LINUX.ORG.RU

Регистрация на сайтах изжила себя в 2019 году? Дизайн площадок для общения.

 


2

1

Не очень понимаю зачем фича «регистрация» вообще ещё существует как отдельная кнопка на площадках для общения. Точнее понимаю - как пережиток времён, когда всё дизайнили программисты с создание профиля было дорогим и требовало особого ритуала с участием юзера. Отдельно выделенная функция «регистрация» с ритуалом заполнения какой-то там анкеты и подтверждением мыла - это что-то из девяностых, пережившее застой в мозгах длившийся почти 20 первых лет 21 века.

Покритикуйте такой подход к дизайну абстрактного форума.

1. Кто-то пришёл. У него нет cookie, он никогда у нас не был. Ставим ему новую куку, сразу же создаём полноценный профиль с ником == «noname». Кулхацкеры могут запустить curl, выкидывая куки в помойку, и спровоцировать зафлуживание нашей базы новыми профилями, но есть лимит 1 рега с 1 IP в 10 минут. Да, пускай переключают выходные ноды TOR - это всё равно очень медленно. Тут могут быть 100500 вариантов (генерить профиль только на 5-й визит с этой кукой, не хранить куку у себя, а закриптовать в куку что-то хитрое нашим закрытым ключом и хранить профиль в ней самой пока юзер не сходит к нам с ней раз 10 в течении 5 минут), но это всё пофиг, т.к. главное - нам очень дёшево создать новый профиль.

2. Теперь ты приходишь и у тебя есть профиль. Ты выглядишь для всех как «noname» или «user_${ID}» — как-то мутно и анонимно, хотя при желании тебя отличат (по URL на профиль, скажем). У тебя нет даже пароля, ты можешь получить доступ к аккаунту только из данного браузера по своей куке. Далее ты можешь пойти в профиль и дозаполнять - задать пароль, задать юзернейм и что угодно ещё. Пока ты не задал никакой логин/пароль, твой аккаунт фактически привязан к устройству, с которого ты зарегался. Возможно тебя это устраивает и ты готов выкинуть аккаунт через 5 минут навсегда - не вопрос.

3. Пофигу на телефон или email. Не надо таким образом ничего подтверждать. Зачем? Атакующий и так надыбает базу телефонов или поднимет 500 доменов с почтами и нафлудит как захочет. Всё зависит от ресурсов и его ботнетов. Также не надо юзать email для восстановления доступа: если юзер хочет иметь возможность восстанавливать доступ, позволь ему в профиле ввести ещё один пароль или 10 дополнительных паролей (как PUK и PIN коды), которые нельзя просмотреть из-под первого. Забыл основной? Введи второй. Не помнишь второй - значит ты неудачник, который бы забыл пароль и от email. Бывает, мы сожалеем, «экий вы сударь простофиля». Или рассчёт на то, что email у людей всегда где-то залогинен? Чё-то не безопасно. Уведут аккаунт у такого простофили через email. Ну хорошо, чтобы совсем не зафлуживать систему, можем прикрутить капчу. Это гораздо круче, чем какое-то там подтверждение себя через email.

4. Ник - не важен. Профиль всё равно есть. Ты можешь так и сидеть называясь «noname» годами, если хочешь. При этом получать карму, оповещения, доступы и т.п. как нормальный - ты и есть нормальный, просто тебе лень или не нужно задавать ник. Наличие ника - такой же выбор, как указать из какого ты города. Нет цели отличаться от других - отлично, не указывай ник. Либо можем показывать ники как «user_${USER_ID}» вместо «noname» чтобы их как-то отличали. В целом наверное достаточно много людей на свете, которые пришли на ресурс срочно задать вопрос или поделиться знаниями, которые точно не собирались гадить и которым полностью пофиг на то, чтобы разводить виртуальную жизнь - придумывать ник, загружать аватар и придумывать остроумные девизы-подписи. Ты ведь не показываешь паспорт при покупке хлеба в магазине, а только бабло. Так и на ресурсах общения - заходите все, у кого что интересного сказать (знания - основная валюта), а уж кто вы там - вторично.

