Как стать автором
Обновить

Почему разработчики отказываются от авторизации через Apple с фейковым email

Время на прочтение 5 мин
Количество просмотров 15K
Всего голосов 25: ↑23 и ↓2 +21
Комментарии 79

Комментарии 79

Все страдания от того, что в какой-то момент многие решили, что адрес почты — это не только адрес почты, т.е., канал для связи сервиса с пользователем, но и публичный идентификатор пользователя, и логин для входа. Которым нужно делиться со всеми подряд, несмотря на то, что зная его, можно попытаться взломать через него ваш аккаунт. Не говоря уж о том, что это может быть какой-нибудь «clit.commander777@thirstybitсhes.ххх»
И часто это работает… но не всегда.
зная его, можно попытаться взломать через него ваш аккаунт

А ещё туда можно просто спамить. А если ты хочешь удалить аккаунт и свои данные, то во многих сервисах этого нельзя сделать, а если можно, то нельзя проконтролировать.

Поэтому, с точки зрения пользователя «Sign in with Apple» — это удобно. Захотел, чтобы у сервиса не остался адрес твоей почты и он больше не мог тебе докучать — просто убей фейковый адрес.

Для Apple это тоже удобно — ещё один способ привязать пользователя к себе. И ведь удобно привязывают, надо признать.

Какие варианты решения предложите?
Я сам сталкивался с тем что не мог вспомнить как логинился на сайт: gmail, github или почта/пароль. Что делать? Искать в истории почты письмо в надежде понять куда тыкать?

Приучить себя к тому, что при создании где-либо учётной записи нужно сразу же завести запись в менеджере паролей, указав там и почту, на которую зарегистрировалась учётка.

Например, я сейчас как раз прибиваю излишне расплодившиеся почтовые ящики (у меня их 4). Мне достаточно вбить в поиск менеджера паролей название ящика и я сразу получу список сервисов, которые на него зарегистрированы, после чего остаётся лишь сходить и перепривязать их к другому ящику.

Один пишет что у меня ящиков мало, другой что ящиков у него много. Ребят, вы определитесь "как надо правильно жить".

Это индивидуальное. Например, когда я трудился техподдержкой на пиратском игровом сервере, то под это дело завёл отдельный почтовый ящик, чтобы не иметь толпы школьников в основной почте.
О, я тоже этим занимаюсь как раз постепенно. Уменьшаю количество ящиков до 2.
В некоторых местах достаточно проблематично адрес сменить.
Жду не дождусь уже когда уже сделают Firefox Private Relay.

А переадресация писем не решит данную проблему? Делал это на почтах rambler и ICloud и удобство было в этом соразмерное...

Не. Я начинал путаться, иногда отвечал не с того ящика и палил тот адрес, который не надо.

Проповедь о том, как стоит себя вести пользователю, не отвечает на вопрос, составляющий проблему из статьи: что конкретно делать разработчикам сервиса в общем случае, чтобы пользователям можно было оказывать поддержку без использования телепатии.

К примеру, добавлять отдельное поле "email для ответа" на экран для сообщений об ошибках. А при нажатии на "Отправить" в этом же окне кидать на сервер уникальный идентификатор аккаунта пользователя (хоть актуальный email, тут что больше нравится) и email. Так и пользователя на сервере определить можно, и понятно, куда писать

Вы читали статью? Речь не о способе связи с пользователем, а о способе однозначной идентификации его учетной записи, которая была заведена с какими-то учетными данными (например, временный email Apple), при условии, что он не помнит, с какими, и возможности вспомнить у него нет. Ответ «это тогда проблема клиента» не годится.
Вполне себе читал. Вот только отвечать на вопрос в общем смысле, в котором хотите его знать вы, бесполезно, потому что ваш вопрос изначально подразумевает невозможность этой самой поддержки. Если я правильно понимаю, о чём вы говорите, то речь идёт об идентификации пользователя в том случае, когда он не обладает никакой информацией вообще. Т.е. не знает ни почту, с которой заходил, ни когда он заходил, ни ip, с которого заходил, вообще ничего. Если он ничего этого не знает, то и помочь ему никак нельзя, тут даже в теории нечего предложить. Именно поэтому и «это тогда проблема клиента» для данного конкретного общего вопроса не то, что годится, а единственный возможный вариант.
Но если таки допустить, что пользователю что-то известно (любая информация из приложения или как он его использовал), то можно накидать кучу рабочих вариантов, один из которых я привёл.
А то ваш вопрос говорит о том, что пользователь ничегошеньки не знает, но при этом мы должны как-то о нём информацию достать, а вот это как раз и будет телепатией, которой *кхе-кхе* пока ещё никто не научился
Ситуация, которую вы описали — верная, вывод из нее — неверный (но закономерный). Потому что да, действительно, если пользователь нихрена не помнит, под какими учетными данными он регистрировался, и нет никакой возможности ему об этом напомнить — это тупик. Но вот вероятность такого тупика можно или уменьшить или увеличить. Именно об этом — статья. О том, что для определенных ситуаций, где важно не увеличивать эту вероятность, стоит отказаться от зоопарка способов авторизации. Потому что зоопарк упрощает регистрацию, но может существенно усложнить все остальное.
Полностью согласен (кроме неверного вывода). Вот только в исходном сообщении, на которое я отвечал, вы явно имели ввиду не тот случай, когда мы можем от пользователя что-то узнать, чтобы эту самую вероятность тупика уменьшить. А именно, что хотели ответ на общий вопрос, когда этой информации нет (собственно, фраза
которая была заведена с какими-то учетными данными (например, временный email Apple), при условии, что он не помнит, с какими, и возможности вспомнить у него нет
об этом и говорит). Если же вы всё-таки хотели узнать способ об уменьшении вероятности тупика, о чём сказали сейчас, то я не понимаю, чем мой ответ не подошёл. Он то как раз о действиях со стороны разработчика, которые могут эту самую вероятность уменьшить

