я

vitalik_k


Объектив и фломастеры

конспект по жизни, теперь с картинками


Previous Entry Share Next Entry
Новая статья в блоге
я
vitalik_k
Проектируя один сервис, я задумался о том, имеет ли смысл авторизовать пользователя после того, как тот прошел регистрацию. Пораскинув мозгами, я собрался с мыслями и написал статью на эту тему: «Нужна ли авторизация после регистрации?» Интересно Ваше мнение по этому поводу как пользователей: пользуетесь ли вы запоминалками паролей вроде Жезла в Опере? Упростило бы вам подобное решение жизнь? А может, только запутало бы?

Кстати, чтобы не было второго подряд поста без картинок, приложу сюда схему регистрации:


Вот примерно так все и должно работать =) Кстати, в статье есть ссылка на рабочий пример.

  • 1
только open id, только хардкор

А если я нигде больше не зареган?

А что, есть люди которые полезут регистрироваться на гениальном стартапе двух друзей из Замухронско-Мытищево не имея даже странички "Вконтакте"?

Не вижу в этом ничего странного. Если твой стартап — сайт турфирмы, например, или какая-нибудь база знаний, то там могут регистрироваться адекватные пользователи, не имеющие аккаунта на популярных сервисах (ведущие свою старую провайдеровскую почту) или не желающие связывать его с данным сервисом.

добавь валидацию мыла на примере, кстати

Она есть. На фейковую почту мейл не отсылается.

пишет, что отсылается

Она пишет, что авторизация идет. А почту скрипт никуда не шлет. У нас же демка не валидацию почты иллюстрирует, а сценарий регистрации. Входные данные в нашем случае вообще никого не волнуют.

Очень уж индивидуально. Запоминалкой пользуюсь, действительно. Но если настроено автоматическое вхождение на сайт, то она же нужна только в экстренных случаях. Впрочем, от одного лишнего шага я не развалюсь)

P.S. Что касается регистрации на других сайтах, то вполне может быть желание "не светиться". Ту же путевку заказывать хоть любовнице, хоть жене в качестве сюрприза)

P.P.S. Генерация, а не ввод пароля - это для примера или концепция? Меня, скажем, раздражают сайты, сами генерирующие пароль. Или лезть разбираться, как его поменять, или таки надеяться на "желз".

Думаю, можно во время первой аторизации предложить пользователю сменить пароль.

Лишнее усложнение, как по мне.

Я бы предложил таки ориентироваться на задачи сайта. Что-то глобальное, где люди будут точно тусоваться? Сделать нормальный ввод своего пароля. При необходимости сделать "гостевой вход" для доступа/комментариев.
Что-то локальное и маленькое? Можно ввод почты сделать опциональным, а пароль пусть таки генерится автоматом...
Кстати, раздражают сайты, где несколько "логинов", обычно это в играх. Доступ идет по почте, обращаются к тебе по твоему логину, а для остальных есть другой логик %)

Насчет П.С.: ты так говоришь будто "снаружи" видно для чего я использую свой опенид.

Нет, тут всякие частности. Возможный спам на соответствующую почту, какая-нибудь функция "посмотрите, все эти вконтактеры были на нашем сайте" или "подбор рекламы по Вашим интересам" и т.п.

а кто это кроме меня видит?

Доступ к почте может быть у семьи (вообще "жезл" очень способствует таким штукам, да). Или ты сидишь в контакте/ЖЖ, подходит кто-то, а тебе на полстраницы "Контекстная реклама! Вы интересовались турпоездками!". Ну и, в конце концов, как я понимаю, функция "на вашей/этой странице был Вася" вконтакте отсутствует </i>пока</i>, а не вообще. Хотя, тут есть плюс - если муж и жена на одном сайте решат заказать одинаковые подарки, может, удастся избежать "даров волхвов".
P.S. Да, я несколько утрирую и говорю о среднестатистическом пользователе, а не о тебе) Но к приватности в виртуале я отношусь очень бережно.

что-то в этом есть, но в целом пока реализовано очень мутно:

"
С одной стороны, опыт подавляющего большинства сайтов говорит нам о том, что посетители привыкли к тому, что после процедуры регистрации им больше ничто не мешает пользоваться услугами сайта. С другой, многие используют всевозможные приложения и менеджеры паролей (интегрированные в браузер или сторонние сервисы), а значит, при следующем входе им придется вспоминать свои логин-пароль вместо того, чтобы войти почти автоматически.
"

не понимаю в чем противоречие. если я зарегился и на сайте и залогинен, то почему в слудющий раз я неприменимо должен напрягаться вспоминать логин-пароль? нет шага с форой ввода логина пароля?

1. большинство юзеров юзает стандартные имя-пароль.

2. из чего следует что я хочу ловить свой пароль на эмайле?
те кто не юзает стандартных имен, юзают кей-генераторы и тем более не хотят искать пароль в мыле.

3. почему без спросу ушло?

4. почему автоматическая ерунда? мне предлагается хранить в почте это письмо вечно? или время от времени генерировать новый пароль?

5. почему на картинке есть, а реальности нет возможности проверить что там сгенерировалось?

5. почему нет возможности проверить что забиваю я (тогда нужно второе поле для проверки).

