Комментарии 176
Ух ты, чекбокс отличная защита от ботов ^_^
в необходимой для небольшого интернет-магазина степени — да)
Помоему Вы зря иронизируете, если на чекбокс навесить малюсенькую функцию, создающую при нажатии hidden со значением актуальным только сегодня, то получится капча получше всякого распознания образов и уж тем более расплывающихся надписей.
Единственная проблема — прийдется предусмотреть отдельную схему для тех, у кого выключен js причем нужно не забывать, что эта схема должна быть не хуже — боты то как раз js-ом не пользуются.
Единственная проблема — прийдется предусмотреть отдельную схему для тех, у кого выключен js причем нужно не забывать, что эта схема должна быть не хуже — боты то как раз js-ом не пользуются.
Поверьте боту не сложно засабмиттить форму два раза, с нажатым чекбоксом и без =)
я верю, только боты исполняющие js-код в наше время — болшая редкость
если данный формат регистрации пойдет в массы, то редкостью они быть перестанут
Только вот на JS можно пошалить, а на HTML не выйдет =))
Самый простой пример: кликните туда-то, туда и сюда.
Самый простой пример: кликните туда-то, туда и сюда.
а Вы думаете много людей станет пользоваться такой формой? — это же «сложно», вон хотябы комменты здесь почитать — фигеешь с человеческой лени… мало кто станет таким форматом пользоваться, даже из прочитавших статью. В наше время ещё очень часто выпускаются сайты с первобытным дизайном и надписью «оптимизировано под IE» :) Так что не беспокойтесь у обычных ботов клиенты закончатся нескоро ;)
обычно ботов пишут люди, которые могут исполнить JS и посмотреть на результат :)
Именно js-защиту я и использую уже длительное время: при клике по кнопке заполняется хидден поле проверочной фразой, вот и готов антиспам — очень действенно.
Не совсем понимаю принцип. Можно детальнее?
всё было интересно. а так ли много, статистически, людей с отключеным js?
интерес вот почему:
1)js включен всегда по умолчанию.
2)те кто знает что такое js и зачем — не будут его отключать
3)те кто не знает — соотв. не знают что его вообще можно отключить
4)то кто знают что можно отключить — вряд ли найдут где это делается.
5)а тот кто всё таки заморочился и отключил — имхо это его проблема. вы же не станете в новой машине убирать усиления руля, снимать кондиционер и т.п. а если и снимите усиление руля — кто будет виноват в том, что машина стала хуже ездить? производитель машины или всё таки вы? :)
интерес вот почему:
1)js включен всегда по умолчанию.
2)те кто знает что такое js и зачем — не будут его отключать
3)те кто не знает — соотв. не знают что его вообще можно отключить
4)то кто знают что можно отключить — вряд ли найдут где это делается.
5)а тот кто всё таки заморочился и отключил — имхо это его проблема. вы же не станете в новой машине убирать усиления руля, снимать кондиционер и т.п. а если и снимите усиление руля — кто будет виноват в том, что машина стала хуже ездить? производитель машины или всё таки вы? :)
js никто не отключает, а на тех, кто его отключает, можно забить, тут правда ваша.
Другое дело, что есть невинные люди с мобильными браузерами, люди с медленным-нестабильным коннектом, у которых что-то недогрузилось. Еще бывает криво написанный js (или js, не учитывающий особенностей некоторых браузеров), который может ломаться при определенных условиях. Где-нибудь в одном месте сломается, браузер выполнение всего остального js прекратит. Причин может быть много. Если код на сервере мы можем контролировать полностью, то на клиенте js выполняется в зоопарке окружений, над которым мы не властны. Поэтому мне кажется идеологически очень правильным подход с graceful degradation. И, более того, думаю, что как бы не развивался веб, подход все равно останется актуальным, т.к. контролировать среду выполнения у клиента мы не можем.
Другое дело, что есть невинные люди с мобильными браузерами, люди с медленным-нестабильным коннектом, у которых что-то недогрузилось. Еще бывает криво написанный js (или js, не учитывающий особенностей некоторых браузеров), который может ломаться при определенных условиях. Где-нибудь в одном месте сломается, браузер выполнение всего остального js прекратит. Причин может быть много. Если код на сервере мы можем контролировать полностью, то на клиенте js выполняется в зоопарке окружений, над которым мы не властны. Поэтому мне кажется идеологически очень правильным подход с graceful degradation. И, более того, думаю, что как бы не развивался веб, подход все равно останется актуальным, т.к. контролировать среду выполнения у клиента мы не можем.
А ещё проще убрать это чекбокс «я робокоп» и навесить малюсенькую функцию на поле e-mail, при нажатии создающее поле hidden.
«Коментрарий к заказу» — это как?)))
У вас там коментрариум?)))
У вас там коментрариум?)))
А если я хочу забрать заказ в офисе магазина, то тоже адрес вводить?
Год назад реализовали подобный механизм www.tehcom.ru/order/
merrymakers.ru/search?s=%22%3E%3Cscript%3Ealert%28%27%F5%E0%E1%F0%20%E1%FB%EB%20%F2%F3%F2%27%29;%3C/script%3E
поправьте xss
поправьте xss
1. Чекбокс не защитит от роботов
2. У пользователя может быть отключен JS. Нужно обрабатывать этот вариант.
3. Пароль лучше спросить при регистации. Безопаснее и не придется тратить время на смену пароля (поиск формы для смены пароля, введите существующий пароль, повторите новый и т.д.).
2. У пользователя может быть отключен JS. Нужно обрабатывать этот вариант.
3. Пароль лучше спросить при регистации. Безопаснее и не придется тратить время на смену пароля (поиск формы для смены пароля, введите существующий пароль, повторите новый и т.д.).
>2. У пользователя может быть отключен JS. Нужно обрабатывать этот вариант.
вы реально видели таких пользователей? имхо на них вообще не стоит тратить свои силы
вы реально видели таких пользователей? имхо на них вообще не стоит тратить свои силы
Я сам так думал, пока не купил интересный смартфон.
