Новая статья в блоге

[vitalik_k]

Проектируя один сервис, я задумался о том, имеет ли смысл авторизовать пользователя после того, как тот прошел регистрацию. Пораскинув мозгами, я собрался с мыслями и написал статью на эту тему: «Нужна ли авторизация после регистрации?» Интересно Ваше мнение по этому поводу как пользователей: пользуетесь ли вы запоминалками паролей вроде Жезла в

Comments

[aleksergeev]

1. можно использовать для действительно важных сервисов свой пароль, а для кучи всего остального один другой. предполагаю, что так делает большинство.

(но я к примеру использую программы хранитель паролей и там держу все, но не сгенерированные этой программой а свои).

2. а теперь внимание ключевой момент. не везде регистрация использует мыло, даже если оно указывается при регистрации. если я заполняю формы, то нужно предупреждать юзера, что вам уйдет письмо с активацией, после того как вы нажемете ок.

и здесь же. люди не хранят пароли не в мыле. так как это и опасно не удобно.

и здесь же. старые письма уходят в историю и потом автоматически удаляются.

3. это ошибка.

4. не думайте что я придираюсь. но.
а. не юзабильно решать за юзера хочет он нормальный пароль, или бессмысленный набор символов
б. вообще хранить пароли в броузере опасно. если уже говорить о безопасности. любой откроет настройки и увидит пароли в незашифрованном виде. поэтому безопаснее всего помнить и забивать руками.

5. смысл в глазике пропадает если вы его показываете по факту отправленного с бредом письма.

есть вероятность решения этих вопросов или "итак сойдет"?

[vitalik_k]

Мне кажется, Вы перегибаете палку в вопросе безопасности. Мы здесь говорим о хранении паролей в браузере, считая, что это безопасно. Далее, на мыло активация падает чуть более чем со всех сервисов, разве что кроме почтовых, да и то некоторые умудряются. Сейчас почта де факто является вашим хранилищем индивидуальной информации, и ее взлом равносилен взлому квартиры. Так вы ведь деньги все равно дома храните, не так ли?

Конечно, я с Вами не просто так болтаю, а изучаю сильные и слабые стороны своего предложения, делаю выводы и пытаюсь оптимизировать работу сценария.

[aleksergeev]

конечно. я бы мог бы и не приводить аргументы почему хранить пароли в email плохо. (а это плохо и я там их не храню) здесь дело не только в этом.

но дайте-ка я уточню:
вы без предупреждения отправляете на почту письмо, с уже сгенеированным паролем, потому что решили за пользователя что ему нужен автоматически сгенерированный пароль и ставите его перед фактом после того как он только сказал свое мыло и рассчитываете что он будет вам благодарен за удобную форму регистрации?

я думаю что форма логина с уже заполненными полями и зашифрованным полем пароля (с возможностью его проверить) с фокусом на кнопке ок в самом финале регистрации, это действительно неплохая идея.