Комментарии 37
13. 404 страница. Мне не нужны дизайнерские фантазии. Мне нужно поле «найти на сайте» (ссылка протухла, видимо — материал перемещен, и я хочу его найти) и ссылка «На главную». Всё.

2. Неужели так сложно при нажатии «Вспомнить пароль» запоминать e-mail и подставлять его в это поле? Нигде еще такого не видел, и всегда приходится набирать дважды.
image
Также жутко раздражает сообщение «e-mail ИЛИ пароль не верен», ну разве так сложно написать, что именно не верно… Ведь эта информация всё равно общедоступна, достаточно нажать на «забыл пароль».
Да черт его знает. Лично у меня на проектах при нажатии на «забыл пароль» писалось «если данный имейл действительно существует...» и определить есть он или нет в БД думаю что как минимум сложно.
PS: Правда почта сохранялась при неверном пароле и двигалась обратно на форму логина.
Но ведь при нажатии на «забыл пароль» и вводе неверного имейла сообщение о его неверности выводится, никаких проблем вроде бы нет. Так почему бы не мучить пользователя и не вывести сразу.
Нет. Дословно выводится «Если вы регистрировались на нашем сайте по данному имейлу, вам пришло письмо с кодом».
НЛО прилетело и опубликовало эту надпись здесь
Может это я где-то сохранил свой майл, но браузер у меня сам выдает подсказу и набирать майл еще раз не нужно.
Плюс чтобы это начало раздражать — нужно каждый день сбрасывать пароль )
Кстати, еще это объясняетя тем, что в разделах входа и восстановления пароля может еще не быть сессии, чтобы передать логин в другую форму.
Чтобы это начало раздражать — достаточно, чтобы этот косяк был у большого количества сайтов.
Чтобы при подборе пароля злоумышленником, было не понятно, а точно ли есть аккаунт с таким email?
А зачем? Разве не для этого и существует пароль? Все-равно большинство людей
регистрируются не более чем на несколько емейлов, которые можно найти. В итоге это не создает проблем для злоумышленника, но создает проблемы для пользователя.

Защита должна быть в пароле (а если необходима еще более серьезная — двухфакторная авторизация), а эта идея про «не понятно, есть ли емейл» — больше похоже на прятание головы в песок, такое же безсмысленное, а может даже вредное в силу ложной безопасности.
Ну почему? Вот вы получили адрес почты «нужного» вам человека и начинаете собирать образ по крупицам — проверили на одном сайте, проверили на втором — уже можно собрать информацию для атаки основанной на социнженерии.
Например: Моя мама спокойно поведется на СМС с надписью «На таком-то популярном сайте (ВК/Ютуб) разыгрываются призы. Отправьте СМС ХХ на номер ХХХ и вы...».
Так как основной контингент моих сайтов — ученые за 40 (у них своеобразное мышление), я пытаюсь избежать таких, казалось-бы глупейших, лазеек и не вижу в этом зазорности.
«На таком-то популярном сайте (ВК/Ютуб) разыгрываются призы. Отправьте СМС ХХ на номер ХХХ и вы...».

А такая атака будет успешной даже если ваша мама зарегистрирована на ВК под другим емейлом (у моей мамы вот регистрация там еще на емейле от рамблера, но если ей придет такое сообщение на гмейл аккаунт — она ничего не заподозрит), так что совершенно не аргумент.

я пытаюсь избежать таких, казалось-бы глупейших, лазеек и не вижу в этом зазорности.

Вы как в том анекдоте про швабру:

Пожилая еврейская пара готовится ко сну.
— Изя, ты закрыл калитку?
— Закрыл, Соня, закрыл.
— А дверь ты закрыл?
— И дверь закрыл.
— А на английский замок?
— И на английский замок, Соня.
— А на бельгийский?
— И на бельгийский закрыл.
— А на засов?
— И на засов закрыл, Соня.
— А на цепочку?
— И на цепочку тоже.
— Изя, а швабру ты подставил?
— Ой! Швабру, кажется, забыл.
— Ну вот! Заходи и бери, что хочешь!


Вот все упорно продолжают ставить швабру с этой глупостью и плевать, что об нее чаще спотыкаются обычные жители вместо того, чтобы хоть как-то защищать от мошенников. Но швабру надо поставить, потому что бабушка так делала.
А такая атака будет успешной даже если ваша мама зарегистрирована на ВК под другим емейлом

Да, но если моя мама там не зарегистрирована вовсе — она заподозрит неладное.


Вот все упорно продолжают ставить швабру с этой глупостью и плевать, что об нее чаще спотыкаются обычные жители вместо того, чтобы хоть как-то защищать от мошенников.

Ваше право это воспринимать именно так. Мое право это воспринимать по другому.


Но швабру надо поставить, потому что бабушка так делала.

А вы не находите что показывать сообщение "данный имейл у нас отсутствует" и есть это самое действие бабушки, которое вы повторяете? (:

Да, но если моя мама там не зарегистрирована вовсе — она заподозрит неладное.

Вы говорите об атаке с анализом личности, а потом оказывается, что все, что знает злоумышленник — это емейл. Тут скорее вашей маме необходимо бояться нигерийских принцев. Моя мама до слез со мной ругалась, потому что говорила: «ну откуда ты знаешь, вдруг он и правда хочет нам подарить 10 миллионов, всякое бывает». Ваша «атака» — она имеет слишком много «если» и слишком мало «зато», чтобы рассматривать ее серьезно.

А вы не находите что показывать сообщение «данный имейл у нас отсутствует» и есть это самое действие бабушки, которое вы повторяете? (:

Не нахожу, потому что «емейл или пароль неизвестен» — это та псевдо-безопасность которую все повторяют словно попугаи. На всех сайтах, блин. И совершенно бессмысленно!
Вы говорите об атаке с анализом личности, а потом оказывается, что все, что знает злоумышленник — это емейл.