Сколько раз эта тема уже обсуждалась в комментариях. Да, есть такие люди и их много.
не настолько много, чтобы стоило заморчиваться, имхо
сайтов напичканных яваскриптом много, и отказываться от его использования ради малого процентов юзеров глупо, темболее иногда без него никак.
ради чего вообще тогда его придумали? чтобы придумывать как его юзать так, чтобы можно было без него — идиотизм.
сайтов напичканных яваскриптом много, и отказываться от его использования ради малого процентов юзеров глупо, темболее иногда без него никак.
ради чего вообще тогда его придумали? чтобы придумывать как его юзать так, чтобы можно было без него — идиотизм.
Одно слово — Noscript
Вот я зашел на сайт, тычу свои данные, а оно глухо. ОК, добавил в разрешенные. А вдруг этот топик начал тип, который разместил на хакнутом сайте магазина связку 0-day эксплойтов?
Вот я зашел на сайт, тычу свои данные, а оно глухо. ОК, добавил в разрешенные. А вдруг этот топик начал тип, который разместил на хакнутом сайте магазина связку 0-day эксплойтов?
О да, специально чтобы спиздить с вашей машины без обновлений и антивирусов пачку секретных документов.
0-day подразумевает, что никакие аверы, даже с эмуляторами и эвристиками, не попалят лоадер, а уж лоадер с чистой душой, отключив файрвол, затянет кучу заразы, которая стырит пароли от моей почты. Оттуда можно ретривнуть пароли на аську и другие сервисы, данные регистрации доменных имен, а потом, для разнообразия установит пару клиентов, превратив мой комп в бота.
Это стандартный сценарий, прежде чем авер найдет такую заразу может пройти несколько недель, особенно, если файлы криптовались для каждого индивидуально. В последнем случае, все зависит от эмулятора антивируса, потому что сигнатура моей заразы никогда не попадет в списки обновлений.
Это стандартный сценарий, прежде чем авер найдет такую заразу может пройти несколько недель, особенно, если файлы криптовались для каждого индивидуально. В последнем случае, все зависит от эмулятора антивируса, потому что сигнатура моей заразы никогда не попадет в списки обновлений.
Покажите мне такой сайт, где лежит «связка 0-day эксплойтов», способных заразить любой компьютер. Журналом «Хакер» сильно увлекаться тоже не надо, в жизни не всё так красиво :) Другое дело — направленная атака. Но речь не об этом.
Таких сайтов — выше крыши, связки продаются по 1500–2000 долларов. И я не говорил, что любой компьютер. Поищите на форумах, там указаны версии броузеров и флеш-плеера, через которые происходит проникновение.
Связки стоимостью 2000 (просто приватные сплоиты) имеют процент пробива 10%–35%, те что дороже (0-day) — вплоть до 70%.
Одно время работал в отделе безопасности одной компании, и наш шеф заставлял все это мониторить каждый день. Один раз даже для пробы приобрели комплект, связка сплойтов (обычных приватных), криптор джаваскрипта, криптор лоадера, сам лоадер, как сейчас помню, за 3500 зелени (даже с обновлениями все это продавалось:). Скажу честно, сам не ожидал, связка прекрасно работала в течении еще месяца, потом нас заставили ее убрать с тестового сервера. Единственно нарекание, это то, что лоадер не мог нормально отрубить НОД и пинч палился сразу после запуска. Но если бы он был тоже криптован, то вообще ничего бы не заметили.
После этого случая, понял одно золотое правило: или Опера самой последней версии, или Файрфокс с No-Sript’ом. И вам советую. Хотя говорят, что и сегодня это не проблема, No-script прекрасно определяется связками. Вот что они потом предпринимают, не знаю, давно этим не интересовался.
Связки стоимостью 2000 (просто приватные сплоиты) имеют процент пробива 10%–35%, те что дороже (0-day) — вплоть до 70%.
Одно время работал в отделе безопасности одной компании, и наш шеф заставлял все это мониторить каждый день. Один раз даже для пробы приобрели комплект, связка сплойтов (обычных приватных), криптор джаваскрипта, криптор лоадера, сам лоадер, как сейчас помню, за 3500 зелени (даже с обновлениями все это продавалось:). Скажу честно, сам не ожидал, связка прекрасно работала в течении еще месяца, потом нас заставили ее убрать с тестового сервера. Единственно нарекание, это то, что лоадер не мог нормально отрубить НОД и пинч палился сразу после запуска. Но если бы он был тоже криптован, то вообще ничего бы не заметили.
После этого случая, понял одно золотое правило: или Опера самой последней версии, или Файрфокс с No-Sript’ом. И вам советую. Хотя говорят, что и сегодня это не проблема, No-script прекрасно определяется связками. Вот что они потом предпринимают, не знаю, давно этим не интересовался.
Наверно в старые добрые времена так и было, сейчас, думаю, всё сложнее.
А чем надёжнее Опера, да хотя бы того же Fx? Тем, что она не OpenSource?
Тем, что она менее популярна.
Чисто статистически, эксплойтов под оперу намного меньше, а под новые версии вообще нету. Правда самообновляется она криво, так что у кучи юзеров так и остаются старые версии. Под последние версии FF есть приватные сплойты. Причем сами же понимаете, разработчикам об уязвимостях не сообщили, так что пока вредоносные сайты не будут обнаружены или отдельными экспертами, или вирусными лабораториями, баги не будут пофиксины.
Под 10 Оперу не встречал работающих PoC или предложений по их продажи.
Чисто статистически, эксплойтов под оперу намного меньше, а под новые версии вообще нету. Правда самообновляется она криво, так что у кучи юзеров так и остаются старые версии. Под последние версии FF есть приватные сплойты. Причем сами же понимаете, разработчикам об уязвимостях не сообщили, так что пока вредоносные сайты не будут обнаружены или отдельными экспертами, или вирусными лабораториями, баги не будут пофиксины.
