Вопрос про аутентификацию
обычно достаточно угадать на какой ящик ты регался и запустить процедуру напоминания пароля, логин тебе тоже присылают обычно. а неразличие ошибок сделано из параноидальных целей.
и запустить процедуру напоминания пароля
вот только на некоторых ресурсах для того, чтобы прислать пароль, спрашивают, от какого логина пароль.
Ну если список пользователей открыт, то ты можешь поискать имя пользователя, которое ты вводишь в списке и если оно там есть, то очевидно, что ты вводишь неправильный пароль.
А по поводу того, что занято и ты придумываешь другое. То чем тебе это поможет? Ну напишет тебе, что неправильный пароль. Какую дополнительную информацию тебе это сообщит?
А по поводу того, что занято и ты придумываешь другое. То чем тебе это поможет? Ну напишет тебе, что неправильный пароль. Какую дополнительную информацию тебе это сообщит?
порой мой любимый логин бывает занят, так что если я куда-то захожу раз в год, то логин приходится угадыватьИ как тебе поможет ошибка "логин верный, пароль нет"? Ты все равно не знаешь твой это логин или нет - он просто есть.
Но в огромном количестве таких систем список пользователей просто открыт.При этом на очень большом количестве систем открыт список "отображаемых имен" не совпадающих с логинами.
А да. Я вообще сторонник того, что "логином" должен быть е-майл или openid. Список логинов в этом случае всегда закрыт получается, но при этом никогда свой логин на данном ресурсе угадывать не надо.
И как тебе поможет ошибка "логин верный, пароль нет"? Ты все равно не знаешь твой это логин или нет - он просто есть.бывает. тогда я лезу в профайл пользователя (в открытую его часть и смотрю, похоже это на меня или нет.
а можно было бы это показывать автоматически.
При этом на очень большом количестве систем открыт список "отображаемых имен" не совпадающих с логинами.на самом деле, так очень немного где.
openid — хорошо, конечно, да.
бывает. тогда я лезу в профайл пользователя (в открытую его часть и смотрю, похоже это на меня или нет.Что показывать? Профиль пользователя в окне авторизации?
а можно было бы это показывать автоматически.
зы. я кстати для гавно-сайтов, на которые попадаю раз в год для вспоминания логина пользуюсь поиском по гмайлу. быстро и удобно.
> Что показывать? Профиль пользователя в окне авторизации?
да. там, где скажут, что пароль неправильный, можно ещё написать выдержки из профайла и спросить: "это тот пользователь?"
> я кстати для гавно-сайтов, на которые попадаю раз в год для вспоминания логина пользуюсь поиском по гмайлу. быстро и удобно.
ну, это-то да. хотя, меня идея давайть всяким говносайтам свой имейл тоже как-то не вдохновляет.
да. там, где скажут, что пароль неправильный, можно ещё написать выдержки из профайла и спросить: "это тот пользователь?"
> я кстати для гавно-сайтов, на которые попадаю раз в год для вспоминания логина пользуюсь поиском по гмайлу. быстро и удобно.
ну, это-то да. хотя, меня идея давайть всяким говносайтам свой имейл тоже как-то не вдохновляет.
А ты при регистрации указывай поддельный емайл.
Да что там. Поддельный логин и поддельный пароль.
Да что там. Поддельный логин и поддельный пароль.
не знаю, как на этом движке, но на IPB можно запретить доступ к списку пользователей неавторизованным
Оставить комментарий
psihodog
Зачем в большинстве систем аутентификация устроена так, что ошибки "неправильный логин" и "неправильный пароль" не различаются?Я понимаю, зачем так сделано во всяких параноидальных системах: чтобы нельзя было выудить список пользователей и задача взлома системы была чуть посложнее. Но в огромном количестве таких список пользователей просто . После этого остаётся только одна причина, которая приходит на ум: такое различение ошибок просто не сделано.
Проблема существенная, потому что я, например, зарегистрирован на десятках, а то и сотнях форумов и интернет магазинов, везде разные ограничения на логины, порой мой любимый логин бывает занят, так что если я куда-то захожу раз в год, то логин приходится угадывать (ну про пароль я вообще молчу). А эти дурацкие формуы/магазины ещё строят из себя непойми что, вместо того чтобы помочь.