Комментарии 130
Поправьте заголовок. Надеюсь, это опечатка.
«Мозилла» давно предлагает свой «Браузер Ай-Ди». Техпологий авторизации хватает; думаю, Оупен Ай-Ди тоже неплох, есть простые плагины вида «Логинзы», дело лишь за создателями сайтов.
Как только появилось OpenId я один из первых попытался использовать её.
Но:
— не тривиальная реализация на стороне сайта, что очень сильно сказалось на распространение
— все равно, необходимо вводить каждый раз свой login
свели её преимущества на нет
Но:
— не тривиальная реализация на стороне сайта, что очень сильно сказалось на распространение
— все равно, необходимо вводить каждый раз свой login
свели её преимущества на нет
«Браузер Ай-Ди» да! Это именно оно.
Оказывается я думал в том же направлении, что и умные люди! :)
Ну почему это не идет в массы. Где стандарт? (((((((
Оказывается я думал в том же направлении, что и умные люди! :)
Ну почему это не идет в массы. Где стандарт? (((((((
Потому, что это подобно тому, что каждому встречному (даже самому последнему бомжу), который спросит как вас зовут, вы будете показывать свой паспорт. Многие люди к этому не готовы.
Судя по количеству упомянутых здесь в комментариях различных сервисов нужного нам вида, основная проблема описывается одним классически комиксом.
Самое стремное это когда логинишься по опенайди, а оно от тебя еще и логин пароль почту требует, bitbucket.org тому пример.
Ну, попытки были и есть, правда не на уровне браузера.
не безопасно. я бы не хотел бы «светить» всем ресурсам какие-то данные, например телефонный номер
Не заполняйте «гипотетическое» поле в настройках. Или в случае с «Этот ресурс запрашивает следующие данные:»
[v] email
[v] имя
[ ] номер телефона
[ ] запрещать данному ресурсу запрашивать пользовательские данные
снимите галку «номер телефона». Все так или иначе можно сделать прозрачно как, например, с Chrome Notification API.
Помоему, в формате «Приложение запрашивает — вы отдаете какие-то данные» получается достаточно удобно. К тому же, веб приложение может своевременно получать апдейт всей информации о вас, что немаловажно.
[v] email
[v] имя
[ ] номер телефона
[ ] запрещать данному ресурсу запрашивать пользовательские данные
снимите галку «номер телефона». Все так или иначе можно сделать прозрачно как, например, с Chrome Notification API.
Помоему, в формате «Приложение запрашивает — вы отдаете какие-то данные» получается достаточно удобно. К тому же, веб приложение может своевременно получать апдейт всей информации о вас, что немаловажно.
Далеко не все пользователи могут осилить настройки браузера, поэтому врядли такое введение безопасно.
НЛО прилетело и опубликовало эту надпись здесь
Как правило, номер телефона, это не то что все требуют обязательно.
Соответственно, если вы не хотите всем подряд его предоставлять, то не указываете его в браузере.
А на стороне портала, если вдруг возникла необходимость в телефоне, вас попросят ввести отдельно.
Не вижу проблемы.
Соответственно, если вы не хотите всем подряд его предоставлять, то не указываете его в браузере.
А на стороне портала, если вдруг возникла необходимость в телефоне, вас попросят ввести отдельно.
Не вижу проблемы.
НЛО прилетело и опубликовало эту надпись здесь
Даже если сделать только Ник и e-mail, то уже регистрация будет проходить прозрачно.
Далее, если развивать мысль, то можно сделать уровни персонализации.
0 уровень: email и ник
1 уровень: ФИО
2 уровень: телефон
3 уровень: Адрес проживания
4 уровень: оставшиеся паспортные данные
И выдавать запросы, как в скриншоте ниже
Идею можно развивать далее :)
Далее, если развивать мысль, то можно сделать уровни персонализации.
0 уровень: email и ник
1 уровень: ФИО
2 уровень: телефон
3 уровень: Адрес проживания
4 уровень: оставшиеся паспортные данные
И выдавать запросы, как в скриншоте ниже
Идею можно развивать далее :)
НЛО прилетело и опубликовало эту надпись здесь
Она превратиться на большинстве ресурсов в маленькую формочку.
С вводом пароля, вводом капчей и галочкой для принятия правил.
С этим смириться можно :)
С вводом пароля, вводом капчей и галочкой для принятия правил.
С этим смириться можно :)
НЛО прилетело и опубликовало эту надпись здесь
Тем что если вы при регистрации что-то изменили, при последующих входях не залогиниными на портал, он всегда вас будет узнавать и предлагать войти в ваш аккаунт по uuid
А так вы правы, почти ничем. Да и механизмы эти можно будет свести к 1му, на самом дела. Никто не запретит считывать эти значения из input с помощью JS.
К тому же, я не уверен что описанное вами решение будет где то сделано :( Или введено в стандарт.
А так вы правы, почти ничем. Да и механизмы эти можно будет свести к 1му, на самом дела. Никто не запретит считывать эти значения из input с помощью JS.
К тому же, я не уверен что описанное вами решение будет где то сделано :( Или введено в стандарт.
НЛО прилетело и опубликовало эту надпись здесь
Я про и регистрацию и про идентификацию одновременно.
Смотрите, вы в 1 раз в жизни заходите на сайт, а там форма логина, как на 1 рисунке в топике.
Я ввожу пароль, ставлю галку и вуаля — волшебство произошло.
Регистрация прошла прозрачно.
— Более сложные случаи, с различными уровнями доступа к персонализированной информации можно рассматривать как через уровни(описано выше), да и вообще можно не рассматривать. Задача в любом случае уже решена, на 4ку.
Доволен пользователи, довольны разработчики.
Смотрите, вы в 1 раз в жизни заходите на сайт, а там форма логина, как на 1 рисунке в топике.
Я ввожу пароль, ставлю галку и вуаля — волшебство произошло.