Под 10 Оперу не встречал работающих PoC или предложений по их продажи.
согласен на 100
а тем у кого корявые браузеры — смотреть телефон номер:…
вон, автотазик ездит без гура, подушек безопасностии и т.д. — и пипл хавает…
(иначе как пипл — я не могу назвать тех уродов котоые покупают автоваз, застовляя тем самым других переплачить за авто в два-три раза)
а тем у кого корявые браузеры — смотреть телефон номер:…
вон, автотазик ездит без гура, подушек безопасностии и т.д. — и пипл хавает…
(иначе как пипл — я не могу назвать тех уродов котоые покупают автоваз, застовляя тем самым других переплачить за авто в два-три раза)
Солидарен с Вами. Не вижу смысла писать дополнительный функционал, ради 5-ти человек в лучшем случае. Сам лично ни разу не встречал людей, которые принципиально отключают js.
Кстати, год назад смотрел на работоспособность ВКонтакте с отключенным js — 80% функционала не работала. Возможно, сейчас ситуация изменилась, лень смотреть, но тем не менее «пипл хавает» и никто не жалуется :)
Я и еще миллионы (судя по https://addons.mozilla.org/ru/firefox/addon/722 ) пользователей, использующие Noscript. JS включен на некоторых сайтах, которые я постоянно посещаю, в остальных случаях — отключен.
Все очень за тебя и эти миллионы рады. Продолжате жить в интернете без яваскрипта, это очень весело.
Я и эти миллионы живем с js, только вот не позволяем его запускать всем подряд, видите разницу? Я, конечно, понимаю, что меня, как пользователя браузера по идее не должны волновать xss, скрытые ifram'ы с тем же xss, уязвимости браузера и js движка, но irl получается так, что эти вещи меня все-таки касаются. И да, я тоже рад за вас, что вы позволяете запускать скрипты первому встречному на вашем компе.
зря Вы так, я реально таких видел, самое интересное у этих людей денег больше чем у нас всех вместе взятых, так что для интернет-магазина это весьма актуально.
Именно на таких сайтах, как интернет-магазин — важен noscript. Те самые 0.5% пользователей — они же ваши клиенты. Недополученная прибыль.
Другое дело, что для того, чтобы полпроцента стали ощутимы — оборот должен быть соответствующий :)
Другое дело, что для того, чтобы полпроцента стали ощутимы — оборот должен быть соответствующий :)
Noscript. Без него хабрахаб в фф у меня не читается. Ну и вообще js разрешаю тем сайтам которые не могу без него использовать. Намудренность интерфейса часто создает негативное впечатление
1. Чекбокс, конечно, не лучшая защита, но, во-первых, пользователю гораздо проще поставить галочку, чем разгадывать капчу, а, во-вторых, зачем боту регистрация в интернет-магазине, где ему даже негде опубликовать спам-сообщение?
3. Опять-таки при совершении однократных покупок просить пользователя напрячься и придумать пароль — не верх гуманности. Более того, что кое-кто уже слышал, что иметь один пароль на все сервисы — не по фен-шую. У тех же, кто не слышал о таком, не будет подспудного ощущения, что у него требуют пароль от его почты. Ну а уж если пользователь захотел иметь собственный пароль, тот который он сам придумал для этого сайта, такой пользователь — уже не одноразовый покупатель, и поменять пароль не составит ему труда.
3. Опять-таки при совершении однократных покупок просить пользователя напрячься и придумать пароль — не верх гуманности. Более того, что кое-кто уже слышал, что иметь один пароль на все сервисы — не по фен-шую. У тех же, кто не слышал о таком, не будет подспудного ощущения, что у него требуют пароль от его почты. Ну а уж если пользователь захотел иметь собственный пароль, тот который он сам придумал для этого сайта, такой пользователь — уже не одноразовый покупатель, и поменять пароль не составит ему труда.
1. Чекбокс, конечно, не лучшая защита, но, во-первых, пользователю гораздо проще поставить галочку
А ещё проще галочку не ставить. Зачем он нужна если ничего не делает кроме как блокирует кнопку регистрации?
Чекбокс лишний 100%, а регистрация раздражает все равно фактом своего существования.
Имхо надо:
— Если в момент нажатия «оформить заказ» пользователь не залогинен, то отображаем форму из трех полей (почта, телефон и адрес доставки).
— Аяксом чекаем почту на предмет наличия в базе, если есть — отображаем поле с паролем, если ввели правильный пароль, то подставляем недостающие (т.е. незаполненные) данные.
— После отправки смотрим — регистрация/нет (почта уже была зарегистрирована/нет), если регистрация — создаем учетку, генерим пароль, авторизуем пользователя «вечно», отправляем ему письмо с паролем. Если почта не была заполнена — не регистрируем, но заказ оформляем.
Алгоритм даунгрейдится до версии без Javascript'а — та же форма, только все поля отображаются и все проверки происходят только на сервере, при ошибке отображается эта же форма с заполненными данными (кроме пароля, конечно).
Имхо надо:
— Если в момент нажатия «оформить заказ» пользователь не залогинен, то отображаем форму из трех полей (почта, телефон и адрес доставки).
— Аяксом чекаем почту на предмет наличия в базе, если есть — отображаем поле с паролем, если ввели правильный пароль, то подставляем недостающие (т.е. незаполненные) данные.
— После отправки смотрим — регистрация/нет (почта уже была зарегистрирована/нет), если регистрация — создаем учетку, генерим пароль, авторизуем пользователя «вечно», отправляем ему письмо с паролем. Если почта не была заполнена — не регистрируем, но заказ оформляем.
Алгоритм даунгрейдится до версии без Javascript'а — та же форма, только все поля отображаются и все проверки происходят только на сервере, при ошибке отображается эта же форма с заполненными данными (кроме пароля, конечно).
А вы не подскажете алгоритм генерации такого пароля, что-б пользователь его еще и запомнить мог?