Это сначала нужно вообще начать использовать менеджеры паролей

А без них сейчас всё равно никуда.

Ну, живу же...

Это не означает, что они есть у всех. И проповедовать это — не задача конкретного бизнеса.
У вас, видимо, всего один почтовый ящик, который вы не боитесь светить везде подряд, в том числе, в сервисах на одно использование?

Речь не про взлом или спам, а про удобный вход на ваш сервис пользователем.

А я про это и говорю — даже если логин по почте, то нужно ещё перебирать, на который ящик ты регистрировался в этом конкретном сервисе.

Если авторизация происходит в первый раз, то провайдер пишет о том, какие данные получит сервис (email, имя, etc.), а если у вас уже есть аккаунт, то просто вас залогинит. Таким образом, достаточно попробовать нажать все кнопки до тех пор, пока не найдёте нужную.

И насколько user friendly вы оцениваете предложенное вами решение?

Ну при наличии выбора из 3-5 провайдеров, а так же зная, что из этих 3-5 я мог использовать максимум один или два, вполне себе неплохо. Не менее friendly, нежели пытаться вспомнить данные для логина, либо авторизовываться в менеджере паролей, в котором опять протухла сессия.

Вы это пользователям расскажите.

«Френдлее», чем перебирать все свои ящики, когда их больше одного. Особенно, если без ввода пароля ящик не проверить, а паролей у вас в голове тоже не один.

Тот же ответ: пользователям это расскажите. Своим родителям, их родителям и соседям. Думаю, что не многие оценят такой дружелюбный способ.

Рассказать что? Что нужно просто потыкать по кнопкам, а не вспоминать «имайл»? А скорее всего, и просто тыкнуть «ту же кнопку, что и всегда»?

Именно. Открываете страницу сервиса со множеством провайдеров, рассказываете бабуле о том, что ей нужно просто потыкать по кнопкам, а не вспоминать и наблюдаете за реакцией.

Бабуля или будет помнить, или для такого случая будет вызывать меня ближайшего «тыжпрограммиста».
Есть сервисы где ничего не просят, просто молча логинят, или создают аккаунт если не было. После чего у пользователя уже два аккаунта. Если сервис умный — то умеет в слияние аккаунтов. А если нет?
НЛО прилетело и опубликовало эту надпись здесь
Логинить через любой уникальный идентификатор (телефон, почта, ИНН, етц), но не рассчитывать, что по идентификатору с пользователем можно связаться. Даже при обращении в техподдержку — в конце концов, пользователь же как-то в неё обратился, по какому-то каналу? Вот по тому же каналу и отвечать.
НЛО прилетело и опубликовало эту надпись здесь
А почему вы однозначно идентифицированного пользователя называете анонимусом?
НЛО прилетело и опубликовало эту надпись здесь
В смысле? Толк будет не ныть, что пользователи не отвечают по адресу, который не является контактным.
Вполне удобный метод идентификации, хотя бы везде его можно ввести. А не придумывать отдельный набор букв-цифр, причём на 1 сайте clit.commander занято, вводишь clit.commander777, а на другом уже и он занят, на 3-м логин должен быть 6..10 символов. Нет, лучше уж e-mail.

