Information Security
Website development
Typography
PostgreSQL
Django
Comments 13
+3
без учёта регистра: john_doe, John_Doe и JOHN_DOE следует считать одинаковыми именами.
Как по мне, тогда и JohnDoe и J0HN_DOE надо ставить в этот ряд. Мне кажется, что юзер сам должен понимать и осознавать с кем общается, а не фильтровать эти все варианты на беке.
+1

Про это говорится в части про гомоглифы и после.


Если мы имеем дело с ведущими к путанице кодовыми точками Юникода, имеет смысл подумать, что делать с похожими символами из одного алфавита.
+4
Некоторые сайты не парятся с юникодом и просто ограничивают символы в юзернейме набором [0-9A-Za-z_.].
+7
Именно поэтому автору не стоило бы писать статью в виде «Заблуждения программистов о...». Разработчик не может запретить 29 февраля, високосную секунду, UTC−0:25:21, написание имен, возможности наличие кавычек в имейле и дома без адреса. А вот то, какие логины будут на его сайте — на это он может легко повлиять.
+1

В начале статьи автор ссылается на трёхсторонний шаблон идентификации, а потом зачем-то рассуждает об уникальности юзернейма. Зачем? Чтобы использовать его в качестве Login Id? При этом пытаться понять, что один человек скрывается под john_doe, John_Doe и JOHN_DOE или нет? Это уже, по указанной терминологии, Public Id.


Зачем вообще юзернеймы, если логиниться можно по емейлу, который, скорее всего, и так потребуют при регистрации на сайте, и который точно будет уникальный, в отличии от комбинации Имя-Фамилия

+3
«В остальной части этой статьи будем полагать, что вы используете более распространённую реализацию, в которой уникальное имя пользователя служит по крайней мере системным идентификатором и логином для входа в систему, а также, скорее всего, публичным идентификатором»
+1
Идиотская реализация, очень бесит на сайтах, где заставляют для регистрации юзернейм придумывать. Пусть будет отображаемое имя, но при регистрации один хрен емейл указывать приходится, из-за чего получается уже 3 строки в менеджере паролей. А нафига?
0
Ага, раздражает, что мы становимся заложниками уникальности. На популярных сервисах почти всегда всё занято. Приходится регаться как Vasya_24634 имя при этом еще и почту в стиле Vasya15_15@....ru :)
+1
Вот почему поддержку confusable_homoglyphs (или её аналога) не включат во все браузеры? Проверять доменное имя, и если оно подозрительно, то будь оно хоть трижды https, помечать красным или вообще заставлять создавать для него исключение. Сколько бы возможностей для фишинга отпало бы!
+2

Всё хорошо, но вот рассуждение про уникальность e-mail вызывает негодование. Давайте уж пользователь сам определится, считать адреса с расширением (+smth) за разные или за один. Потому что есть масса вариантов и отождествлять user+spam@email.net и user+important@email.net может оказаться вот прямо совсем некорректно.

0
Подскажите, пожалуйста, как ваше решение уживается с Django Social Auth, Allauth?
Only those users with full accounts are able to leave comments. , please.