Сгенерировать ему пароли вида 4h3T%^2:f или g#5B@^?1 я всегда успею, а сделать что-то в духе LaRAb33 (Larabee) не понимаю как.
Сгенерировать ему пароли вида 4h3T%^2:f или g#5B@^?1 я всегда успею, а сделать что-то в духе LaRAb33 (Larabee) не понимаю как.
берем словарь слов/имен/городов и пр.
а дальше /e/3/, /l/1/ и т.д. Причем замена либо делается либо не делается для каждого конкретного символа
а дальше /e/3/, /l/1/ и т.д. Причем замена либо делается либо не делается для каждого конкретного символа
$ pwqgen
cane*shock_accent
$
Понятно, что это консольная тулза, но как генерятся подобные пароли понять можно.
Опять же при скромных объемах можно делать password = exec(pwqgen)
cane*shock_accent
$
Понятно, что это консольная тулза, но как генерятся подобные пароли понять можно.
Опять же при скромных объемах можно делать password = exec(pwqgen)
Это не нужно и даже вредно — стойкость LaRAb33 ниже, нежели просто случайный набор символов. Достаточно сгенерить пароль (из диапазона [a-zA-Z0-9]), отправить его на почту и авторизовать пользователя «навечно» (чтоб ему вообще не заморачиваться паролями/авторизациями). В большинстве таких случаев пользователь нажмет галку в браузере «сохранить пароль» — важность данных не ахти какая, да и заказывают в основном со своей машины (дома или в офисе), а продвинутые товарищи, которые парятся насчет безопасности всегда могут и пароль поменять, и нажать кнопку «выход».
А на форме регистрации/авторизации рядом с полем ввода пароля поместить ссылку «напомнить пароль», и при нажатии на нее отправлять пользователю письмо (на указанный e-mail) с новым паролем.
А на форме регистрации/авторизации рядом с полем ввода пароля поместить ссылку «напомнить пароль», и при нажатии на нее отправлять пользователю письмо (на указанный e-mail) с новым паролем.
А, сопсно, зачем? ИМХО, юзер должен САМ вбивать свой пароль и никак иначе. Потому что, если пароль был вам придуман и вы его не меняли, а сайт нужен раз в год… то через год вы будете заново регистрироваться. Ну или заказывать восстановление пароля. И еще раз, юзер должен сам решать какой у него пароль и уж тем более не запоминать какой-то левак!
По-поводу запоминающихся паролей, какой в этом смысл? Если «фен-шуй» обязывает сделать сложный пароль, то он не может быть поверхностно запоминающимся… и там будут буквы разного размера, знаки и цифры в абсолютно хаотичном порядке.
Ну а тыцка «я не бот» — это смешно. Любой желающий ботовод легко и на ваш сайт засунет гада, если будет зачем. А если это незачем делать спамеру, то зачем нагружать этим юзера?
По-поводу запоминающихся паролей, какой в этом смысл? Если «фен-шуй» обязывает сделать сложный пароль, то он не может быть поверхностно запоминающимся… и там будут буквы разного размера, знаки и цифры в абсолютно хаотичном порядке.
Ну а тыцка «я не бот» — это смешно. Любой желающий ботовод легко и на ваш сайт засунет гада, если будет зачем. А если это незачем делать спамеру, то зачем нагружать этим юзера?
1. защитит
2. Да, конечно прийдется, иногда это может быть неоправданно, но на интернет-магазине, который хочет развиваться это весьма опревданно.
3. Да, я думаю имеет смысл добавить такое поле, а заботясь о времени пользователя, можно сделать поле «пароль» необязательным — если пользователь не ввел пароль, то генерим автоматом и отсылаем на почту
2. Да, конечно прийдется, иногда это может быть неоправданно, но на интернет-магазине, который хочет развиваться это весьма опревданно.
3. Да, я думаю имеет смысл добавить такое поле, а заботясь о времени пользователя, можно сделать поле «пароль» необязательным — если пользователь не ввел пароль, то генерим автоматом и отсылаем на почту
Наивно полагать, что защитит. Чтобы написать бота, обходящего ЛЮБУЮ вашу такую защиту требуется минута времени. Это как использовать шпингалет на деревянной двери и говорить, что он защитит от случайных прохожих. Но какой бы вы шпингалет не использовали, любой, кто захочет — войдёт.
остряк-практикант? =) Я так пологаю Вы и небоскреб за минуту построить можете? — почему бы Вам сегодня не заняться спасением мира, все одно лучше чем сделать бота обходящего защиты всех ТАКИХ сайтов.
Зачем всех? Я говорил конкретно по ваш. Или про сабжевый. В любом случае, всё закончится тем, что придётся поставить нормальную каптчу, т.к. это практически безальтернативное решение на сегодняшний день.
нет единой капчи под которую было бы сложно написать бота, в интернете есть куча баз с алгоритмами распознания разных капч, т.е. если бота будут настраивать под конкретный сайт, то почти нет методов спастись от этого бота.
А дело в том, что под твой сайт никто не станет настраивать бота, мы рассматриваем средства защиты от обычных массовых ботов.
А дело в том, что под твой сайт никто не станет настраивать бота, мы рассматриваем средства защиты от обычных массовых ботов.
Есть удачные решения, которые дают очень низкий процент распознавания. Кроме того, если грамотно подойти к вопросу, то можно настроить генерацию каптчи индивидуально. В любом случае, на создание и обучение бота должно требоваться хотя бы несколько дней, а не минут.
Хотя, если сайт совсем никому не нужен, можно и на авось оставить наверно.
Хотя, если сайт совсем никому не нужен, можно и на авось оставить наверно.
оставляйте — дело Ваше, время покажет кто прав…
подождите, это же вы предлагаете оставлять без нормальной каптчи
а Вы предложили оставить на авось — оставляйте!
К слову говоря: кто Вам сказал что капча эффективнее аналоговых средств? — буржуи давно провели исследования которые показали беззащитность обычной капчи, только фото-капчи и комбинирование разных капч действительно помогает (как это сделано в WebMoney) остально от лукавого… простая капча работает хуже альтернативных способов причем на порядок. А Вы часто встречаете на сайтах фото-капчу или разные алгоритмы генирации капчи?
