединяю и мой голос к хору старожилов Хабрахабра, недовольных необходимостью вспомнить и использовать адрес e-mail.
Адрес ведь ещё и набирать дольше, чем просто login.
Адрес ведь ещё и набирать дольше, чем просто login.
А как вы комментарии читаете? Они у вас разве на почту регистрации не приходят как у всех?
Приходят.
Вот только они при этом у меня проходят с десяток пересылок, а акк зареген не на мыло которое я читаю.
А все извещения стираю, как хлам.
Еле вспомнил какой ящик должен быть, что бы зайти.
Вот только они при этом у меня проходят с десяток пересылок, а акк зареген не на мыло которое я читаю.
А все извещения стираю, как хлам.
Еле вспомнил какой ящик должен быть, что бы зайти.
Я не читаю комментарии.
Да, они приходят мне на почту — но почтовик, на неё настроенный, я не таскаю с собой беспрерывно и не пользуюсь вебоинтерфейсом.
Да, они приходят мне на почту — но почтовик, на неё настроенный, я не таскаю с собой беспрерывно и не пользуюсь вебоинтерфейсом.
Уважаемые Тематические Медиа! Абсолютное большинство пользователей Хабрахабра и иных ваших проектов — умные люди с высокой компьютерной грамотностью. Мы прекрасно понимаем риски, которые несет в себе использование слишком простых паролей и способны нести за эти риски необходимую ответственность. Исходя из этого, я очень прошу администрацию Хабрахабра (и, надеюсь, многие меня поддержат) — пожалуйста, дайте нам самим право выбирать себе пароли исходя из желаемого нами баланса безопасности и удобства!
Не мне рассказывать вам, как раздражают пользователей, особенно, грамотных пользователей, формальные критерии, препятствующие установке «плохого» с точки зрения системы пароля. Было бы благородным шагом доверия по отношению к посетителям ваших прекрасных ресурсов предоставить им самим полную свободу выбора пароля от своего аккаунта в соответствии c желаемым ими балансом безопасности и легкости запоминания, начиная от «pass123», и заканчивая «P%:?*GhJJH7**РОpE», оставив лишь рекомендательное предупреждение для слишком легких паролей. Прошу вас рассмотреть возможность оказать пользователям ваших проектов тот уровень доверия и уважения, который они заслуживают, полностью отключив жесткие формальные ограничения на параметры паролей от наших аккаунтов.
Спасибо.
Не мне рассказывать вам, как раздражают пользователей, особенно, грамотных пользователей, формальные критерии, препятствующие установке «плохого» с точки зрения системы пароля. Было бы благородным шагом доверия по отношению к посетителям ваших прекрасных ресурсов предоставить им самим полную свободу выбора пароля от своего аккаунта в соответствии c желаемым ими балансом безопасности и легкости запоминания, начиная от «pass123», и заканчивая «P%:?*GhJJH7**РОpE», оставив лишь рекомендательное предупреждение для слишком легких паролей. Прошу вас рассмотреть возможность оказать пользователям ваших проектов тот уровень доверия и уважения, который они заслуживают, полностью отключив жесткие формальные ограничения на параметры паролей от наших аккаунтов.
Спасибо.
К сожалению стоит признать, что уважения нет и не будет. Требование на сложность пароля само по себе показывает, что пользователей считают некомпетентным отребьем, которое надо строить, потому что «мы умнее», или, что тоже не редко — потому что просто лень думать о пользователях и проще делать так как привычно. То, что такое требование сложности нарушает безопасность пользователя и/или понижает удобство пользования сервисом — всем плевать. И к сожалению это даже не проблема хабра, это повсеместно. Но если какой то банк еще понять можно, то всех остальных — нет.
Отдельно хочется хочется заметить, что вход на хабре был по логину, если честно я за три года уже успел забыть на какой email я был зареган, а тут оп — и входить нужно уже по нему. Почему нельзя было сделать вход по логину (плюс возможно и по емейлу, кому как удобнее) и дальше?
Ну и отдельный пункт про капчу. Сотню другую раз, пару лет уже, люди аргументированно просят ее убрать для первой попытки входа, особенно в условиях, когда хабр внезапно и непредсказуемо забывает пользователя — воз и ныне там.
Нет никакого уважения, увы
P.S. повесил еще одну бумажку с еще одним сложным паролем от еще одного супер-умного сервиса
Отдельно хочется хочется заметить, что вход на хабре был по логину, если честно я за три года уже успел забыть на какой email я был зареган, а тут оп — и входить нужно уже по нему. Почему нельзя было сделать вход по логину (плюс возможно и по емейлу, кому как удобнее) и дальше?
Ну и отдельный пункт про капчу. Сотню другую раз, пару лет уже, люди аргументированно просят ее убрать для первой попытки входа, особенно в условиях, когда хабр внезапно и непредсказуемо забывает пользователя — воз и ныне там.
Нет никакого уважения, увы
P.S. повесил еще одну бумажку с еще одним сложным паролем от еще одного супер-умного сервиса
Ну и отдельный пункт про капчу. Сотню другую раз, пару лет уже, люди аргументированно просят ее убрать для первой попытки входа, особенно в условиях, когда хабр внезапно и непредсказуемо забывает пользователя — воз и ныне там.
Они уже пару раз рассказывали, почему так. Вкратце — когда-то начали брутить не какой-то определённый аккаунт, а вообще все подряд по определённому паролю (qwerty12345 наверняка подйдёт к 1-5 из 1000 аккаунтов). И злоумышленникам это принесло определённый успех, так как «один раз» каждый аккаунт всё же можно было «попробовать» (имея огромный список проксей). Это, кстати, к вопросу о том, что «все и так используют сложные пароли, зачем заставлять делать сложный».