Регистрация прошла прозрачно.
— Более сложные случаи, с различными уровнями доступа к персонализированной информации можно рассматривать как через уровни(описано выше), да и вообще можно не рассматривать. Задача в любом случае уже решена, на 4ку.
Доволен пользователи, довольны разработчики.
Теперь, если я захожу на ресурс повторно. Но не помню ни логина ни пароля — он автоматически будет найден сайтом с помощью uuid и мне будет очень невероятно просто вспомнить как я тут зарегестрирован.
Если же, вы переехали на новый домен или же вы сайт-партнер какого либо ресурса, то вам достаточно использовать API для доступа к информации о их пользователях по uuid, а не использовать монстрообразное API через iframe со всеми вытекающими.
Если же, вы переехали на новый домен или же вы сайт-партнер какого либо ресурса, то вам достаточно использовать API для доступа к информации о их пользователях по uuid, а не использовать монстрообразное API через iframe со всеми вытекающими.
Это надо в «Я негодую»
Регистрируйтесь через OpenId, в чем проблема?
Помоему проще на всех сайтах сделать «Вход через вконтакте».На некоторых сайтах и в браузерных играх такое есть, довольно удобно.
Странно, что так заминусовали. На мой взгляд, это правильно, нажатие одной кнопки уже позволяет избавиться от заполнения множества полей. Естественно, нужно делать не только вконтакте, но идея правильная и веб, вроде как, вполне успешно ее подхватил.
Именно за уверенность в том, что у всех есть аккаунт во вконтакте и заминусовали.
всегда можно создать липовые акканту в этих сетях, как я и сделал. 2-3 липовых регистрации заменяют сотни регистраций на других сайтах с авторизацией через соц сети
Липовые аккаунты — небольшое, но зло. Вроде и есть человек, а вроде его и нет.
Липовый аккаунт требует доверить (и подтвердить) свой номер телефона компании, которая обслуживает ВК. Не все люди им доверяют. Не все люди доверяют правительству страны, в которой находится ВК и чьи законы и указы они обязаны соблюдать.
Кроме того, важный вопрос угона «виртуальной личности». Это сильно зависит от мер безопасности, реализуемых на сайте ВК. Опять же, не весь мир готов поставить доступ к своему электронному банкингу на то, что в ВК не будет никаких ошибок, через которые можно угнать аккаунт.
Кроме того, важный вопрос угона «виртуальной личности». Это сильно зависит от мер безопасности, реализуемых на сайте ВК. Опять же, не весь мир готов поставить доступ к своему электронному банкингу на то, что в ВК не будет никаких ошибок, через которые можно угнать аккаунт.
Ну и зря, у почти всех этот аккаунт действительно есть, даже если не используется. Для тех, у кого действительно нету или он не помнит как туда зайти, можно оставить небольшую ссылочку на другие варианты входа, рядом с большой кнопкой ВК.
Обилие возможностей для входа может создать ситуацию, когда у пользователя получается несколько несвязанных аккаунтов потому, что он заходил под разными сервисами, не помня о том, что у него уже есть аккаунт. Не говоря уже о том, что выбор большого количества способов авторизации, вводит пользователей в замешательство.
Обилие возможностей для входа может создать ситуацию, когда у пользователя получается несколько несвязанных аккаунтов потому, что он заходил под разными сервисами, не помня о том, что у него уже есть аккаунт. Не говоря уже о том, что выбор большого количества способов авторизации, вводит пользователей в замешательство.
К чему столько слов? Вам сказали, что предложение сделать на всех сайтах аутетификацию через ВК не разумное, а то что существует куча провайдеров аутентификации, я думаю, знает весь хабр.
В идеале конечно «Вход через Хабрахабр». И только попробуйте сказать мне что у вас нет на нём аккаунта! =)
У меня есть. Но одно время не было, когда в бане был. Забавно было бы потерять доступ ко всему, потому что словил бан на одном сайте, или просто потому что один сайт, хоть и очень надежный обычно, вдруг почему-то временно упал. Или пьяный админ слегка задел и уронил серверную стойку. И весь мир опустился в хаос, с неизбежными трешем, угаром и далее по вкусу. ;-)
Ага, а потом ВКонтакт в порыве жадности отключит доступ насолившему ему сайту, как Фейсбук Грувшарку, и пользователи останутся вообще без учеток, потенциально потеряв все на этом сайте. Грувшарк вероятно восстановит учетки, писали что это реально, но надеяться на это… В задницу такой сервис, проживем как-нибудь и без мордокниг с контактиками.
А что нового в предложении? localStorage уже есть, и давно существуют куки. Не сохраняют туда наверное только с точки зрения секьюрности (увел базу/куку — узнал личность). Впрочем некоторые сайты (godaddy.com что-ли) похоже имя уже сохраняют, потому что как я ни захожу туда — вижу свое имя и предложение ввести только пароль.
Лучше законодательно запретить сервисам вымогать номер телефона — с регистрацией можно разобраться.
Поддерживаю. Решил я недавно посмотреть, что же за штука такая «одноклассники». Зарегистрировался. А дальше — ничего: требует, собака, номер телефона.
Ну и ладно — больно-то мне эти «одноклассники» нужны…
Ну и ладно — больно-то мне эти «одноклассники» нужны…
При регистрации — это достаточно честно. Можно не регистрироваться. Я говорю о том случае, когда пользуешься каким-то сервисом несколько лет и в какой-то момент твой аккаунт блокируют и вымогают номер мобильного.
Это уже вообще гоп-стоп какой-то…
Мне более интересно — зачем? Должен же быть какой-то коммерческий смысл в этом. У меня есть только полуконспирологические объяснения, что спецслужбы побуждают крупные сайты это вводить, чтобы привязать виртуальную личность к реальной.