Мой первый комментарий в этой ветке был именно про это.


Ваша «атака» — она имеет слишком много «если» и слишком мало «зато», чтобы рассматривать ее серьезно.

Может быть.


На всех сайтах, блин. И совершенно бессмысленно!

То что вы не видите в этом смысл — не означает что в этом его нет. Вам не удобно — мне удобно. Вашей маме жалко нигерийских принцев — моя с первых дней поняла что это развод (хотя на рекламу все еще щелкает, успешно забивая гадостью планшет). Сколько людей столько и мнений. Был-бы я менее ленив и более косноязычен — сделал-бы статью-опрос на хабре по обсуждаемой нами теме.


Желающие этого избежать используют более одного емейла.

Давайте будем разграничивать на подкованных информационно людей, средне-подкованных и чайников. Я, как правило, работаю регулярно с людьми у которых даже личного имейла нет — только корпоративный и на него зарегистрировано все, от ВК до аккаунта в научных журналах.

только корпоративный и на него зарегистрировано все, от ВК до аккаунта в научных журналах.

Классическая ситуация. И тогда подобная «мера защиты» совершенно бессмысленна
Не соглашусь. У таких людей имейлы выложены в публичный доступ + куча визиток на руках — отличное поле для начала атаки.
Я тут разрабатывал и вспомнил интересную вещь.
Обычно на сайтах, где пишут «почта ИЛИ пароль некорректны» есть регистрация.
И если там попробовать зарегистрироваться на существующую почту, то оно скажет что-то вроде: «почта уже занята».
Так что подобная позиция — не более, чем лицемерие.

И если есть необходимость проверить корректность зарегистрированной почты — можно сперва попробовать на нее зарегистрироваться.
Вы меня совсем за идиота считаете (:
Если вы будете регистрироваться на почту которая уже есть в базе — модуль регистрации не пискнет и просто на почту направит ссылку для восстановления доступа.
Если пользователь тыкает восстановить пароль и вводит почту — ему не напишет «данная почта не найдена», а просто вышлет ссылку на восстановление доступа.

Первое правило — ни под каким предлогом не дать возможность выведать, есть-ли почта в БД.
Я говорю не о вас, а о всех тех сайтах, которые делают такую глупость. Возможно, вы исключение. А может и лукавите. Ну вот, к примеру, Хабр:

Пробую зайти с несуществующей почтой:


А вот пробую с ней же зарегистрироваться:


Так зачем была эта глупая «с почтой ИЛИ паролем»? Почему бы сразу не написать «Пользователь с такой электронной почтой не найден»? Как и на сотнях других сайтов.
Это лишь означает что разработчик данной системы слепо верит в бест-практис, читая их с профильных сайтов, не задумываясь об их логике применения. В этом случае это конечно дичайший минус.
Есть значительно более простые способы собирать базу имейлов.
Тем более для того, чтобы какой-то емейл проверить — его необходимо иметь. Не проще ли просто послать письмо, чем использовать сомнительный способ проверки на одном из сайтов?
Не проще ли просто послать письмо, чем использовать сомнительный способ проверки на одном из сайтов?

Дело не в проверки самой почты. Дело в составлении портрета пользователя по его регистрациям на различных сайтах.

Например, у меня на сайте 2 профиля:


login1: superman
pass: qwerty


login2: batman
pass: 000000


Я запутался и ввел:
superman
000000


Может я ошибся паролем, а может и логином. Под каким профилем я хотел авторизоваться? Это только я могу знать.

Ужасный, кошмарный перевод, сплошные кальки с оригинала.
Поток «Удалить и восстановить»
Вы знаете, когда вы удаляете что-то супер важное и нужно немедленно его восстановить? Нет? Хорошо.

А это просто позорище.
Это выглядит слишком реально, Карлос Медина. Не имею отношения, я только что купил некоторые новые туфли, и это не стоило ни копейки.
В целом просматривая первые 10 пунктов составил список «5 максимально бесящих меня вещей в любом приложении».
Дальше даже не читал, чтобы не расстраиваться. Кому-то это, конечно, нужно, но не 90% опытных юзеров.
Что интересно, дальше заметно приятнее пункты, даже реально полезные вещи, которые мало кто делает. :) А разгадка проста: первые пункты по велению маркетоидов направлены на удержание юзера, это ж везде ощущается, где с юзера надо стрясти денег.
А почему это называется «поток»? Case так перевели или это новый термин?)

Полезно, но… степень ужасности этого перевода превышает все допустимые пределы.

Не знаю, есть ли где-то такое, но очень хочется верить:
Заставка — нафиг сплэшскрины! Раз уж у вас такое тормозное приложение, что просто необходимо чем-то занять юзера, пока оно там кряхтит и грузится, то пусть это будет нечто полезное, скажем — последние сообщения, если это почтовый клиент; или тупо скриншот, сделанный последний раз перед выходом, если это карты местности. Суть — как в сериалах, «краткое содержание предыдущих серий», шоб контекст было комфортно восстановить. :)
Второй пункт тоже не ахти. Вот разве не очевидно, что если юзер нажал на «восстановить пароль», НЕ НАДО его переспрашивать почтовый адрес, надо просто отправить письмо! В ту же секунду! Ну и оповестить об этом, конечно. :)
какое-то месиво из гифок и невнятных примечаний к ним… Очень тяжело читать
Какой-то непонятный поток сознания (еще и криво переведенный), разбавленный непонятными картинками.

«Я не злюсь, я просто разочарован.»
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Информация

Дата основания
Местоположение
Россия
Сайт
www.edsd.ru
Численность
31–50 человек
Дата регистрации

Блог на Хабре