Статьи

Леонід Каганов: 2013/08/08 Движок: відновлення забутого пароля

Ви мене довго про це питали, але все руки не доходили. Нарешті я забув свій пароль на lleo.homeip.net (а може, пароля там і не було, а я логін через Фейсбук який-небудь?), І довелося нарешті зробити в движку відновлення пароля. Ви мене довго про це питали, але все руки не доходили

Отже: щоб викликати вікно логіна, треба натиснути з клавіатури 'U' і в розкрилася картці кнопку «залогінитися». Або - просто відкрити сторінку за прямим посиланням http://lleo.me/dnevnik/login . У самому нижньому розділі, де введення логіна і пароля, тепер є ссилочку «я не пам'ятаю свій пароль». За нею розкриється додатковий розділ, де треба ввести email, вказаний при реєстрації (не важливо, був він підтверджений чи ні) або логін (якщо не пам'ятаєте email). Або і те й інше, якщо на один email ви на заводі колись купу акаунтів. Втім, якщо просто вказати емайл, движок сам знайде все акаунти і перерахує їх на вибір. На email відправиться лист з посиланням, зайшовши по якій, ви зможете набрати новий пароль (і вас відразу перемкне в ваш старий аккаунт). Єдине що - після моїх вчорашніх експериментів з поштою там вивалилася купа сміття в sendmail і він задумався - сервер може працювати нестабільно і листи дійдуть не відразу.

Користуючись нагодою, хочу сказати наступне всім розробникам:

1. Ненавиджу, коли пароль на екрані замінюється зірочками. Якщо я такий ідіот, що мені закортіло набирати пароль в переповненому трамваї, я сам здатний вирішити проблему, як відгородитися долонькою від пасажирів, що заглядають через плече. А професійний шпигун зможе вгледіти пароль просто по тим кнопок, яких я торкаюся - їх-то ви зірочками ви не вийдете.

2. Ненавиджу, коли пароль пропонують «повторити» від помилок. А нехер було його забивати зірочками, тоді і помилок не буде! Людина не дебіл, щоб робити помилку в паролі. А якщо він опечатали - нічого страшного, проведе зміну пароля через пошту ще раз.

3. Ненавиджу, коли говноразработчікі пишуть «ваш новий пароль h6sY! HWf6 $ E19h & j№sNHTjs, потім ви його зможете потім як-небудь де-небудь змінити ...» Зміни себе мозок, сука, і придумай нормальний інтерфейс! Пароль - особиста справа користувача, а не розробника.

4. Ненавиджу розробників-придурків, які починають гівно «пароль поганий, обов'язково повинна бути хоч одна велика літера, цифра, розділовий знак і мінімум дві букви грецького алфавіту ...» Якщо я хочу поставити "123" - це моя особиста справа, а не ваше! А свої говноконструкціі з великими літерами самі зубрите.

5. Ну і звичайно треба вбивати розробників, які зберігають у себе паролі користувачів. Тільки хеш! Ви не маєте ніякого права зберігати у себе чуже, піддаючи своїх користувачів ризику, якщо ваш говноресурс хтось зламає і дізнається паролі, які користувач, можливо, використовує ще десь. Саме тому всі ці роки я нічим не міг допомогти людям, які мені писали «Лео, підкажи, який у мене був пароль?» Або «Лео, пропиши мені пароль qwerty123, а то я свій забув». У мене зберігається тільки хеш.

Вибачте за різкість, просто на тому тижні мені довелося розмовляти на ці теми з одним професійним діячем, який половину цих пунктів просто не розуміє. Ми, каже, подивилися по нашій базі (!), Що у багатьох наших користувачів занадто прості паролі, ми вирішили їх усіх заблокувати, якщо не змінять за добу ...

А може, пароля там і не було, а я логін через Фейсбук який-небудь?
Саме тому всі ці роки я нічим не міг допомогти людям, які мені писали «Лео, підкажи, який у мене був пароль?

Новости