Конечно, теоретически не исключено, что это делается для удобства пользователя (пароль все забывают, ящики почтовые иногда тоже теряют, а уж тел всегда под рукой). Но тогда это было бы добровольно. Впрочем, готов даже допустить, что сервисам выгодно принуждать клиентов к этому, чтобы облегчить работу саппорта по вопросам «я забыл пароль, вообще ниче не помню, акк был на имя Гэндальф Серый».
Но ни в какие объяснения не вписывается скайп, который настоятельно пытается выведать номер сотового другого абонента (не меня!) при добавлении нового контакта. Причем если я, параноик, не ввожу свой сотовый (ну стараюсь не вводить нигде), то десяток людей из моих контактов знают мой сотовый и считают, что вопрос конфиденциальности этой информации — «ну а что такое? это ж только номер сотового».
Конечно, теоретически не исключено, что это делается для удобства пользователя (пароль все забывают, ящики почтовые иногда тоже теряют, а уж тел всегда под рукой). Но тогда это было бы добровольно. Впрочем, готов даже допустить, что сервисам выгодно принуждать клиентов к этому, чтобы облегчить работу саппорта по вопросам «я забыл пароль, вообще ниче не помню, акк был на имя Гэндальф Серый».
Но ни в какие объяснения не вписывается скайп, который настоятельно пытается выведать номер сотового другого абонента (не меня!) при добавлении нового контакта. Причем если я, параноик, не ввожу свой сотовый (ну стараюсь не вводить нигде), то десяток людей из моих контактов знают мой сотовый и считают, что вопрос конфиденциальности этой информации — «ну а что такое? это ж только номер сотового».
Речь не о веблансере?
О Фейсбуке, может быть.
Я там долго не мог зарегистрировать приложение и получить appID: то номер мобильного вымогает, то рекапчу показывает.
Может быть, из-за откровенно фэйковых имени и фамилии?
Я там долго не мог зарегистрировать приложение и получить appID: то номер мобильного вымогает, то рекапчу показывает.
Может быть, из-за откровенно фэйковых имени и фамилии?
Я столкнулся с этим во вконтакте. Вот еще с маил.ру у человека такие проблемы
«Вконтакте» не требует введения номера телефона, как гопнические «одноклассники» (типа: «или введи, или иди нафиг»): просто вам каждый раз при добавлении сообщений нужно будет вводить капчу.
Гугл тоже не требует безоговорочного введения номера телефона, как и фейсбук.
В общем, пока, к счастью, сетевые сервисы не требуют полной деанонимизации. А те, что требуют, бесполезны — и ими просто можно не пользоваться.
Гугл тоже не требует безоговорочного введения номера телефона, как и фейсбук.
В общем, пока, к счастью, сетевые сервисы не требуют полной деанонимизации. А те, что требуют, бесполезны — и ими просто можно не пользоваться.
Мне говорит «we have recently blocked an attempt to hack your account» и дальше не пускает без введения номера. Возникает логичный вопрос: если мой аккаунт взломан, то злоумышленник видит то же самое окно, что ему помешает ввести свой номер? Это конечно если мой аккаунт действительно взломан.
Альтернативы нет — ни подтверждение на почту, ни секретный вопрос — только дай нам свой номер мобильного и все тут.
Альтернативы нет — ни подтверждение на почту, ни секретный вопрос — только дай нам свой номер мобильного и все тут.
Ставите 1password или lastpass, настраиваете auto fill forms, и радуетесь жизни.
Я на своих сайтах никогда не требую регистрации. Для чего она нужна? Чтобы отпугнуть пользователей? Какая мне разница, под каким ником они пишут?
Это подходит не для всех сайтов. Возьмите в качестве примера хабр, каким бы он был, если бы отсутствовала регистрация?
Каким?
Думаете, сюда разом набежали бы тролли, школота, воинствующие пенсионеры и гопники с семками? Это не их аудитория.
А для борьбы со спамерами и прочей нечистью есть модераторы и технические средства.
Думаете, сюда разом набежали бы тролли, школота, воинствующие пенсионеры и гопники с семками? Это не их аудитория.
А для борьбы со спамерами и прочей нечистью есть модераторы и технические средства.
Реально срача стало бы в 100500 раз больше и для для его ликвидации понадобились бы 10500 модераторов
Вы, видимо, никогда не видели постов «хабрахабр, смотри, я сделал свой чатик!». Насчет воинствующих пенсионеров ничего не скажу, что ололошечек, пыщьпыщьпыщечек и прочего петросянства там хватает.
Собственно, жесткая регистрация по инвайтам на то и была нужна, чтобы не слить ресурс в дерьмо. Такой же политике следуют дёти, лепра и прочие, поэтому в своем роде они так хороши.
Собственно, жесткая регистрация по инвайтам на то и была нужна, чтобы не слить ресурс в дерьмо. Такой же политике следуют дёти, лепра и прочие, поэтому в своем роде они так хороши.
У вас либо нет никаких сайтов либо кроме вас, туда никто не ходит… В противном случае вы бы не писали такую чушь…
И вообще, автора статьи проблемы. Тема вы реале выглядела бы так:
«Зачем нужны установленные везде двери. Мало того что их каждый раз приходится открывать-закрывать, так еще какие-то придурки их замыкают. Хочу иметь ключ от всех дверей и чтобы двери сами открывались.»
У классиков есть на эту тему — Может вам еще ключ от квартиры где деньги лежат?
И вообще, автора статьи проблемы. Тема вы реале выглядела бы так:
«Зачем нужны установленные везде двери. Мало того что их каждый раз приходится открывать-закрывать, так еще какие-то придурки их замыкают. Хочу иметь ключ от всех дверей и чтобы двери сами открывались.»
У классиков есть на эту тему — Может вам еще ключ от квартиры где деньги лежат?
Безусловно, вопрос имеет место быть, но по-моему автор несколько сгущает краски )
Сколько раз в день на протяжении, скажем, недели, вам приходится регистрироваться?