Да и вообще заставлять человека напрягаться пытаясь найти нужную фотку, заставлять его складывать 1289731 с 54768764, заставлять его всматриваться в извращенно-испоганенные надписи — это все каменный век
К слову говоря: кто Вам сказал что капча эффективнее аналоговых средств? — буржуи давно провели исследования которые показали беззащитность обычной капчи, только фото-капчи и комбинирование разных капч действительно помогает (как это сделано в WebMoney) остально от лукавого… простая капча работает хуже альтернативных способов причем на порядок. А Вы часто встречаете на сайтах фото-капчу или разные алгоритмы генирации капчи?
Да и вообще заставлять человека напрягаться пытаясь найти нужную фотку, заставлять его складывать 1289731 с 54768764, заставлять его всматриваться в извращенно-испоганенные надписи — это все каменный век
Использую чекбокс на WordPress и он ЗАЩИЩАЕТ от роботов.
Даже лучше чем akismet, хотя в паре они достаточно хорошо работают.
Даже лучше чем akismet, хотя в паре они достаточно хорошо работают.
Akismet уже защитил ваш сайт от 4,889 спам-комментариев, но в настоящий момент очередь спама пуста.
Вот-вот, терпеть не могу, когда мне генерят пароль и приходится искать, где его поменять на нормальный. Иначе потом придется заново регистрироваться, не буду же я все эти пароли хранить.
Делать пароль необязательным с возможностью потом его поставить — отличное решение, но вряд ли хорошо для интернет-магазина.
А зачем вообще для магазина обязательная регистрация? Для единократной покупки, по-моему, вообще можно не регистрироваться.
Делать пароль необязательным с возможностью потом его поставить — отличное решение, но вряд ли хорошо для интернет-магазина.
А зачем вообще для магазина обязательная регистрация? Для единократной покупки, по-моему, вообще можно не регистрироваться.
Чекбокс защищает от роботов на 99%. Проверено на себе. Поток спама сократился с пары десятков сообщений в день до 1-2 в неделю.
2 поля email действительно выгядят тупо. Всё равно все либо копипастят, либо автокмплиттер выдаёт. А насчёт поля для подтверждения пароля, лебедев как высказал идею ставить галочку, мол уберите звёздочки, за мной никто не подглядывает :)
Если уж есть e-mail, то не плохо было бы проверять его на open id и авторизовывать через него. Автоматом, раз уж пошла такая пьянка.
Все-таки openID — штука скорее для гиков. Но при наличии свободного времени прикрутить его было бы неплохо практически любому сайту. Для продвижения идеи)
e-mail на openid? OpenID вообще-то к домену привязывается, а не к адресу. Но можно ведь по адресу pupkin@yandex.ru вычислить OpenID pupkin.ya.ru, да?
Вообще в интернет магазинах есть неприятная особенность — когда ты постоянно заказываешь на несколько адресов, их приходится постоянно перезаполнять заново. Жаль, что никто пока не сделал форму, где можно было бы записать несколько адресов, и переключать галочкой.
Так… О чём я? А вот о чём: раз уж одному имейлу соответствует один адрес, так их и надо бы иметь на одной страничке. Регистрироваться не заказывая в интернет магазине вряд ли кто будет, на этот теоретический случай достаточно не делать обязательными поля доставки, пока не пойдёт именно заказ.
Так… О чём я? А вот о чём: раз уж одному имейлу соответствует один адрес, так их и надо бы иметь на одной страничке. Регистрироваться не заказывая в интернет магазине вряд ли кто будет, на этот теоретический случай достаточно не делать обязательными поля доставки, пока не пойдёт именно заказ.
В букс.ру и techhome.ru есть возможность выбора адресове
У ebay.com такая формочка, работает отлично. У меня там штук 5 адресов вбито, вводить каждый раз не надо.
Жаль, что никто пока не сделал форму, где можно было бы записать несколько адресов, и переключать галочкой.Как это никто? Вообще многие магазинные движки поддерживают эту возможность.
Но меня больше интересует вопрос часто ли рядовой пользователь заказывает доставку на разные адреса?
Что-то вроде домой / на работу, в зависимости от обстоятельств?
А какие, из имеющихся в продаже? Может я и правда давно не смотрел готовые движки?
Особо не знаю, но, например, magento и presta имеют такой функционал.
в Юми есть такая возможность точно.
В приснопамятном ОсКоммерце 2.2. и его разновидностях эта фича наличествует с 2002 года.
Из мне известных открытых движков — opencart.com. Он вобще унаследовал идеологию ОсКоммерца, но избавился от кошмаров перемешанного кода и верстки и обзавелся человеческой админкой
Из мне известных открытых движков — opencart.com. Он вобще унаследовал идеологию ОсКоммерца, но избавился от кошмаров перемешанного кода и верстки и обзавелся человеческой админкой
amazon тоже так умеет.
Так как за пределы Асашай можно только книги заказывать — приходится 2-3 адреса знакомых внутри страны дополнительно держать.
Так как за пределы Асашай можно только книги заказывать — приходится 2-3 адреса знакомых внутри страны дополнительно держать.
Интересно, а зачем вообще нужна форма регистрации в вашем магазине? Вот я зашел, добавил понравившийся товар в корзину, решил оформить заказ, но вместо этого мне зачем-то предложили зарегистрироваться. Почему мне не дали просто ввести адрес доставки и контактный телефон?
Я думаю, можно давать ввести мыло, телефон и адрес доставки, а потом автоматом создавать аккаунт, высылать пароль на мыло и давать на следующую покупку с аккаунта какой-нить бонус.
Я к этой же мысли клоню :) Пользователь ввел данные, скрипт записал их в базу, сгенерил пароль, если надо, и отправил их по почте. Пользователю записал кук на год, по которой потом будет отслеживать его появление на сайте.