А когда капча показывается сразу, вероятность что-то сбрутить сводится почти к 0 (индусов для ввода капч не предлагать). Так что тут разработчиков понять можно. Тем более, когда предоставляется возможность логиниться через что-то ещё, минуя капчу. И тем более, когда у вас теперь не отдельный аккаунт для каждого сайта, а один для всех (все яйца в одной корзине). Если дальше сервисы будут интегрировать друг в друга, то это будет только круто (за примером далеко ходить не надо — в Google или Apple используется один аккаунт для всех сервисов).
Так что не порите горячку =)
Нет никакой горячки, я в курсе про брутфорс логина по паролю. Вот только кто бы объяснил почему эта проблема существует только на хабре? Почему яндекс, гугл, контакт, фейсбук и еще сотни других крупных и не очень сервисов не просят вводит капчу при каждом логине? Наверно у них либо какое то тайное знание, либо они при выборе компромисса встают на сторону удобства пользователя, а с брутфорсами и прочей подозрительной активность борятся самостоятельно (а с ними надо бороться, и кстати индусов вы зря выкинули). А ТМ не хочет бороться с брутами — проще забахать капчу и пусть пользователи с ней расхлебываются.
Более того, частичное решение предлагалось даже мною, и года не прошло, но тактично осталось без ответа и аргументов как против так и за.
Кстати. Мне просто не было необходимости, поэтому спрошу — раньше можно было поменять email для аккаунта? Просто сейчас можно — а раз так, то единожды взломанный акк уводится навсегда.
Про интеграцию это вообще отдельная тема. Ничего хорошего в принудительной интеграции нет и не будет. Как и во всем принудительном.
Более того, частичное решение предлагалось даже мною, и года не прошло, но тактично осталось без ответа и аргументов как против так и за.
Кстати. Мне просто не было необходимости, поэтому спрошу — раньше можно было поменять email для аккаунта? Просто сейчас можно — а раз так, то единожды взломанный акк уводится навсегда.
Про интеграцию это вообще отдельная тема. Ничего хорошего в принудительной интеграции нет и не будет. Как и во всем принудительном.
Не думаю, что у гугла итд есть какое-то отдельное знание, разница заключается в следующем. Уведя акк на Хабре, вы получаете возможность на милионную аудиторию выложить что угодно (вспомните хотя бы политические видики перед выборами), причём под это подходит любой аккаунт с положительной кармой (раньше это был список юзеров, который недавно убрали). То есть злоумышленника устроить «хоть какая-нибудь добыча». В то время как увод «хоть какого-нибудь» произвольного аккаунта на гмейле не даст ровным счётом ничего (кроме личной переписки юзера, которая может не представлять интереса). Ну украли вы произвольный аккаунт на ютубе, разместили с него видео, его милионная аудитория не посмотрит = прфоита нет. В фейсбуке/вконтакте информацию также увидят только подписчики — поэтому там есть смысл уводить только какие-нибудь определённые аккаунты (с большим количеством подписчиков, с админскими правами в больших группах итд). В то время как увести «определённый аккаунт» на Хабре сейчас совсем сложно (даже с индусами).
Поправьте меня, если я не прав.
Поправьте меня, если я не прав.
Поправлю вас — вы не правы. Ваши слова как раз иллюстрируют тот факт, что вместо того чтобы платить зарплату нескольким модераторам (которые кстати на хабре есть, несмотря на заявленное саморегулирование), которые будут выпиливать такие откровенно политические вбросы, наш любимый коммерческий ресурс перекладывает решение проблемы на самих пользователей.
Вы попробуйте что-нибудь такое тут опубликовать? Ваш топик вместе с вами будет кармически выпилен, а затем вы с ним будете оперативно выпилены администрацией. А «миллионная аудитория» даже ни о чем не узнает, так как до главной топик не доживет.
И напомню — решения существуют. Как минимум то, что по ссылке в моем предыдущем комментарии
Вы попробуйте что-нибудь такое тут опубликовать? Ваш топик вместе с вами будет кармически выпилен, а затем вы с ним будете оперативно выпилены администрацией. А «миллионная аудитория» даже ни о чем не узнает, так как до главной топик не доживет.
И напомню — решения существуют. Как минимум то, что по ссылке в моем предыдущем комментарии
Flagman в целом прав. Когда политические темы начали всплывать, нам пришлось сделать хитрую штуку (не буду о ней подробно рассказывать, чтобы сложнее было пакостить), чтобы «нечистоты» выпиливались с сайта даже в новогоднюю ночь. В то время как саморегуляция срабатывала не всегда — порой люди плюсовали подобные посты «по приколу».
Непонятно, чем вас так пугает капча, в то время как на сайте доступно несколько соц.сетей для входа в один клик.
Непонятно, чем вас так пугает капча, в то время как на сайте доступно несколько соц.сетей для входа в один клик.
Да она никогда не работала на 100% эта саморегуляция, никогда не понимал почему официально хабр постулирует ее как суперфичу, а в комментариях ее представители периодически жалуются что она не всегда работает. Дайте право топ-30-50 пользователей (по карме или по рейтингу, не важно) право модерировать посты (закрыл/открыл) по четким критериям и с лишением такого права в случае самоуправства и всё, больше не нужны будут никакие хитрости. Это логичное расширение саморегуляции, т.к. люди в топе тоже не просто так оказываются.
стопятьсотый очередной раз объяснил бы чем плоха капча (особенно такая нечитаемая), но так как вы теперь представитель администрации, то просто погрущу и ныть не буду. Клиническое непонимание того, что существенной части пользователей она чрезвычайно неудобна очень расстраивает. Так же как не менее клиническая уверенность что все мечтают хабр связать с гитхабами и соцсетями, которых у них может и вовсе не быть.