А многие упомянутые проблемы в статье прекрасно решаются возможностью сливать учётные записи: я могу зайти по «clit.commander777@thirstybitсhes.ххх», по deadfood111@privaterelay, через facebook. И все они ведут к тому же userid.
А не придумывать отдельный набор букв-цифр, причём на 1 сайте clit.commander занято, вводишь clit.commander777, а на другом уже и он занят, на 3-м логин должен быть 6..10 символов. Нет, лучше уж e-mail.
Еще 20 лет назад в ICQ придумали идентификацию по обычному числовому номеру, выдаваемому системой при регистрации. И не надо ничего придумывать — просто и четко. Легко продиктовать по телефону, без этого идиотизма «S как доллар», просто записать на бумажке или визитке. А проблемы с запоминанием давно нет — такие вещи нет нужды запоминать — их записывают/пересылают при необходимости.

Эта статья про авторизацию через сторонние провайдеры.
Вы предлагаете то, что по мнению этих провайдеров и является проблемой: иметь на каждом сайте/сервисе собственный логин.
Если бы провайдер был один, то проблем, возможно и не было, но их много и когда на сайте можно войти через логин, gmail, fb, vk, OK, github и прочее — возникают проблемы.

А в чём именно проблема-то? Добавить к логину префикс с идентификатором провайдера? В URI эта проблема давно решена — все URI начинаются с идентификатора схемы, отделённого двоеточием. Даже для e-mail такой есть.

Я уже писал в чем проблема. Пользователь заходит на сайт, который давно не посещал, и не помнит через что логинился. Скорее всего, выберет что-то наугад. И тут начинаются проблемы, которые я уже описывал.

У меня постоянно такая, не помню, через на какой емейл регистрировался. Ваш поинт?

Не разводить ящики, как вы это любите. Я понимаю, что вы этим преследуете свои цели, но мы тут рассматриваем проблему удобного входа пользователем в различные сервисы, а не проблему человека, который не хочет светить свой email и на каждый сервис заводит фэйковый ящик.

Даже если не по новому ящику, всё равно у меня их банально больше одного. Потому что первый из доселе живых регистрировался для проверки «а можно ли написать маты в адресе почты?» и «а можно ли зарегистрироваться на почту с матом в адресе?» в начале нулевых, когда я только-только выполз в интернеты, а потом он как-то так и прижился, и регистраций много привязано на него, а потом пришлось заводить более приличный, и регистрироваться уже на него. Вообще, практически у всех из моего окружения есть больше одного почтового адреса, даже если не считать рабочих (на домене организации).
… а потом эти многие решили что номер телефона — это не просто номер телефона…
…и что номер телефона у человека один и на всю жизнь…

Ну, публичный прямо мало где, по-моему. Но вот как идентификатор он удобен и для многих пользователей, и для разработчиков по двум, навскидку, причинам:


  • глобально уникален
  • запоминается наизусть обычно быстро
Ну, публичный прямо мало где, по-моему
Ну вот же, прямо в посте жалуются, что поделиться с пользователем у них можно только зная его e-mail.

А причём тут публичность?

Что нужно разглашать свой емэйл для работы с кем-либо.

Это не публичность. Это доверие своего емэйла конкретному лицу.

Так если я хочу, чтобы мне что-то расшарили, то почему я должен для этого светить свой емэйл?

Именно потому что вы хотите. Вот я хотел бы с вами расшарить что-то — попросил бы у вас email, вы бы отказались и я бы стал искать другие варианты. Но если вы хотите, чтобы я расшарил с вами лично что-то, то или email мне давайте, или… не знаю деньги платите, что ли, чтоб я искал другие способы.


"Должен", конечно, не самое лучшее слово тут, скорее "следует". Если вы хотите, чтобы я вам что-то расшарил, то вам следует предоставить мне свой email. Ну или как-то убедить меня использовать альтернативные, незнакомые мне или забытые мною способы шаринга. Могу, например, свой ftp поднять и вам аккаунт создать, сообщив логин и пароль.

Если вы хотите, чтобы я вам что-то расшарил, то вам следует предоставить мне свой email.
Это вы логику сервисов описываете. А я пишу, что она ущербна. Почему я не могу свой ID на этом сервисе передать человеку? Ему-то всё равно нужно просто ввести то, что я прислал, в поле на сайте. Независимо от того, какого формата эти данные.

Ну, например, у гугла человекочитаемйый ID пользователя и есть email.

Ну так Гугл и не идеал. Насколько я помню, GMail просто был первым гугловским сервисом с персональными аккаунтами для пользователей.

Я где-то уже писал тут почему с точки зрения разработчика сервиса настоящий email — очень удобный естественный идентификатор пользователя — он глобально уникальный и, как правило, пользователь помнит его наизусть.