Сколько раз в день на протяжении, скажем, недели, вам приходится регистрироваться?
А у вас никогда не было ситуации, когда нужно войти на какой-то сервис, где вы давно не были, а логин/пароль вспомнить не можете?
Очень уж неудобны эти раздельные регистрации. Особенно когда на разных сайтах приходится заводить разные логины, т.к. тот, которым обычно пользуешься, уже занят.
Очень уж неудобны эти раздельные регистрации. Особенно когда на разных сайтах приходится заводить разные логины, т.к. тот, которым обычно пользуешься, уже занят.
>> где вы давно не были, а логин/пароль вспомнить не можете?
Я не помню пароли от 90% ресурсов на которых я зарегистрирован и даже не представляю как они выглядят.
Я не помню пароли от 90% ресурсов на которых я зарегистрирован и даже не представляю как они выглядят.
Я не запоминаю неважные пароли.
Для этих целей существует 1Password.
Для этих целей существует 1Password.
Никогда не случалось вам зайти на ресурс и отписаться в 1 теме. Но прежде чем оставить сообщение, вам необходимо пройти 5ти минутную регистрацию, с подтверждением почты.
А если почта берется из данных браузера, то можно на неё положиться, как на верную.
А если почта берется из данных браузера, то можно на неё положиться, как на верную.
Еще радуют форумы, где ссылки или фотографии доступны к просмотру только зарегистрированным. Ну вот допустим нашел я что-то интересное на форуме отделочников города Волгограда. Ну окей, вынудили меня, я зарегался, чтобы увидеть ссылку или фотографию. Но дальше меня ни вопросы отделки, ни Волгоград особо в жизни не волнуют, поэтому все равно я даже второй раз не зайду к ним (а если и зайду опять случайно — то и забуду, что у меня там регистрация есть). Не стану я активным пользователем, только потому что под дулом пистолета зарегистрировался там. Какой смысл только базу себе мусором забивать?
А вообще «спасибо» за то что я должен приобретать очередную стороннюю софтину, которая не будет полностью удовлетворять моим потребностям :)
Ибо она не будет решать проблему регистрации и необходимо каждый раз по ней проверять, зарегистрирован я тут или нет.
Ибо она не будет решать проблему регистрации и необходимо каждый раз по ней проверять, зарегистрирован я тут или нет.
Ага, причём, тобой же несколько лет назад:-)
Я бы не хотел такого способа регистрации, проблемы сразу напрашиваются:
* Это будет означать, что на всех сайтах будет один и тот же профиль, что не всегда и не всем желательно.
* Никто не мешает подделать такой профиль (если только использовать подпись, но это уже сложнее), отсюда проблемы: невозможность зарегистрироваться (так как профиль уже занят), мошенничество и возможный вред репутации.
* Затруднение использования более одной учётной записи на одном ресурсе (требуется многопользовательский браузер).
* Автоматическая регистрация подразумевает хранение ключа авторизации в браузере. То есть, это зависимость от технических средств, а не только от собственной памяти. Это накладывает необходимость повсеместной синхронизации, от десктопов до мобильных телефонов.
* Для регистрации требуются разного рода данные, от адреса почтового ящика до снилса. Не все сайты должны иметь доступ к такой информации, следовательно придётся спраишвать пользователя (как например это делает ФБ), следовательно полностью прозрачной регистрацию сделать не получится.
* Это будет означать, что на всех сайтах будет один и тот же профиль, что не всегда и не всем желательно.
* Никто не мешает подделать такой профиль (если только использовать подпись, но это уже сложнее), отсюда проблемы: невозможность зарегистрироваться (так как профиль уже занят), мошенничество и возможный вред репутации.
* Затруднение использования более одной учётной записи на одном ресурсе (требуется многопользовательский браузер).
* Автоматическая регистрация подразумевает хранение ключа авторизации в браузере. То есть, это зависимость от технических средств, а не только от собственной памяти. Это накладывает необходимость повсеместной синхронизации, от десктопов до мобильных телефонов.
* Для регистрации требуются разного рода данные, от адреса почтового ящика до снилса. Не все сайты должны иметь доступ к такой информации, следовательно придётся спраишвать пользователя (как например это делает ФБ), следовательно полностью прозрачной регистрацию сделать не получится.
Вот готовое решение: BrowserID
Я не говорил про авторизацию, речь идет про идентификацию.
Я не говорил про авторизацию, речь идет про идентификацию.
О да, автор, как я вас понимаю! Сам давно хочу подобного.
По долгуслужбы любопытства посещаю огромное количество сайтов и заметная часть требует регистрации перед выполнением каких-то на них действий.
OpenID и авторизация через соц. сети не вариант по ряду причин.
Идеально было бы чтобы все сайты предоставляли общий интерфейс, а программы для хранения паролей его использовали.
По долгу
OpenID и авторизация через соц. сети не вариант по ряду причин.
Идеально было бы чтобы все сайты предоставляли общий интерфейс, а программы для хранения паролей его использовали.
> Идеально было бы чтобы все сайты предоставляли общий интерфейс, а программы для хранения паролей его использовали.
Еще лучше было бы иметь один-единственный сервис, зарегистрировавшись на котором вы имели бы возможность регистрации/авторизации на любом сайте. Чтобы не иметь лишнего геморроя с синхронизацией баз программ для хранения паролей…
Еще лучше было бы иметь один-единственный сервис, зарегистрировавшись на котором вы имели бы возможность регистрации/авторизации на любом сайте. Чтобы не иметь лишнего геморроя с синхронизацией баз программ для хранения паролей…
Еще лучше было бы иметь один-единственный сервис, зарегистрировавшись на котором вы имели бы возможность регистрации/авторизации на любом сайте.Не лучше. Это крайне нежелательный вариант, ибо:
1. Админы или взломщики сервиса (или спецслужбы) смогут проследить все мои учётки на всех сайтах и знать обо мне практически всё.