Непонятно, чем вас так пугает капча, в то время как на сайте доступно несколько соц.сетей для входа в один клик.Бурум… если бы это был вопрос просто пользователя, которым когда то ты был, я бы может
Одно дело — когда капчу надо вводить каждый раз при входе, написании комментария (о ужас) или чего-то ещё частого. Но когда её надо один раз ввести, чтобы настроить аккаунт и дальше забыть о ней как таковой — действительно не вижу проблему. Зато в остальных случаях она решает многие проблемы (а потому и сложная — предыдущая «простая» не решала).
Одно дело — когда капчу надо вводить каждый раз при входеМы что, на разных ресурсах живем? Капчу и надо вводить каждый раз при входе. Щас даже специально разлогинился проверить, может что поменялось — нет, нужно вводить для входа как и раньше
На сайте-то на одном, но я едва помню свой пароль (он сложный и живет в 1password) — всегда вхожу через любую из соц.сетей, которые привязаны к аккаунту. Аналогично с остальными нашими проектами — капчу последний раз вводил… хотя нет, буквально на днях, когда тестировали TM ID, а до этого давно не вводил :)
Аргументы про ключницу видятся примерно в таком свете:
Мы сделали такую супер-надежную, защищенную, и сложную в использовании систему авторизации по паролю с капчей, что теперь ей никто не пользуется, даже мы сами.
Зато мы настоятельно рекомендуем подключить к «ключнице» все возможные соц. сети (у каждой из которых куда более мягкие требования к авторизации и нет капчи), чтобы злоумышленник имел возможность выбора, какую из 5 сетей взломать, чтобы получить доступ к вашему аккаунту.
То есть, переводя на русский: мы сделали все, чтобы пользователи подключили соц сети к своему аккаунту, а те кто это не сделал пусть мучаются с капчей?
Я стараюсь обходить стороной сервисы с внешней авторизацией и по комментам я не один такой. В данный момент захожу на хабр с 4х разных девайсов, причем 2 из них мобильные. Каждый ввод капчи с мобильника или с планшета, это геморрой.
Я стараюсь обходить стороной сервисы с внешней авторизацией и по комментам я не один такой. В данный момент захожу на хабр с 4х разных девайсов, причем 2 из них мобильные. Каждый ввод капчи с мобильника или с планшета, это геморрой.
Такое ощущение, что у меня какая-то другая капча. На телефоне и планшете постоянно приходится логиниться — досадно, да, но капча таких эмоций все же не вызывает.
Я даже больше скажу, капча тут вообще офигенная, хоть глаза не ломаю.
Или пользователей не устраивает в принципе наличие какой бы то ни было капчи?
Я даже больше скажу, капча тут вообще офигенная, хоть глаза не ломаю.
Или пользователей не устраивает в принципе наличие какой бы то ни было капчи?
Супер! Т.е. на тех кто не пользуется соц.сетями вы просто забили! Ты вот уже даже и не помнишь что такие есть, а они есть и жалуются годами. И ощущение что никто в ТМ не помнит про них. Не предупредили, не подумали, навязали своё решение без тестирования, моделирования и анализа. Не продумали элементарных вещей при внедрении. И это крупнейший IT-ресурс в РФ? Да это слон в посудной лавке, ребята.
Скажите, а какая капча у вас? по каким словам гуглить, чтобы прикрутить её к phpbb? Боты достали (
кстати модераторам можно даже и не платить, наверняка найдутся добровольцы и среди местных
Ну с капчей повоображать можно много — например как у Steam — первый раз капча не показывается, при вводе неверного пароля первый раз — не показывается, а после второго появляется, при этом выставляется на несколько часов для IP.
Можно сделать посложнее: первый раз не показывается, после первого ошибочного входа появляется для этого IP на сутки.
Ну и там скажем сохранять хеши паролей без соли на полчаса, если хеш такой уже был за это время, но у другой учетки, автоматически делать редирект на неверный пароль даже если пароль правильный (т.е. даже если пароль правильный, ответ будет что пароль неверный, отобразится капча, и при вводе этого же пароля с капчей авторизация произойдет успешно). Аналогично при попытках захода под одним логином с разных IP без капчи — метить логин на 30 минут и редиректить на авторизацию с капчей. Хранить получается будет нужно только время входа и хеш/логин, при повторах обновлять время, раз в несколько минут удаляя все авторизации больше этого времени…
(cast Boomburum — такая идея была у вас, или нет?)
Вариантов много ведь придумать можно…
Можно сделать посложнее: первый раз не показывается, после первого ошибочного входа появляется для этого IP на сутки.
Ну и там скажем сохранять хеши паролей без соли на полчаса, если хеш такой уже был за это время, но у другой учетки, автоматически делать редирект на неверный пароль даже если пароль правильный (т.е. даже если пароль правильный, ответ будет что пароль неверный, отобразится капча, и при вводе этого же пароля с капчей авторизация произойдет успешно). Аналогично при попытках захода под одним логином с разных IP без капчи — метить логин на 30 минут и редиректить на авторизацию с капчей. Хранить получается будет нужно только время входа и хеш/логин, при повторах обновлять время, раз в несколько минут удаляя все авторизации больше этого времени…
(cast Boomburum — такая идея была у вас, или нет?)
Вариантов много ведь придумать можно…
Аналогичная ситуация с почтой. Причём, если на других ресурсах можно получить почту по логину, то тут этого нет. Т.е. каким образом мне вспоминать почту, не понятно.
Пришлось писать в саппорт — т.е.