Вообще, самое сложное в форме регистрации — это трезво оценить, нужна ли она вообще.
Вообще, самое сложное в форме регистрации — это трезво оценить, нужна ли она вообще.
Вы правы, это, наверное, лучший вариант. Единственный минус — пользователь нас не будет явно понимать того, что он зарегистрировался, и при возможных последующих покупках поступит также, как впервые — то есть не будет логиниться, а сразу прейдет к оформлению заказа.И будет удивляться сообщениям, о том что такой адрес почты уже зарегистрирован.
А мне, как пользователю, проще один раз при регистрации или в настройках указать данные для заказа, чем потом каждый раз при заказе вводить эти данные. И вообще что это за стереотип, что регистрация ненужная вещь или чрезмерно сложная? Мне лично не сложно в нужных мне сайтах регистрировать реальные аккаунты, а не просто для отмазки.
Кстати доказано что люди заполняют формы сверху вних, и гораздо удобней надпись делать над полем ввода, а не перед полем.
Кхм, несколько слов об интерфейсе магазина.
Во-первых, что это за дурацкие символы напротив кнопок (регистрация, войти, найти и т.д), никаких образов с регистрацией и тремя точками у меня не возникает, «мм..» не добавляет желания что-либо найти. «±» никак не связан с оформлением заказа (как графический символ, разумеется, вот если бы была кнопка + или кнопка -…).
Во-вторых, меню навигации, которое совершенно непонятным образом сбегает со своего положения слева на главной куда-то вверх и вправо. Это неудобно. Пользователи ожидают увидеть меню там, где они увидели его впервые.
В-третьих, это совсем не детские рисунки, поищите детские рисунки в Яндексе, погуглите, покажите их вашему дизайнеру, пусть сделает красиво. (визуальное оформление больше смахивает на низкобюджетное, чем на рисованное)
В-четвёртых, логотип ужасен. Для какого-нибудь андеграундного ужастика подошёл бы, но для магазина костюмов и игрушек…
В-пятых, корзина должна быть видна везде, текущее положение неудобно, к тому же, если я нахожусь в верху страницы — я её не вижу просто.
Во-первых, что это за дурацкие символы напротив кнопок (регистрация, войти, найти и т.д), никаких образов с регистрацией и тремя точками у меня не возникает, «мм..» не добавляет желания что-либо найти. «±» никак не связан с оформлением заказа (как графический символ, разумеется, вот если бы была кнопка + или кнопка -…).
Во-вторых, меню навигации, которое совершенно непонятным образом сбегает со своего положения слева на главной куда-то вверх и вправо. Это неудобно. Пользователи ожидают увидеть меню там, где они увидели его впервые.
В-третьих, это совсем не детские рисунки, поищите детские рисунки в Яндексе, погуглите, покажите их вашему дизайнеру, пусть сделает красиво. (визуальное оформление больше смахивает на низкобюджетное, чем на рисованное)
В-четвёртых, логотип ужасен. Для какого-нибудь андеграундного ужастика подошёл бы, но для магазина костюмов и игрушек…
В-пятых, корзина должна быть видна везде, текущее положение неудобно, к тому же, если я нахожусь в верху страницы — я её не вижу просто.
А в 10й опере чекбокс в регистрации, вот как раз тот, что «я не робот», такой же ширины как и поле для мыла. Видимо в общий стиль для инпутов
Использовал в качестве защиты обычное текстовое поле «страна», только оно невидимо простому пользователю.
Роботы заполняют это поле на-ура, и получают отказ. Обычные пользователи его не видят и потому регистрация проходит успешно.
Роботы заполняют это поле на-ура, и получают отказ. Обычные пользователи его не видят и потому регистрация проходит успешно.
Скрываете через тип поля или через стили?
ИМХО, лучше через стили. Вероятность обмана бота больше — потому как тип поля эти замечательные роботоиды сканят на отлично.
Хм, а состояние объекта, заданное стилем, разве нельзя просканить?
Для этого нужна специальная версия). Застраховаться от всего невозможно, любую защиту можно обойти.
Т.е. по статистике такими вещами ботоводы заморачиваются меньше?
Обойти можно всё, это естественно, как то, что можно сломать всё, что существует и ещё не сломано.
Обойти можно всё, это естественно, как то, что можно сломать всё, что существует и ещё не сломано.
Обойдите, например, реКаптчу (которая, кстати, ещё и пользу приносит). Есть много достаточно качественных решений. Застраховаться возможно :)
Кстати, о реКапче.
По приколу вводила оба неправильных слова, намеренно.
Никаких алертов, что я гоню, мне не выдалось, действие прошло дальше.
По приколу вводила оба неправильных слова, намеренно.
Никаких алертов, что я гоню, мне не выдалось, действие прошло дальше.
Там проверяется только одно из слов. В любом случае это лучше, чем когда вводишь вроде правильно, а не пропускает ;)
А если на оба не реагирует? о_О
пропустило с двумя неправильными словами?
ну это либо она криво внедрена, либо допускает ошибку в слове (что вряд ли)
повторить удаётся?
ну это либо она криво внедрена, либо допускает ошибку в слове (что вряд ли)
повторить удаётся?
Только что на сайте самой рекапчи.
woodshed >> woodshad
man >> mon
В одной выдаче, и река посчитала это корректным.
woodshed >> woodshad
man >> mon
В одной выдаче, и река посчитала это корректным.