2. В случае падения этого сервиса (временного или окончательного) я лишусь всех своих учёток.
Также это помогло бы решить одну проблему, в принципе не решаемую сейчас в общем случае. Это проблема периодического смена пароля в целях безопасности. Допустим я захотел профилактически сменить пароли на всех ресурсах, на которых я зарегистрирован (а таковых несколько сотен, если не тысяч).
Если я буду это делать вручную — у меня уйдёт несколько недель чистого рабочего времени.
А если захочу автоматизировать и буду писать для каждого сайта свой парсер… времени уйдёт ещё больше.
Так что идея с интерфейсом для программы-хранителя паролей в этом случае просто незаменима.
Если я буду это делать вручную — у меня уйдёт несколько недель чистого рабочего времени.
А если захочу автоматизировать и буду писать для каждого сайта свой парсер… времени уйдёт ещё больше.
Так что идея с интерфейсом для программы-хранителя паролей в этом случае просто незаменима.
А реально есть что терять на этих тысячах ресурсов? У меня много где есть фейковый аккаунт (заведенный потому что потребовалось иметь регистрацию там), с одним из нескольких тривиальных паролей. Конечно, свое принято защищать, но если кто-то угонит некоторые аккаунты — я так уж сильно огорчаться не буду.
Есть может десяток паролей, которые я боюсь забыть или что их кто-то узнает. И есть еще 990 аккаунтов, которые «да если вам лень самому пустой акк зарегать — окей, можете угнать мой, мне не жалко».
Есть может десяток паролей, которые я боюсь забыть или что их кто-то узнает. И есть еще 990 аккаунтов, которые «да если вам лень самому пустой акк зарегать — окей, можете угнать мой, мне не жалко».
НЛО прилетело и опубликовало эту надпись здесь
https://loginza.ru/ — и нет проблемы.
Опасное предложение.
Первый шаг на пути к «универсальному идентификатору», будете потом в интернет ходить логинясь по ИНН…
Подобные решения имхо нужно делать в виде десктоп-решений. Нечто вроде пасворд-хранилки, которая умеет заполнять поля предварительно забитыми данными.
Первый шаг на пути к «универсальному идентификатору», будете потом в интернет ходить логинясь по ИНН…
Подобные решения имхо нужно делать в виде десктоп-решений. Нечто вроде пасворд-хранилки, которая умеет заполнять поля предварительно забитыми данными.
А я не устал регистрироваться. Это не сложно и не всегда нужно. Самая большая проблема с моей точки зрения — невозможность удалить свой аккаунт и все связанные данные.
>> основная проблема lostpass и прочих в том, что они не решают проблему почти полностью автоматизированной(прозрачной) регистрации.
Вероятно имелось в виду авторизации?
Не знаю как вы, а я использую master password в FF и всем доволен. А «полностью автоматизированная регистрация/авторизация» меня мягко говоря настораживает.
Вероятно имелось в виду авторизации?
Не знаю как вы, а я использую master password в FF и всем доволен. А «полностью автоматизированная регистрация/авторизация» меня мягко говоря настораживает.
НЛО прилетело и опубликовало эту надпись здесь
Какая-то надуманная проблема. Давно уже есть OpenID, и мне не понятно, какие ваши нужды она не может решить. Там где нет OpenID можно использовать всякие плагины для автоматизации заполнения форм.
От себя добавлю, меня лично не напрягает регистрация, хотя и приходится регистрироваться на сотнях сайтов.
От себя добавлю, меня лично не напрягает регистрация, хотя и приходится регистрироваться на сотнях сайтов.
При регистрации, как правило, требуется принять правила использования ресурса. Это действие нельзя автоматизировать, поскольку тогда оно не будет иметь юридической силы. А без него ответственность сторон не определена.
Может подскажет кто, Windows CardSpace в небезысвестной системе для чего предназначен? За все время я ни разу не видел сайт, который бы требовал оттуда данные. Какая-то мертвая функция получается. Складывается ощущение, что планировалась унификация авторизации на веб-ресурсах, но что-то не сработало и популярности она не приобрела.
В Windows 8 это можно будет решить через Windows ID. Удобно. Но вряд ли все разработчики это поддержут… Бестолочи ведь.
Ещё была клёвая штука CardSpace… Бестолочи из Microsoft загнули…
Увы, трахаемся с password и ещё больше с captcha.
Ещё была клёвая штука CardSpace… Бестолочи из Microsoft загнули…
Увы, трахаемся с password и ещё больше с captcha.
Вот сидишь ты авторизованный на куче сайтов, гуляешь по интернету, переходишь по ссылке, а там эксплуатируется какая-нибудь CSRF-уязвимость хотя бы одного из этой кучи сайтов.
Предпочитаю серфить разавторизованным на всех сайтах.
Предпочитаю серфить разавторизованным на всех сайтах.
У меня Firefox + KeeFox + KeepAss, то есть пароли хранятся только в KeepAss, и через прослойку KeeFox передаются браузеру. Конечно это не полностью прозрачная аутентификация, но как то ведь жить нужно в теперешнем несовершенно мире :) Всяким lostpass с серверным хранилищем не доверяю. Плохо что KeepAss пока что мало с каким софтом интегрируется (имеется виду локальный софт), имеется ввиду не на уровне горячих кнопок.
Все уже придумано:
Facebook Login developers.facebook.com/docs/guides/web/#login
Facebook Login developers.facebook.com/docs/guides/web/#login
Лень — двигатель прогресса
Скоро будет IPv6. Всем хватит адресов, у всех будут белые и выделенные. Можно будет регистрироваться по IP-шнику.