1. Переходить на хабру,
2. Искать ссылку «обратная связь», кликать по ней,
3. Выбирать какой же это тип вопроса,
4. Описывать всю ситуацию и
5. Ждать ответа (ответ пришёл сразу через 30-40 минут).
Конечно же это удобнее.
Пришлось писать в саппорт — т.е.
1. Переходить на хабру,
2. Искать ссылку «обратная связь», кликать по ней,
3. Выбирать какой же это тип вопроса,
4. Описывать всю ситуацию и
5. Ждать ответа (ответ пришёл сразу через 30-40 минут).
Конечно же это удобнее.
Подача этого нововведения заслуживает отдельных лучей ненависти.
У меня цепочка была попроще
1. подозрительная надпись вместо «войти» (войти через какой то ТМ ID). пару минут анализа — не взломали ли любимую хабру, не цепанул ли я грешным делом какой зловредный код. Ну оки, попробуем
2. ВАУ. Что это за непонятная хрень, хоть и симпатичная, но ничем не выдающая свою принадлежность к хабру. После внимательного прочтения вижу что могу использовать аккаунт о toster.ru (это что за хреновина? первый раз слышу). Про хабр ни слова, почему я тут и что мне надо делать? Никакой инструкции, никакой информации, ничего. Ладно, попробуем
3. Автофокус падает сразу в первое поле, поэтому то, что там написано E-mail — не увидеть, остается только серая невзрачная иконка конверта (только щас ее заметил).
4. Попытка войти как привык входить на хабр (на фоне всё же неуверенности а это вообще не левак какой то). Как обычно 2-3 попытки ввести капчу. Ниче не происходит… а нет, сверху (вне локуса внимания) появляется плашка. ВАУ нет такого emaila или пароля. Инерциально пробую еще раз, может с паролем ошибся. Еще 2-3 капчи. Опять мимо.
5. Ясно что ничего не ясно, читаю ленту хабра, должна же быть инфа что это. Нахожу это топик на 2-й странице (спасибо что сподобились хоть тут написать, правда как я ее нашел не знаю, сейчас ее не видно для незалогиненных в главное ленте), теперь все понятно. А какое у меня мыло? Дайте ка подумать. Аллах милостив, вспоминаю, что где то среди 15 моих ящиков мелькают уведомления с хабра и вроде я не любитель переадрессации почты (еще раз спасибо всевышнему). Переключаюсь в Бата, ищу по всем ящикам habrahabr.ru. Вот она, родная.
6. Попытка еще раз войти. Еще 2-3 капчи
PROFIT
Я специально проверил ящик (уже проведя расследования который из них) на предмет может сервис позаботился хотя бы написать мне на почту об изменениях в порядке авторизации. Хрена. О каком уважении может идти речь?
У меня цепочка была попроще
1. подозрительная надпись вместо «войти» (войти через какой то ТМ ID). пару минут анализа — не взломали ли любимую хабру, не цепанул ли я грешным делом какой зловредный код. Ну оки, попробуем
2. ВАУ. Что это за непонятная хрень, хоть и симпатичная, но ничем не выдающая свою принадлежность к хабру. После внимательного прочтения вижу что могу использовать аккаунт о toster.ru (это что за хреновина? первый раз слышу). Про хабр ни слова, почему я тут и что мне надо делать? Никакой инструкции, никакой информации, ничего. Ладно, попробуем
3. Автофокус падает сразу в первое поле, поэтому то, что там написано E-mail — не увидеть, остается только серая невзрачная иконка конверта (только щас ее заметил).
4. Попытка войти как привык входить на хабр (на фоне всё же неуверенности а это вообще не левак какой то). Как обычно 2-3 попытки ввести капчу. Ниче не происходит… а нет, сверху (вне локуса внимания) появляется плашка. ВАУ нет такого emaila или пароля. Инерциально пробую еще раз, может с паролем ошибся. Еще 2-3 капчи. Опять мимо.
5. Ясно что ничего не ясно, читаю ленту хабра, должна же быть инфа что это. Нахожу это топик на 2-й странице (спасибо что сподобились хоть тут написать, правда как я ее нашел не знаю, сейчас ее не видно для незалогиненных в главное ленте), теперь все понятно. А какое у меня мыло? Дайте ка подумать. Аллах милостив, вспоминаю, что где то среди 15 моих ящиков мелькают уведомления с хабра и вроде я не любитель переадрессации почты (еще раз спасибо всевышнему). Переключаюсь в Бата, ищу по всем ящикам habrahabr.ru. Вот она, родная.
6. Попытка еще раз войти. Еще 2-3 капчи
PROFIT
Я специально проверил ящик (уже проведя расследования который из них) на предмет может сервис позаботился хотя бы написать мне на почту об изменениях в порядке авторизации. Хрена. О каком уважении может идти речь?
1-2. Писать в форму обратной связи можно было прямо с TM ID.
3. Сложная задача? :) Зато помогает сортировать тикеты в суппорте и тас расставлять приоритеты по обработке.
4. Иногда для решения проблемы, о ней надо рассказать, да.
5. У нас нет отдельного штата службы поддержки. Ответ в 30-40 минут вполне обоснован (во время запуска проекта), в то время как в обычное время часто отвечают в течение нескольких минут — некоторые сайты отвечают дни, а то и недели.
Проблема решилась? Если нет, то пишите в личку, поможем )
3. Сложная задача? :) Зато помогает сортировать тикеты в суппорте и тас расставлять приоритеты по обработке.
4. Иногда для решения проблемы, о ней надо рассказать, да.
5. У нас нет отдельного штата службы поддержки. Ответ в 30-40 минут вполне обоснован (во время запуска проекта), в то время как в обычное время часто отвечают в течение нескольких минут — некоторые сайты отвечают дни, а то и недели.