Да, действительно, разрешают в слове сделать одну ошибку. Ну, с одной стороны, это очень хорошо, юзер-френдли )
С другой стороны, весь смысл теряется. Я думаю, идея изначально была брать слова, заведомо не прошедшие OCR. Потом поняли, что нужно автоматизировать, стали просить вводить распознанное слово, немного его исказив (визуально). Теперь ещё разрешили с ошибкой… боюсь, учитывая, что слова реальные, можно легко взломать той же OCR :(
С другой стороны, весь смысл теряется. Я думаю, идея изначально была брать слова, заведомо не прошедшие OCR. Потом поняли, что нужно автоматизировать, стали просить вводить распознанное слово, немного его исказив (визуально). Теперь ещё разрешили с ошибкой… боюсь, учитывая, что слова реальные, можно легко взломать той же OCR :(
Есть десятки способов сделать что-то невидимым для пользователя, но видимым роботу. Так, что состояние объекта покажет «видно», а опрос пользователя — «не видно» ;)
Я думаю что заморачиваться с темой сайта без js — бред. Аудитория настолько мала и специфична. А если человек параноик, а как еще иначе обьяснить столь жесткое блокирование всего и вся? Наверняка у таких не только жаваскрипт отключен. Так вот, если вещь на сайте ему будет нужна, и он убедиться что сайт удолетворяет его в плане безопасности, то возьмет и включит в порядке исключения.
Мой личный опыт показывает, что люди готовы при необходимости делать покупки даже на самых блювотных сайтах, где что-бы купить — еще постараться надо. Это конечно не оправдывает такие поделки, но и загибов удолетворить всех и вся, тоже быть не должно. Впрочем истина всегда посередине.
Мой личный опыт показывает, что люди готовы при необходимости делать покупки даже на самых блювотных сайтах, где что-бы купить — еще постараться надо. Это конечно не оправдывает такие поделки, но и загибов удолетворить всех и вся, тоже быть не должно. Впрочем истина всегда посередине.
Ага, новое веяние паранойи — отключать CSS))). А параноики, постигшие дзен, отключают ещё и html)).
Если уж защита на JS, то checkbox лучше вообще убрать, сделай просто <form action=«for_spam»><input type=«submit» disable> и скриптом подставляй правильный action и кнопку submit активной. И сделать <noscript>Без Javascript зарегистрироваться нельзя :(</noscript>
Теперь, по самому принципу — я вот терпеть не могу, когда пароль мне назначают, ведь я пользуюсь системой генерации паролей, и потому, второй раз на такой сайт я не пойду, это ведь надо искать письмо с этим паролем. В общем задача простоты не решена. Самый лучший способ, это OpenID регистрация. Если же нет у человека нигде аккаунта такого, то вполне можно и полную форму регистрации попросить заполнить.
Теперь, по самому принципу — я вот терпеть не могу, когда пароль мне назначают, ведь я пользуюсь системой генерации паролей, и потому, второй раз на такой сайт я не пойду, это ведь надо искать письмо с этим паролем. В общем задача простоты не решена. Самый лучший способ, это OpenID регистрация. Если же нет у человека нигде аккаунта такого, то вполне можно и полную форму регистрации попросить заполнить.
Неактивная кнопка сабмита «защищает» только от пользователей с отключённым JS, но не от ботов. Боту пофиг, какая там кнопка, у него же нет HTML-браузера и мышки, чтобы кликать. Он сканирует код, формирует POST-запрос и отправляет этот запрос на сервер, а что там какая-то кнопочка была задизейбленной, он даже и не заметит.
Хорошая идея! Очень не нравится что везде надо регистрироваться и что практически везде это неудобно и долго. «Психбольница в руках пациентов»… Пример того, как технари решают свои технарские задачки как им удобнее, не обращая внимание на удобство потребителей сайта.
Насчёт пароля — можно сделать доп. поле «пароль», если он пустой — сайт генерирует пароль сам, если не пустой — используется пароль пользователя. И придумать какую-нибудь кнопочку «я хочу указать пароль», которая будет показывать поле ввода пароля и его повторного ввода (что бы места меньше занимало).
Насчёт пароля — можно сделать доп. поле «пароль», если он пустой — сайт генерирует пароль сам, если не пустой — используется пароль пользователя. И придумать какую-нибудь кнопочку «я хочу указать пароль», которая будет показывать поле ввода пароля и его повторного ввода (что бы места меньше занимало).
Там, где защита от ботов будет реально нужна, чекбокс не спасет.
Однако, при таком подходе и чекбокс можно совсем убрать — присылать на почту пароль в виде капчи.
Однако, при таком подходе и чекбокс можно совсем убрать — присылать на почту пароль в виде капчи.
Мы сделали сложную форму регистрации и привязали ее к ручному модерированию, но проблему ботов можно в большинстве случаев решить формированием полей формы через JS. Плохо для тех, кто бродить с отключенным JS, но от большинства ботов спасает. Наша форма — creew.arystan.ru/newcv — очень постарались сделать сложную регистрацию не пугающей для неопытного пользователя.
Извините, ссылка некорректна, не смог откорректировать комментарий. Вот правильная crew.arystan.ru/newcv
А вот меня бесят магазины с отложенной регистрацией.
Вот я как-бы в процессе выбора покупки кучу страниц перелопатил, кучу времени убил, корзину наполнил.
А сдругого (домашнего) компа я её уже не увижу. И всё придётся начинать заново, только потому, что регистрация — при оформлении заказа.
Да и ввод почтового адреса в момент, когда ошибка критична (влияет на оформление заказа) — плохое решение. Ведь когда я сначала зарегистрировался и в спокойной обстановке указал свои адресные данные — я знаю, что ошибка не критична, так как при оформлении заказа мне предложат проверить эти данные и свежим взглядом я их обязательно увижу, если они есть.
Так что нужно иметь несколько сценариев, для разных типов пользователей.
Вот я как-бы в процессе выбора покупки кучу страниц перелопатил, кучу времени убил, корзину наполнил.
А сдругого (домашнего) компа я её уже не увижу. И всё придётся начинать заново, только потому, что регистрация — при оформлении заказа.
Да и ввод почтового адреса в момент, когда ошибка критична (влияет на оформление заказа) — плохое решение. Ведь когда я сначала зарегистрировался и в спокойной обстановке указал свои адресные данные — я знаю, что ошибка не критична, так как при оформлении заказа мне предложат проверить эти данные и свежим взглядом я их обязательно увижу, если они есть.