Провайдеры по старинке все-равно будут выдавать динамический :)
а белый за дополнительные средства :)
а белый за дополнительные средства :)
Да я лучше «правильный» пароль из 40 символов, с буквами, цифрами, знаками и псевдографикой запомню, чем свой адрес в IPv6, который, все равно может смениться при смене провайдера или даже просто при работе через мобильный модем.
НЛО прилетело и опубликовало эту надпись здесь
Регистрация — штука индивидуальная, на каком — то сайте по рассылке анекдотов по смс в регистрационных данных требуется телефонный номер, в других сайтах требуется email в третьих сайтах вообще ничего не требуется, поэтому стандартизировать всё это нету никакой возможности.
Правильно писали, немного упрощает этот процесс — вход по OpenId/OAuth, но ведь и там нужно регистрироваться.
ЗЫ: Я за поддержку сайтами систем входа по отпечатку пальца! :)
Правильно писали, немного упрощает этот процесс — вход по OpenId/OAuth, но ведь и там нужно регистрироваться.
ЗЫ: Я за поддержку сайтами систем входа по отпечатку пальца! :)
oAuth никому не по душе?
Мне по душе.
По мне так почти идеальное решение — это предлагать пользователю максимально возможное количество вариантов:
1. oAuth (Vkontakte, Facebook, Twitter, Google, Mail.ru, Yandex). При этом запрашивая лишь базовую информацию, то есть доступную любому из вне.
2. OpenID
3. Регистрация по старинке с email и паролем
По мне так почти идеальное решение — это предлагать пользователю максимально возможное количество вариантов:
1. oAuth (Vkontakte, Facebook, Twitter, Google, Mail.ru, Yandex). При этом запрашивая лишь базовую информацию, то есть доступную любому из вне.
2. OpenID
3. Регистрация по старинке с email и паролем
Когда-то давно придумали SSL client certificate. Ими пользуются, но почему-то не все.
OpenID существует достаточно давно, думается мне что если ресурс его не поддерживает — то это не по недоумию, а по различным причинам. Вполне возможно что по тем же причинам на ресурсе не будет поддерживаться очередной супер-общий стандарт, каким бы прекрасным он не был.
Уже несколько раз выше писали — авторизация через соц. сети решает проблему. Осталось сделать единообразное идеальное техническое решение.
Чего сейчас почти нигде нет:
1. Объединение профилей разных соц. сетей (чтоб залогиниться через любимый Хабровчанами Вконтакт, потом — например, через Фейсбук. И заходить уже через любую из подключенных соц. сетей в один и тот же аккаунт сайта).
2. По-умолчанию предлагать именно вход через соц. сети. Сейчас же, даже если кнопки соц. сетей есть, обычно они задвинуты на второй план.
Казалось бы, ничего особо сложного нет, но большинство продолжают клепать сайты с собственной авторизацией. Why?!
Чего сейчас почти нигде нет:
1. Объединение профилей разных соц. сетей (чтоб залогиниться через любимый Хабровчанами Вконтакт, потом — например, через Фейсбук. И заходить уже через любую из подключенных соц. сетей в один и тот же аккаунт сайта).
2. По-умолчанию предлагать именно вход через соц. сети. Сейчас же, даже если кнопки соц. сетей есть, обычно они задвинуты на второй план.
Казалось бы, ничего особо сложного нет, но большинство продолжают клепать сайты с собственной авторизацией. Why?!
Хранение паролей пользователя — возможность удержать клиента от перехода к конкуренту. Владельцы не станут заниматься такими вещами.
Пусть тут полежит:
http://www.bugmenot.com/
www.computerra.ru/reviews/419315/
+Сервисы для создания временных почтовых ящиков.
http://www.bugmenot.com/
BugMeNot.com was created as a mechanism to quickly bypass the login of web sites that require compulsory registration and/or the collection of personal/demographic information.
If you find bugmenot useful then please return the favour by telling everyone you know about it. Together we can take back the web.
www.computerra.ru/reviews/419315/
+Сервисы для создания временных почтовых ящиков.
Одноразовая почта.
Многие сервисы требуют указывать при регистрации e-mail, а сообщать свой адрес хочется далеко не всегда. В таких случаях неоценимую помощь окажут службы, предоставляющие услуги создания одноразовых почтовых ящиков.
Нужен адаптивный подход. Система авторизации, которая подстраивалась бы под пользователя и его интересы. Давайте попробуем взглянуть на проблему системно:
Что такое виртуальная учетная запись пользователя (аккаунт)?
По большому счету это способ идентификации между абстрактной информацией и конкретной физической личностью.
Стоит немного поразмыслить и тут же становятся очевидными зависимости, выраженные между информацией и физической личностью:
1. Принципиальная невозможность однозначной идентификации личности
Мы не можем однозначно персонализировать личность используя косвенные признаки, т.к. природа признаков будет определять саму персонализацию (косвенная персонализация). Фактически мы в принципе не можем персонализировать личность, но мы можем использовать признаки с необходимым и достаточным уровнем точности, начиная от логина, телефона, адреса, фотографии, паспортных данных и заканчивая отпечатками пальцев, моделью радужной оболочки глаза и проекцией ДНК.
Иными словами, используя телефон, email, логин, пароль и прочую информацию, мы лишь косвенно и с некоторой долей вероятности идентифицируем пользователя с точки зрения информационной системы.
2. Различное отношение пользователя к различным учетным записям
Совершенно очевидным становится различие в интересах пользователя к безопасности собственной информации на том или ином ресурсе. Если пользователь хранит в информационной системе на уровне собственной учетной записи информацию о местоположении, номере мобильного телефона, домашнего телефона, адреса проживания, уровне заработка, социальных отношений и т.д., то, очевидно, пользователь будет крайне заинтересован в конфиденциальности этих сведений.
Как «антипример» приведу вариант с необходимостью регистрации в онлайн играх по логину и паролю, не требующие никакого более подтверждения и созданные с целью «дискретизации» игроков.