Проблема решилась? Если нет, то пишите в личку, поможем )
1-2. У вас где-то на TM ID явным образом указано, что при проблемах с логином на Хабр надо писать не в саппорт Хабра, а в саппорт TM ID?
По пунктам 3-4 комментариев нет.
По пункту 5 — последнее дело сравнивать себя с другими, более плохими проектами, типа «во-во, на них посмотрите, у них ответы из саппорта по неделе ждать приходится».
По ситуации: прилепили бы топик куда-нить, а? Люди реально пугаются.
По пунктам 3-4 комментариев нет.
По пункту 5 — последнее дело сравнивать себя с другими, более плохими проектами, типа «во-во, на них посмотрите, у них ответы из саппорта по неделе ждать приходится».
По ситуации: прилепили бы топик куда-нить, а? Люди реально пугаются.
1-2. Не заметил и даже мысли не появилось, что о проблемах со входом на хабру, надо писать в неизвестный мне проект (о ТМ ID вчера узнал впервые).
3. Помогает сортировать, если достаточно категорий. А мне, например, было совсем не очевидным, какую же выбрать.
3.1. По поводу «сложная задача» — вопрос не в сложности, а в неприятности этой процедуры.
4. Одно дело: «Не могу войти по своему паролю», другое — «Кинуло на ТМ, там соображал, что делать, попытался по-входить, ...»
Дело опять же в том, что это банально неприятно.
5. Я это понимаю, но неужели вы думали, что незаметно введя дополнительный этап авторизации, ни у кого не возникнет проблем?
Мне даже любопытно, сколько запросов вы получили вчера на эту тему.
6. Да, проблема решилась (: за это спасибо, ваша служба психологической помощи работает отменно (:
Но, знаете как говорят: «осадочек остался».
3. Помогает сортировать, если достаточно категорий. А мне, например, было совсем не очевидным, какую же выбрать.
3.1. По поводу «сложная задача» — вопрос не в сложности, а в неприятности этой процедуры.
4. Одно дело: «Не могу войти по своему паролю», другое — «Кинуло на ТМ, там соображал, что делать, попытался по-входить, ...»
Дело опять же в том, что это банально неприятно.
5. Я это понимаю, но неужели вы думали, что незаметно введя дополнительный этап авторизации, ни у кого не возникнет проблем?
Мне даже любопытно, сколько запросов вы получили вчера на эту тему.
6. Да, проблема решилась (: за это спасибо, ваша служба психологической помощи работает отменно (:
Но, знаете как говорят: «осадочек остался».
Зачем, зачем вам трогать мой пароль? Ну простой он и что? Не в платежную систему ж регистрируюсь. За 10 лет такой пароль (в разных вариациях) ниразу не ломали и я его наберу одной рукой. Я и только я несу отвественность за взлом аккаунта. И тут же не сайт для недоразвитых младенцев, аудитория понимает чем чреваты простые пароли. Чем не угодил буквенно-циферный пароль из 6 символов, почему вы решили что его взломают, а 8ми знаковый не взломают. У вас же и капча есть…
В общем, не буду ничего менять, принципиально. Не буду поддерживать подобные идиотские инициативы. Баньте аккаунты с простыми паролями, если так уж боитесь взлома.
В общем, не буду ничего менять, принципиально. Не буду поддерживать подобные идиотские инициативы. Баньте аккаунты с простыми паролями, если так уж боитесь взлома.
Через VK вошел без проблем
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
habrahabr.ru/feedback/ -> «Удаление аккаунта»
Поцаны поцанята, что ж вы все начали-то (у некоторых аж истерика хуже школьников после введения микроблога, как у чувака надо мной). Я вас прекрасно понимал раньше, когда мучался с капчей. А теперь что? Теперь просто сказка — жму одну кнопочку с любимым октокотом и логинюсь, даже не заметил что что-то новое ввели. Ну неужели вы боитесь связать гитхаб и хабр? Или не у всех есть акк на гитхабе? (что тоже странно в большинстве своем).
> Или не у всех есть акк на гитхабе? (что тоже странно в большинстве своем).
Ну вот лично я предпочитаю битбакет.
Ну вот лично я предпочитаю битбакет.
НЛО прилетело и опубликовало эту надпись здесь
Паранойя сама по себе вещь неплохая, но вы ошибаетесь, когда принимаете увеличение длины пароля с 7 до 8 символов за " хозяева площадки начинают вести себя как хозяева авторского контента". Все же поменялся один лишь сервис авторизации, никто ничего не отобрал у вас и качество площадки как тематического социального аггрегатора от этого не ухудшилось
НЛО прилетело и опубликовало эту надпись здесь
Площадка вроде хабра — это партнерство между людьми, зарабатывающими на авторском контенте и авторами, получающими бесплатную раскрученную площадку.
Информация о пользователе
5 подписчиков
нет постов
:)
НЛО прилетело и опубликовало эту надпись здесь
Аргумент к личности — это как минимум некрасиво.
А? Вы о чем?
Чувак жалуется, что он как автор, обижен на то, что ему указали на простой пароль. Но у него нет ни одного топика. Мне кажется, это довольно смешно.
Потом он отмазывается, что он их убрал в черновики. Это еще смешнее.
А если он их действительно перед этим специально убрал в черновики, то я вообще ржу.
Чувак жалуется, что он как автор, обижен на то, что ему указали на простой пароль. Но у него нет ни одного топика. Мне кажется, это довольно смешно.
Потом он отмазывается, что он их убрал в черновики. Это еще смешнее.
А если он их действительно перед этим специально убрал в черновики, то я вообще ржу.