туча юзабильных провтыков, при небольшом улучшении.
как всегда, впрочем.

может из этого что-то вылупиться.

Хмм, ну поехали:
1. Стандартные логины-пароли зло, открывая один теряешь все. Храните яйца в разных корзинках.
2. Пароль на мыле нужен для того, чтобы взять его там, если нужно внести в какие-то хранители паролей. Можно удалить и забыть.
3. Уходит со спросом — у Вас спросили почту, а на нее всегда что-то уходит после регистрации.
4. Это не ерунда, это стойкий к перебору пароль. Хранить письмо можно вечно, а можно см. п. 2
5. Потому что это не реальность, а так, демка =)
6. Возможность есть на картинке(нужно в глазик тыкнуть). Реализовывать в демке лень. =)

Как-то так, да.

1. можно использовать для действительно важных сервисов свой пароль, а для кучи всего остального один другой. предполагаю, что так делает большинство.

(но я к примеру использую программы хранитель паролей и там держу все, но не сгенерированные этой программой а свои).

2. а теперь внимание ключевой момент. не везде регистрация использует мыло, даже если оно указывается при регистрации. если я заполняю формы, то нужно предупреждать юзера, что вам уйдет письмо с активацией, после того как вы нажемете ок.

и здесь же. люди не хранят пароли не в мыле. так как это и опасно не удобно.

и здесь же. старые письма уходят в историю и потом автоматически удаляются.

3. это ошибка.

4. не думайте что я придираюсь. но.
а. не юзабильно решать за юзера хочет он нормальный пароль, или бессмысленный набор символов
б. вообще хранить пароли в броузере опасно. если уже говорить о безопасности. любой откроет настройки и увидит пароли в незашифрованном виде. поэтому безопаснее всего помнить и забивать руками.

5. смысл в глазике пропадает если вы его показываете по факту отправленного с бредом письма.

есть вероятность решения этих вопросов или "итак сойдет"?

Мне кажется, Вы перегибаете палку в вопросе безопасности. Мы здесь говорим о хранении паролей в браузере, считая, что это безопасно. Далее, на мыло активация падает чуть более чем со всех сервисов, разве что кроме почтовых, да и то некоторые умудряются. Сейчас почта де факто является вашим хранилищем индивидуальной информации, и ее взлом равносилен взлому квартиры. Так вы ведь деньги все равно дома храните, не так ли?

Конечно, я с Вами не просто так болтаю, а изучаю сильные и слабые стороны своего предложения, делаю выводы и пытаюсь оптимизировать работу сценария.

конечно. я бы мог бы и не приводить аргументы почему хранить пароли в email плохо. (а это плохо и я там их не храню) здесь дело не только в этом.

но дайте-ка я уточню:
вы без предупреждения отправляете на почту письмо, с уже сгенеированным паролем, потому что решили за пользователя что ему нужен автоматически сгенерированный пароль и ставите его перед фактом после того как он только сказал свое мыло и рассчитываете что он будет вам благодарен за удобную форму регистрации?

я думаю что форма логина с уже заполненными полями и зашифрованным полем пароля (с возможностью его проверить) с фокусом на кнопке ок в самом финале регистрации, это действительно неплохая идея.

Вроде бы как логично. Но за видимым упрощением скрывается дикое усложнение.
Поясняю.

1. Если требуется валидация емейла (а это требуется очень часто), то есть смысл логинить пользователя при переходе по ссылке валидации.

2. Сайты, которые сами генерируют пароль, - суть зло и должны исчезнуть.

3. Если отказаться от п.2, то, о чудо! браузер предложить запомнить логин и пароль еще на шаге регистрации. Специально сделал макет, чтобы убедиться. Не скажу за все браузеры, но ФФ однозначно на форме регистрации предложил все сохранить, так что на странице логина, данные подставились из сохранялки паролей.

4. Если я ничего не сохранял в браузере, то при переходе на следующую страницу, увидев предзаполненное звездочками поле пароля, я решу, что это дефолтное значение, как часто делается на сайтах и мне нужно ввести свой пароль. Т.е. я буду по второму разу писать то, что там уже введено. Без пояснялки вообще не очевидно, что в этом поле оказался мой пароль.

Выводы:
1. Если не нужна валидация емейла, лучший способ сделать в форме регистрации поля логин и пароль (чтобы браузер имел шанс их запомнить). После отправки формы, логинить пользователя автоматически.

2. Если требуется валидация емейла - логинить на действие верификации.

Да, в чем-то ты прав. Но по-моему имеет смысл продумать этот механизм, чтобы сделать момент авторизации чуть более удобным. В целом же спасибо, я существенно переработаю сценарий =)

Да куда ж удобнее? Ввел емейл и пароль и сразу попал на сайт.
Проще - логин через социалки или OpenID.
А еще проще, когда можно будет регистрироваться по отпечатку пальца или сетчатке глаза :)

во-1х я как-то привык к тому что после регистрации и так просят ввести логин и пароль, так что да, упростит.
во-2х очень удобно когда на почту приходит и логин и пароль, а не только логин, тогда его можно посмотреть в почте вместо того чтобы восстанавливать его.
в-3х мне не нравится генерация пароля :)

  • 1
?

Log in

No account? Create an account