Забыли логин в игре суть которой — прожечь время?
Не проблема! — придумали новый за 15 секунд и снова играете.
Другое дело, если вы потеряли пароль от почты, забыли ответ на ключевой вопрос и не имеете более вариантов восстановления доступа к ней, и как на зло, именно на этот почтовый ящик пришла важная для вас лично информация.
3. Избыточность способов и увеличение точности идентификации личности
Формирование избыточности способов идентификации как вариант обеспечения более высокого уровня безопасности виртуальной учетной записи.
Иными словами, чем больше количество способов идентифицировать личность по косвенным признакам, тем точнее будет идентификация и одновременно с этим, тем большей «отказоустойчивостью» будет обладать такая идентификация.
Например, у одного из пользователей учетная запись основана на совокупности входных данных «Логин и Пароль». В некоторый момент времени пользователь забывает пароль и не может произвести авторизацию… учетная запись фактически потеряна.
Вариант с большей степенью избыточности: учетная запись основана на совокупности «Email и Пароль». Пользователь забывает пароль. Не беда — восстановление на Email. Но Email могут взломать, он может быть удален, при длительном неиспользовании (в зависимости от почтового сервиса). Вспомните как раньше угоняли номера ICQ.
Учетная запись на основе «Email + Моб.телефон + Пароль».
Забыли пароль? — Восстановление через SMS и/или письмом на Email.
Взломали Email? — Возможность восстановления доступа к учетной записи через SMS на номер мобильного.
У вас украли мобильный телефон, зная, что вы зарегистрированы на сервисе, узнали через SMS пароль и получили доступ к аккаунту, затем сменили пароль и вы не можете зайти? — Идете в ближайший салон сотового оператора и выполняете стандартную процедуру блокировки номера телефона, и восстановлению sim-карты по паспортным данным, затем восстановление пароля по SMS и доступ снова у вас.
К чему я все это — дело в том, что чем больше способов идентификации, тем больше точность идентификации, и больше возможностей восстановления доступа к учетной записи. Вплоть до того, что если информационная система не позволяет (или такая точность идентификации не является целесообразной) с достаточной точностью идентифицировать личность, то могут быть применены статистические способы идентификации на основе социальных связей, как наиболее доступная альтернатива.
В качестве примера: пользователь утратил телефон, паспорт, Email, пароль,ответственность, и у него нет ни одного доступного варианта восстановления, но есть целая совокупность «друзей» в сервисе, точность идентификации которых достаточно высока, то они могут явиться поручителями для восстановления утраченного доступа к аккаунту.
Мои выводы: на данный момент я разрабатываю адаптивную систему авторизации пользователей. Я руководствуюсь принципом, который когда-то вычитал (и он мне пришелся очень по нраву) в одной из статей о разработке логике перемещений для скоростных лифтов в одном из Токийских небоскребов: раздражение человека пропорционально квадрату времени фактического ожидания.
Поэтому, чтобы дать полный доступ человеку к сервису, ему необходимо сделать минимум действий, но если он понимает со временем необходимость безопасности его учетной записи и конфиденциальности личной информации, он имеет возможность формировать избыточность путем подключения аккаунтов из социальных сетей, совокупности Email, номеров телефона, указания фактического адреса или личных сведений (например, 4 последние цифры в номере кредитной карты, паспорта и т.д.), а также совокупность социальных связей в виде пользователей-«друзей».
На мой взгляд, такой подход наиболее благоприятен с точки зрения юзабилити, более того, система может опускать первичную идентификацию, абстрагируя пользователя от нее путем присваивания сформированного номера сессии для браузера («инкубационный»-аккаунт), таким образом освобождая полностью от действий для регистрации в системе, считая уровень конфиденциальности данных незначительным.
На мой взгляд, очень важно понимать систематические принципы идентификации и назначение процесса идентификации не оторвано от реальности, а наоборот, в совокупности с ней.
P.S. Господа, примите эту информацию как мнение «одно из», а не как призыв к действию или навязыванию принципов. С уважением.
Что такое виртуальная учетная запись пользователя (аккаунт)?
По большому счету это способ идентификации между абстрактной информацией и конкретной физической личностью.
Стоит немного поразмыслить и тут же становятся очевидными зависимости, выраженные между информацией и физической личностью:
1. Принципиальная невозможность однозначной идентификации личности
Мы не можем однозначно персонализировать личность используя косвенные признаки, т.к. природа признаков будет определять саму персонализацию (косвенная персонализация). Фактически мы в принципе не можем персонализировать личность, но мы можем использовать признаки с необходимым и достаточным уровнем точности, начиная от логина, телефона, адреса, фотографии, паспортных данных и заканчивая отпечатками пальцев, моделью радужной оболочки глаза и проекцией ДНК.
Иными словами, используя телефон, email, логин, пароль и прочую информацию, мы лишь косвенно и с некоторой долей вероятности идентифицируем пользователя с точки зрения информационной системы.
2. Различное отношение пользователя к различным учетным записям
Совершенно очевидным становится различие в интересах пользователя к безопасности собственной информации на том или ином ресурсе. Если пользователь хранит в информационной системе на уровне собственной учетной записи информацию о местоположении, номере мобильного телефона, домашнего телефона, адреса проживания, уровне заработка, социальных отношений и т.д., то, очевидно, пользователь будет крайне заинтересован в конфиденциальности этих сведений.
Как «антипример» приведу вариант с необходимостью регистрации в онлайн играх по логину и паролю, не требующие никакого более подтверждения и созданные с целью «дискретизации» игроков.
Забыли логин в игре суть которой — прожечь время?
Не проблема! — придумали новый за 15 секунд и снова играете.
Другое дело, если вы потеряли пароль от почты, забыли ответ на ключевой вопрос и не имеете более вариантов восстановления доступа к ней, и как на зло, именно на этот почтовый ящик пришла важная для вас лично информация.