Оставлять свой контент желания не имею, поэтому убрал всё в черновики и вообще хотел бы удалить.Он написал об этом как минимум ДО вашего комментария, так что не отмазка, а вы просто невнимательно его прочитали
Да, действительно. С моей точки однако, принципиально ничего не поменялось — он как был человеком без топиков, так и остался, и у меня нет информации, были ли вообще они у него.
Вот у Вас нет информации, но комментарий с суждением Вы написали. Казалось бы, раз информации нет, то что можно комментировать?
Поэтому ad hominem — дурной тон. Сначала пруфы — потом суждения.
Поэтому ad hominem — дурной тон. Сначала пруфы — потом суждения.
Можно комментировать доступную информацию. Вы книгу прочитали, к примеру, и высказали свое мнение о мысли автора. А тут автор прибегает и начинает на вас ругаться «эта совсем не та мысль, которую я хотел донести! Я писал о совсем о противоположном явлении, просто специально не внес это в книгу!»
Я вижу доступную мне информацию — я оставляю комментарий. Что не так? Мне указали на то, что он писал ранее о том, что специально скрыл топики(я в предыдущей книге писал о том, что в следующей книге не буду публиковать всю идею сразу, а опубликую только ее кусок!), я согласился с этим.
Мне показали ссылки, мне показали кеш гугла, ок. Что еще надо?
Я вижу доступную мне информацию — я оставляю комментарий. Что не так? Мне указали на то, что он писал ранее о том, что специально скрыл топики(я в предыдущей книге писал о том, что в следующей книге не буду публиковать всю идею сразу, а опубликую только ее кусок!), я согласился с этим.
Мне показали ссылки, мне показали кеш гугла, ок. Что еще надо?
НЛО прилетело и опубликовало эту надпись здесь
Это когда я перешел на личности? Когда написал что у вас постов нету? Ну афигеть. А на аватарке у вас птичка. Это тоже переход на личности? Караул, он при споре не относился к человеку как к незнакомцу, а позволил себе сказать об оппоненте что-то как о человеке. Ату его! Хотите, чтобы не переходили на личности — идите на двач. Там все анонимны.
А нахамил я когда? Когда сказал, что не знаю, были ли у вас топики? Ну извините, я не слежу за всеми пользователями, и вас впервые вижу. Захожу в профиль — топиков нету. Конечно, я должен был найти в астрале следы ваших публикаций. Я, по дурости своей всегда предполагал, что пруфы должен предоставлять тот, кто о чем-то заявляет, а не противоположная сторона. А то получается «ты назвал человека не автором, а он на самом деле автор. А ну быстро пошел и нашел пруфы его статей!»
Проблемы я что-то вообще не вижу — вы назвали себя автором, я указал, что у вас нет публикаций. После нескольких ответов мне предоставили на них ссылки. Ок, конфликт исчерпан, вы автор.
Не контраргументом, а просто забавным уточнением.
А нахамил я когда? Когда сказал, что не знаю, были ли у вас топики? Ну извините, я не слежу за всеми пользователями, и вас впервые вижу. Захожу в профиль — топиков нету. Конечно, я должен был найти в астрале следы ваших публикаций. Я, по дурости своей всегда предполагал, что пруфы должен предоставлять тот, кто о чем-то заявляет, а не противоположная сторона. А то получается «ты назвал человека не автором, а он на самом деле автор. А ну быстро пошел и нашел пруфы его статей!»
Проблемы я что-то вообще не вижу — вы назвали себя автором, я указал, что у вас нет публикаций. После нескольких ответов мне предоставили на них ссылки. Ок, конфликт исчерпан, вы автор.
Когда хозяева площадки начинают вести себя как хозяева авторского контента и указывают авторам, какие пароли им надо иметь, лично я воспринимаю это как сигнал к тому, что пора менять площадку.
И даже если бы у меня никогда не было ни топиков, ни комментариев, то разве это как-то может служить контраргументом сказанному мной?
Не контраргументом, а просто забавным уточнением.
блин, детский сад ей богу.
Потом он отмазывается, что он их убрал в черновикиЭто явное обвинение во лжи. Вы можете и дальше прятаться за формулировками, но нормальный человек все равно будет считать именно так. По сути это оскорбление, что принято считать «переходом на личности». Оскорбление бездоказательное, после указания мной на ошибку, для вас «ничего не изменилось», т.е. он уже не отмазывается, но продолжает врать. Это настолько очевидно для окружающих, что другие влезли оправдывать автора приводя вам ссылки на его посты. Хотя доказывать ложь должны были вы, или хотя проверить своё мнение. Имхо достаточно было просто признать ошибку и извиниться, а не разводить тут непонятно что
P. S. Все то, что я написал, не совсем к ad hominem относится. Меня не туда занесло.
НЛО прилетело и опубликовало эту надпись здесь
Гитхаб для меня не имеет ничего общего с хаброй. С какой стати я должен их связывать? о_0
Что интересно — на Brainstorage можно использовать дефис в логине, а на хабре нет. Как вы решите эту проблему? Неужели наконец позволите мне указать логин с дефисом?
Отличное решение не давать пользователям выбор! Так держать!
Авторизация одна, а профили все разные
Полчаса входил. Мысленно проклял ТМ за такое.
АААААААААААААААААААААААА!!! *извините*
Верните, пожалуйста, вход по логину. Во-первых, он короче, чем e-mail, во-вторых — логин я точно помню, а вот с какого email регистрировался — вспомнил не сразу, т.к. у меня их несколько.
Вы не учли тот факт, что ID TM будет использоваться не только для Хабра, но и для других проектов, где люди, возможно, захотят использовать разные логины. Поэтому вход по почте.