На самом деле, логики не больше, чем авторизовать по домашнему адресу или номеру кредитки. Да, он уникальный, и пользователь, скорее всего, его знает. Но это не значит, что их не меняют, в т.ч. по не зависящим от пользователя причинам, и что нужно всех вокруг в него посвещать.
как правило, пользователь помнит его наизусть.
Это субъективно, знали бы вы, сколько людей в даже в почту логинится по номеру телефона, не говоря про соцсети и мессенджеры, где авторизация всякими способами вплоть до сканирования QR-кода в приложении.

Авторизация через сторонние провайдеры — это, конечно, боль. Причём, боль эту, зачастую доставляют не провайдеры, а сервисы использующие их.
Был аккаунт в Skype зареганый, как потом оказалось, через никнейм и почту. Понадобился он, внезапно и срочно, через несколько лет. Захожу, ввожу почту, а мне предлагают аккаунт Microsoft создать. Ну, думаю, ок. В итоге, два Skype аккаунта ссылающиеся на одну почту. Проверку на такой случай гении из Microsoft сделать не смогли, хотя казалось бы…
Второй случай с Авито. Зареган через почту. В профиле указан номер телефона. Решил с другого девайса зайти через соц сеть. Ну, думаю, как обычно (Skype не в счёт) свяжут по почте. Ну-ну. Создался, как потом оказалось, новый аккаунт. Тут же предложили подтвердить номер телефона. Подтверждаю, а на мобилу приходит пуш: ваше объявление заблокировано, т.к. номер телефона не подтверждён. А переподтвердить его на старом аккаунте можно только через 30 дней. Причём ещё и сообщения продавцам заблокированы, а мне надо срочно купить. Техподдержка молчит, т.к. выходные. Красота! А ведь можно было хотя бы сообщить о том что номер уже используется.

НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь

Со скайпом вообще весело. Был у меня скайп, привязанный к e-mail. Я забыл пароль, пошёл восстанавливать, меняю пароль и попадаю в какой-то другой скайп(логин, аватар), но там указан мой e-mail. Теперь у меня два скайпа(от своего я потом вспомнил пароль), но восстановить пароль я могу только к левому. А кто-то остался без скайпа...

В тех поддержку не писали? Мне тогда очень оперативно помогли. Я даже не ожидал.

Да мне пока особо не надо, я пароль вспомнил и скайп нужен был на некоторое время. А тому кто мой e-mail у себя указал судя по контакт-листу тоже скайп не сильно нужен.

Проблема в том, что у Apple действительно не всегда работает сгенерированный адрес. И получается действительно лажа, если нужны действия с аккаунтом, которые требую подтверждения через почту. Не понимаю, как можно было так сделать, когда то работает, то нет. И что нет возможности перегенирировать адрес, если вдруг произошёл сбой с аккаунтом, и нужно сделать новый.
Несколько лет назад, кто-то зарегал учетку Эппл на мою почту, несколько месяцев валился всякий спам, потом надоело, обратился к ним в тех поддержку, там поудивлялись, но достаточно быстро отвязали учетку чувака от моей почты, небольшой переписки и пары звонков хватило))

А есть ещё великие банки нашей необъятной, которые чтобы принять от вас заявление, что вас кто-то злой повязал к рассылке или вы недавно купили новый/старый номер и вам до сих пор приходят их угрозы о гашении/получения кредита. Ну вы сначала идентифицируйтесь у нас полностью, тогда мы будем принимать от вас заявления, без этого мы с вами не разговариваем, вы не клиент и пока не станете не общаемся. А если клиент, зачем отказываетесь от наших услуг.

Интересно что помешало им сделать вход через Apple на Android...

https://support.apple.com/ru-ru/HT210318


“Кроме того, функцией «Вход с Apple» можно воспользоваться в других веб-браузерах и на других платформах, например Android или Windows.”

Я-то в курсе, недавно как раз подключали sign in with Apple, и сделали его и в браузере и в iOS и в Android-приложении. А вот товарищи из статьи не справились :)

ну они заявляют, что из-за отсутствия внятной документации. Но я не изучал, не знаю, как на самом деле

Ну там не супер-очевидно, если не пользоваться их SDK, но если интегрировал до этого других OAuth-провайдеров типа FB или VK, то никакого рокетсаенса, ну JWT валидировать вместо запроса к серверу с access_token...

разумеется разработчики не рады внедрять авторизацию по автогенерированному мейлу, ведь это заметно усложняет им продажу пользовательских данных рекламным агенствам…

Вы статью читали?! Там черным по белому исписаны минусы и то, что они не продают данные! Вот и минус интернет-прослойки — постоянная параноя (уже какую то шизу напоминает).

да да, а США в Иране реально искали ядерное оружие…
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Другие новости

Истории