3. Избыточность способов и увеличение точности идентификации личности
Формирование избыточности способов идентификации как вариант обеспечения более высокого уровня безопасности виртуальной учетной записи.
Иными словами, чем больше количество способов идентифицировать личность по косвенным признакам, тем точнее будет идентификация и одновременно с этим, тем большей «отказоустойчивостью» будет обладать такая идентификация.
Например, у одного из пользователей учетная запись основана на совокупности входных данных «Логин и Пароль». В некоторый момент времени пользователь забывает пароль и не может произвести авторизацию… учетная запись фактически потеряна.
Вариант с большей степенью избыточности: учетная запись основана на совокупности «Email и Пароль». Пользователь забывает пароль. Не беда — восстановление на Email. Но Email могут взломать, он может быть удален, при длительном неиспользовании (в зависимости от почтового сервиса). Вспомните как раньше угоняли номера ICQ.
Учетная запись на основе «Email + Моб.телефон + Пароль».
Забыли пароль? — Восстановление через SMS и/или письмом на Email.
Взломали Email? — Возможность восстановления доступа к учетной записи через SMS на номер мобильного.
У вас украли мобильный телефон, зная, что вы зарегистрированы на сервисе, узнали через SMS пароль и получили доступ к аккаунту, затем сменили пароль и вы не можете зайти? — Идете в ближайший салон сотового оператора и выполняете стандартную процедуру блокировки номера телефона, и восстановлению sim-карты по паспортным данным, затем восстановление пароля по SMS и доступ снова у вас.
К чему я все это — дело в том, что чем больше способов идентификации, тем больше точность идентификации, и больше возможностей восстановления доступа к учетной записи. Вплоть до того, что если информационная система не позволяет (или такая точность идентификации не является целесообразной) с достаточной точностью идентифицировать личность, то могут быть применены статистические способы идентификации на основе социальных связей, как наиболее доступная альтернатива.
В качестве примера: пользователь утратил телефон, паспорт, Email, пароль,
Мои выводы: на данный момент я разрабатываю адаптивную систему авторизации пользователей. Я руководствуюсь принципом, который когда-то вычитал (и он мне пришелся очень по нраву) в одной из статей о разработке логике перемещений для скоростных лифтов в одном из Токийских небоскребов: раздражение человека пропорционально квадрату времени фактического ожидания.
Поэтому, чтобы дать полный доступ человеку к сервису, ему необходимо сделать минимум действий, но если он понимает со временем необходимость безопасности его учетной записи и конфиденциальности личной информации, он имеет возможность формировать избыточность путем подключения аккаунтов из социальных сетей, совокупности Email, номеров телефона, указания фактического адреса или личных сведений (например, 4 последние цифры в номере кредитной карты, паспорта и т.д.), а также совокупность социальных связей в виде пользователей-«друзей».
На мой взгляд, такой подход наиболее благоприятен с точки зрения юзабилити, более того, система может опускать первичную идентификацию, абстрагируя пользователя от нее путем присваивания сформированного номера сессии для браузера («инкубационный»-аккаунт), таким образом освобождая полностью от действий для регистрации в системе, считая уровень конфиденциальности данных незначительным.
На мой взгляд, очень важно понимать систематические принципы идентификации и назначение процесса идентификации не оторвано от реальности, а наоборот, в совокупности с ней.
P.S. Господа, примите эту информацию как мнение «одно из», а не как призыв к действию или навязыванию принципов. С уважением.
Прошу прощения, я забыл указать на самый важный пункт:
5. Взаимозависимость между уровнем безопасности и количеством персонализирующей информации
— Что мы пытаемся скрыть?
— Персональную информацию.
— Но что нас идентифицирует как личностей в информационных системах?
— Персональная информация.
Выводы очевидны.
5. Взаимозависимость между уровнем безопасности и количеством персонализирующей информации
— Что мы пытаемся скрыть?
— Персональную информацию.
— Но что нас идентифицирует как личностей в информационных системах?
— Персональная информация.
Выводы очевидны.
* пункт 4.
Чем больше персональной информации мы внесем в информационную систему, тем более точно мы сможем быть идентифицированы системой. Это обеспечит «отказоустойчивость» системы идентификации.
Если зная ваш логин и пароль, в вашей учетной записи в социальных сетях может сидеть кто угодно, то пользователь в наличии у которого ваши отпечатки пальцев, ваш рисунок радужной оболочки, ваши паспортные данные и сведения, принадлежащие вам (телефон, email, и т.д.) с огромной долей вероятности — Вы.
Мы стараемся обеспечить сохранность данных путем внесения этих данных, даже если и смотрим на это несколько с иного ракурса, понимая под безопасностью и конфиденциальность невозможность несанкционированного доступа к этой информации.
Само наличие персональной информации порождает понятие конфиденциальности и безопасности и неразрывно связаны с ее наличием. Там где нет персональной информации нет несанкционированного доступа.
Чем больше персональной информации мы внесем в информационную систему, тем более точно мы сможем быть идентифицированы системой. Это обеспечит «отказоустойчивость» системы идентификации.
Если зная ваш логин и пароль, в вашей учетной записи в социальных сетях может сидеть кто угодно, то пользователь в наличии у которого ваши отпечатки пальцев, ваш рисунок радужной оболочки, ваши паспортные данные и сведения, принадлежащие вам (телефон, email, и т.д.) с огромной долей вероятности — Вы.
Мы стараемся обеспечить сохранность данных путем внесения этих данных, даже если и смотрим на это несколько с иного ракурса, понимая под безопасностью и конфиденциальность невозможность несанкционированного доступа к этой информации.
Само наличие персональной информации порождает понятие конфиденциальности и безопасности и неразрывно связаны с ее наличием. Там где нет персональной информации нет несанкционированного доступа.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Я устал регистрироваться