А нельзя сделать что-то типа alias? То есть на 5 проектах у меня разные логины, общий емеил. В итоге можно зарегистрироваться введя любой из логинов. Но тогда логины, например, хабра будут не доступны и на других сайтах.
Насчет «возможно захотят» — ну, это можно было спросить людей. Я, например, врядли захочу — т.к. не вижу смысла. Впрочем, не исключаю, что кто-то захочет.
Вариант с alias, озвученный выше — мне кажется вполне разумным решением.
Как минимум, это исключит то, что под одним и тем же логином на разных проектах будут разные люди — ведь это может вводить в заблуждение, учитывая то, что проекты между собой связаны.
Вариант с alias, озвученный выше — мне кажется вполне разумным решением.
Как минимум, это исключит то, что под одним и тем же логином на разных проектах будут разные люди — ведь это может вводить в заблуждение, учитывая то, что проекты между собой связаны.
А сделать выпадающий список сайтов?
Или дать опцию в настройках " использовать логин от $sitename.ru " и пусть каждый заходит через свой любимый сайт/раздел.
А иначе такие параноики, как я, специально будут заводить разные ящики для разных сайтов, гнездящихся на id.tmtm.ru
Или дать опцию в настройках " использовать логин от $sitename.ru " и пусть каждый заходит через свой любимый сайт/раздел.
А иначе такие параноики, как я, специально будут заводить разные ящики для разных сайтов, гнездящихся на id.tmtm.ru
Ну и в чем техническая сложность проверять по логину и email? Есть множество сайтов где можно вводить, либо логин либо почту. Сейчас это работает только для Хабра и Тостера, т.е. ради возможности использовать авторизацию какого-то непонятного тостера, вы сделали гемор для пользователей намного более популярного ресурса.
Ну а например в фейсбуке можно логинится по мылу, номеру телефона или логину…
Почему вы свои проблемы, такие как «организовать разные логины на проектах» перекладываете на пользователей и тупо запрещаете вход по логину?
В браузере Firefox (25.0) отсутствуют опции «Войти через»:
1. Жесть, опять эта идиотская капча, снова смог «пройти» её только с четвёртого раза. Кажется, я бот…
2. Добавили неудобства в обращении с хаброй.
3. Странно, что к «релизной» версии хабры подцепили бета-версию авторизации…
4. Грустно всё это…
2. Добавили неудобства в обращении с хаброй.
3. Странно, что к «релизной» версии хабры подцепили бета-версию авторизации…
4. Грустно всё это…
с введением ID регистрация на хабр без инвайтов?
Кстати, мне одному на почту не приходят уведомления от хабрах? (об ответе на комментарий например).
Как-то связано с темой топика?
Как-то связано с темой топика?
Мда… потрачено 30 минут времени. На что?
Еще и эта капча, заставляющая сомневаться в себе.
Еще и эта капча, заставляющая сомневаться в себе.
А автокадабру забыли?
А как оно работает?
Зашел на хабр, потом в цент авторизации, залогинился, кинуло на хабр — залогиненным.
Перешел на хантим — Не залогинен.
Использую тот же логин/пароль, как на Хабре, что бы войти в Хантим — не заходит.
В чем единая то регистрация?
ПС читал что через сторонний соц. сервис заходили, но в чем прикол? Нажму на гугл, зарегаюсь, где единая авторизация?
Зашел на хабр, потом в цент авторизации, залогинился, кинуло на хабр — залогиненным.
Перешел на хантим — Не залогинен.
Использую тот же логин/пароль, как на Хабре, что бы войти в Хантим — не заходит.
В чем единая то регистрация?
ПС читал что через сторонний соц. сервис заходили, но в чем прикол? Нажму на гугл, зарегаюсь, где единая авторизация?
Вот у меня был емейл «для важных вещей» (восстановления пароля и тому подобного), который можно было сменить только через общение с поддержкой Хабра, и другой емейл — на который сыпались все уведомления и который я мог сменить сам в профиле.
Я не против, но по моей логике должен был сработать первый из них. А сработал и работает сейчас для входа — второй.
И что стало с первым? Про него можно больше не думать?
Я не против, но по моей логике должен был сработать первый из них. А сработал и работает сейчас для входа — второй.
И что стало с первым? Про него можно больше не думать?
Вообще о таких вещах предуждать надо. За неделю хотя-бы, большими буквами на главной странице.
Вот представьте себе: хочу зайти на хабр почитать что там нового И вижу, что я не авторизован, а по ссылке «зайти» перебрасывает на какой-то совершенно неизвестный мне сайт, просят ввести e-mail (какой, у меня их десяток?), пароль (какой? к хабру, к емайлу, еще какой-то?), и вообще почему я должен вводить свои данные и пароли на каком-то левом сайте, который я первый раз вижу?
Нехорошо, очень нехорошо.
Вот представьте себе: хочу зайти на хабр почитать что там нового И вижу, что я не авторизован, а по ссылке «зайти» перебрасывает на какой-то совершенно неизвестный мне сайт, просят ввести e-mail (какой, у меня их десяток?), пароль (какой? к хабру, к емайлу, еще какой-то?), и вообще почему я должен вводить свои данные и пароли на каком-то левом сайте, который я первый раз вижу?
Нехорошо, очень нехорошо.
Такой баг сходу нашелся:
Изначально регался на хабре на один email, потом заменил его на другой.
В итоге под начальным email залогинится нельзя — говорит, что не найден пользователь с таким email и сбросить для него пароль тоже нельзя — тоже говорит, что нет юзера с таким email.
Но при попытке зарегать учетку на этот email, говорят, что email уже зарегистрирован в системе.
Пока не вспомнил, что менял email учетки, долго тупил почему так.
Изначально регался на хабре на один email, потом заменил его на другой.