Так что нужно иметь несколько сценариев, для разных типов пользователей.
OpenID же!
Регистрация для одноразовой покупке это явный овекилл.
Регистрация для одноразовой покупке это явный овекилл.
Про вот таких вещей говорил однажды самизнаетекто:
…А самая дебильная вещь на свете — это поле «подтвердите емейл». Типичное изобретение неудачников. Я все равно скопипейстю адрес, потому что мне лень его печатать…
Продолжение: tema.livejournal.com/324368.html
…А самая дебильная вещь на свете — это поле «подтвердите емейл». Типичное изобретение неудачников. Я все равно скопипейстю адрес, потому что мне лень его печатать…
Продолжение: tema.livejournal.com/324368.html
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
я делал без джава скрипта. Поле подтвердите email скрытое css'ом. Пользователи его не видят, а боты не умеют обрабатывать css и старательно заполняют. Спам после внедрения этой защиты на моем блоге стал равен нулю. Без всяких акисметов и прочих капч. Ещё отличный вариант защиты — собственный движок. Ломают шаблонные движки, а ради тебя единственного никто заморачиваться не будет.
Добавил товары в корзину, нажал на «оформить заказ». Попал на страницу где написано, что нужно зарегистрироваться (ссылка) или авторизироваться (не ссылка и не форма).
Лучше было бы показать форму авторизации сразу и по центру, чтобы было заметно, а не справа и возможность оформить заказ без авторизации.
Соответственно, если человек имеет аккаунт — он войдет и оформит заказ «под собой». Если нет у него аккаунта — он заполнит данные о себе о доставкеи т. п. , плюс введет свой е-мейл . На основании этих данных вы создаете пользователя и получаете заказ в магазине. Если вдруг пользователь уже зарегистрирован (при оформлении заказа вводит е-мейл , который есть в базе) — после оформления заказа просим его ввести пароль или предлагаем его восстановить на эл. почту.
Это логичнее, удобнее и минус один шаг регистрации.
Лучше было бы показать форму авторизации сразу и по центру, чтобы было заметно, а не справа и возможность оформить заказ без авторизации.
Соответственно, если человек имеет аккаунт — он войдет и оформит заказ «под собой». Если нет у него аккаунта — он заполнит данные о себе о доставке
Это логичнее, удобнее и минус один шаг регистрации.
Если делать защиту на JS, то мне кажется более логичным избавиться от чекбокса «я не робот», а JS-действие повесить на на onfocus для поля E-mail'а или на onsubmit всей формы. Степень защиты от этого не уменьшится, а пользователю на одно действие выполнять меньше придётся.
Возвращаясь непосредственно к форме регистрации. Активная или не активная кнопка «зарегистрироваться», внешне никак не отличаются, это плохо.
Вы просто молодец. Чекбокс и облегченная регистрация — отличная идея.
Больше бы таких умных людей, как вы, бралось за проектирование интерфейса.
Больше бы таких умных людей, как вы, бралось за проектирование интерфейса.
НЛО прилетело и опубликовало эту надпись здесь
Мне всегда думалось что ввод почты 2 раза как раз для того чтобы случайно не опечататся в адресе
Это в случае когда нет авотзаполнения полей (это весьма удобная вещь при регистрации)
Это в случае когда нет авотзаполнения полей (это весьма удобная вещь при регистрации)
и этот метод далеко не идеальный :) получается вот что:
Регистрация, хорошо бы написать, что пароль вам будет выслан на e-mail (поскольку форма не похожа на рег. форму, скорее на подписаться на новости через email. )
Если юзер пользуется автосохранением паролей, то можно скопировать пароль из письма, сохранить данные и забыть, что там за пароль.
Если юзер не пользуется автосохранением, тогда его все-равно ждет шаг 2, смена пароля после авторизации.
И в этом случае непонятно, что проще ввести свой пароль сразу и нажать ссылку подтверждения в email или копировать пароль, а потом менять его в личном кабинете, сдается мне первое первое будет проще.
Я в основном пароли сохраняю, но свои пароли, а не генерированные.
Регистрация, хорошо бы написать, что пароль вам будет выслан на e-mail (поскольку форма не похожа на рег. форму, скорее на подписаться на новости через email. )
Если юзер пользуется автосохранением паролей, то можно скопировать пароль из письма, сохранить данные и забыть, что там за пароль.
Если юзер не пользуется автосохранением, тогда его все-равно ждет шаг 2, смена пароля после авторизации.
И в этом случае непонятно, что проще ввести свой пароль сразу и нажать ссылку подтверждения в email или копировать пароль, а потом менять его в личном кабинете, сдается мне первое первое будет проще.
Я в основном пароли сохраняю, но свои пароли, а не генерированные.
Все так сильно обсуждают защитит ли чекбокс от роботов или нет, как будто это огромные человекоподобные боевые роботы, которые клиентов стреляют. Ну получит 2-3 спам отправки инет-магазин в день, это по сравнению с удобством клиента не критично.
Я вот не понимаю, перейти по ссылки из почты и в самом деле сложнее, чем искать в ящике нужное письмо каждый раз, как забудешь автосгенерированный пароль? Или нужно выудить в почте сегенренный пасс, залогинится на сайт, найти функцию смены пароля и поменять его уже тогда? Это, что ли, упрощение процедуры регистрации?
Пишите:
«Я не буду отправлять пароли по почте, я не буду отправлять пароли по почте, я не буду отправлять пароли по почте, я не буду отправлять пароли по почте, ...»
«Я не буду отправлять пароли по почте, я не буду отправлять пароли по почте, я не буду отправлять пароли по почте, я не буду отправлять пароли по почте, ...»
Убило под стол! :)
Детский карнавальный костюм Паучок
Детский карнавальный костюм Паучок
картинка не вставилась тэгом.
фото костюма паучка
merrymakers.ru/media/images/goods/big/s73-11967835270.jpg
фото костюма паучка
merrymakers.ru/media/images/goods/big/s73-11967835270.jpg
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
О форме регистрации