В итоге под начальным email залогинится нельзя — говорит, что не найден пользователь с таким email и сбросить для него пароль тоже нельзя — тоже говорит, что нет юзера с таким email.
Но при попытке зарегать учетку на этот email, говорят, что email уже зарегистрирован в системе.
Пока не вспомнил, что менял email учетки, долго тупил почему так.
Никак не удаётся войти с IE11 (под win 8.1 preview) — после нажатия на «войти» ничего не происходит…
Ну, раз уж авторизация по емайлу, то добавьте, пожалуйста, корректный для него тип поля ввода. Очень облегчит ввод данных с мобильных устройств.
Вы бы настроили отдачу ssl-сертификата id.tmtm.ru. В текущем виде он не принимается Хромом:
habrastorage.org/storage3/69b/4e4/a70/69b4e4a705403090d08ce76b5bd369fd.png
Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.4 (KHTML, like Gecko) Chrome/22.0.1229.94 Safari/537.4
habrastorage.org/storage3/69b/4e4/a70/69b4e4a705403090d08ce76b5bd369fd.png
Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.4 (KHTML, like Gecko) Chrome/22.0.1229.94 Safari/537.4
На винде и Debian/Sid сертификат вполне принимается. Вы обновляться не забываете (судя по Chrome 22)?
Посмотрел в svn хромиума, этот корневой сертификат добавили в Chrome 29 этим летом.
code.google.com/p/chromium/issues/detail?id=246066
src.chromium.org/viewvc/chrome/trunk/src/net/cert/ev_root_ca_metadata.cc?r1=207288&r2=207287&pathrev=207288
code.google.com/p/chromium/issues/detail?id=246066
src.chromium.org/viewvc/chrome/trunk/src/net/cert/ev_root_ca_metadata.cc?r1=207288&r2=207287&pathrev=207288
Не смог авторизоваться через логин и пароль, говорит не верный email или пароль. Зашел только через G+
Мне через хром вообще не удалось авторизоваться.
При попытке войти через Оперу возникали ошибки вида:
«Нечего проверять» — когда пишешь e-mail.
«Необходимо ввести символы с картинки» — при разгадывании капчи.
Помогла настройка:
Настройки для сайта – вкладка Сеть – поставить галку на «Отправлять данные о ссылающейся странице».
«Нечего проверять» — когда пишешь e-mail.
«Необходимо ввести символы с картинки» — при разгадывании капчи.
Помогла настройка:
Настройки для сайта – вкладка Сеть – поставить галку на «Отправлять данные о ссылающейся странице».
А можно и мне 5 копеек вставить?
Во-первых, нельзя ли с Тостера сделать обратную ссылку на хабр?
И второе, нельзя ли сворачивать левое меню при повторном клике на иконке? Сделали уже, круто! ))
Во-первых, нельзя ли с Тостера сделать обратную ссылку на хабр?
Народ, немного не в тему. Посмотрел этот сервис TM ID и обратил внимание на приятные цвета в дизайне. Все чаще и чаще в инете встречаю сайты, которые используют подобные цвета. Я даже не знаю как их описать. «Мягкие», «пастельные»… Фрилансим freelansim.ru использует подобные цвета. Вот этот сервис lendwings.com (это не реклама, упаси боже, просто этот сайт на хабре активно пиарится, поэтому и знаю его). Это те, которые сумел так сходу показать. В них используется flat-стиль, что мне тоже очень нравится, но еще больше нравятся эти пастельные цвета. Вот пример таких тонов: color.romanuke.com/category/pastelnyie-tona/
Собственно вопрос: господа дизайнеры и создатели TM ID, скажите пожалуйста, есть какое-то общее название в дизайнерском сообществе для таких цветов или стиля? Как их получить? Я в фотошопе сумел добиться такого за счет подкрутки HUE/SATURATION.
Собственно вопрос: господа дизайнеры и создатели TM ID, скажите пожалуйста, есть какое-то общее название в дизайнерском сообществе для таких цветов или стиля? Как их получить? Я в фотошопе сумел добиться такого за счет подкрутки HUE/SATURATION.
Может у кого-то есть подборка подобных сайтов?
Фотографии тут color.romanuke.com/category/pastelnyie-tona/ были обработаны какими-то фильтрами, что придало им пастельные тона?
Не думаю, что фотографии как то специально обрабатывались, просто подбирались такие симпатичные мягкие фотки. А гаммы похоже получены с помощью кулера, в правом верхнем углу иконка загрузки изображения для подбора по нему гаммы. Ну и в популярные темы загляните, там такие через одну
Flat? )
У меня проблемы с окном авторизации.
Не отображается капча в опере 12.16 (сборка 1860), понимаю что старый движок, но может что-то можно сделать?
Не отображается капча в опере 12.16 (сборка 1860), понимаю что старый движок, но может что-то можно сделать?
Внимание всем, кто сидит с андроидов и имеет установленную резалку рекламы AdFree от BigTinCan!
Она блокирует домен cdn.jsdelivr.net, на котором хостится один скрипт, необходимый для авторизации. Без него авторизация вообще не происходит.
Придётся отключить, загнать страничку в кеш и включить обратно — только так. Или вносить в вайт лист на их сайте (требуется регистрация). Ну, или искать альтернативы.
Благодарю за внимание.
Она блокирует домен cdn.jsdelivr.net, на котором хостится один скрипт, необходимый для авторизации. Без него авторизация вообще не происходит.
Придётся отключить, загнать страничку в кеш и включить обратно — только так. Или вносить в вайт лист на их сайте (требуется регистрация). Ну, или искать альтернативы.
Благодарю за внимание.
Добавили возможность входить через TM ID ещё и на Brainstorage.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Центр авторизации TM ID