В целом концепция такая: позволить профилям появляться в огромном количестве без всякого труда, снижая входной барьер. Далее каждый профиль развивается или автоматически выкидывается уборщиком мусора через месяц. Несколько модеров могут постепенно добавить профилю карму и уже какой-нибудь 4-й модер сможет увидеть, что этот аккаунт, похоже, вполне валидный, судя по постам человека. Плюс всякая автоматика, нейросети, детекторы копипасты.

Видимо для старпёров (кому сейчас по 25 и больше) придётся выдавать где-то месагу «вы уже зарегистрированы, вот ваш профиль: тынц». Новое поколение втянется в эту безрегистрациюнную штуку уже само.



Последнее исправление: igloev (всего исправлений: 4)

Не очень понимаю зачем фича «регистрация» вообще ещё существует

Плюсую. Особенно радуют мудацкие форумы, где нужно регистрироваться, чтобы видеть картинки и ссылки в постах. Особенно радует, когда это технический форум, и на картинке или по ссылке - решение проблемы. Желаю мучительной смерти тем гнидам, что это придумали.

Deleted
()
Ответ на: комментарий от Deleted

Ни разу не страдал и убежден, что на подобных «ресурсах» не бывает никаких решений проблем и вообще какого-нибудь полезного контента.

anonymous
()
Ответ на: комментарий от anonymous

Может и не бывает, откуда мне знать, я же не вижу то что там скрыто от незарегистрированных XD

Просто уродство очевидное.

Deleted
()

Есть же OpenID

anonymous
()
Ответ на: комментарий от Harald

Тут без oauth2 никак. )

Т.е. хоть одна рега, с которой будут связаны все остальные, но нужна.

vvn_black ★★★★★
()

Не очень понимаю зачем фича «регистрация» вообще ещё существует как отдельная кнопка на площадках для общения.

Чтобы повысить порог вхождения, дабы спамеру было финансово невыгодно спамить — отмести полную автоматизированность. Тут может помочь капча при каждом сообщении, но это неудобно уже для честного юзера — проще один раз зарегистрироваться.

но есть лимит 1 рега с 1 IP в 10 минут.

IP не проблема — переключать выходные ноды тора, прокси или VPNы можно без участия человека.

В целом концепция такая: позволить профилям появляться в огромном количестве без всякого труда, снижая входной барьер.

Если цель в этом, а не как обычно в противоположном, то почему бы и нет.

anonymous
()

На самом деле ты будешь сидеть в православном чебурнете по своим паспортным данным.

anonymous
()
Ответ на: комментарий от Harald

как твоя кука будет путешествовать между разными устройствами

Никак. И это не проблема: на устройстве, где ты зашёл на сайт, ты продолжаешь заполнение профиля логином и паролем, чтобы иметь возможность логиниться откуда угодно. Пока ты этого не сделал, ты привязан к тому устройству.

igloev
() автор топика
Ответ на: комментарий от Deleted

Плюсую. Особенно радуют мудацкие форумы, где нужно регистрироваться, чтобы видеть картинки и ссылки в постах.

Да, тоже такая тема выбешивает. В большинстве случаев помогает регистрация на временный почтовый ящик (всякие temp-mail и прочие сервисы). Благо они постоянно плодят свои домены и содержать их актуальный список довольно сложно.

Дорогие смски — это настоящее благо. Иначе все бы привязывались к ним, а так это могут позволить себе только крупные сервисы.

Еще натыкался на форумы, где для открытия некоторых разделов или ссылок требовалось оставить несколько «полезных» сообщений на форуме. Надо ли говорить, что те люди, которые хотели просто их увидеть писали всякий бред. Странное решение.

По поводу восстановления пароля по email, я думаю, его все же нужно оставить. Но при регистрации его не требовать. Если хочешь получать уведомления/иметь возможность восстановить пароль — укажи email. Не хочешь — не указывай. Пароли иногда все же забываются/теряются. Базы с паролями типа кипаса не всегда может быть доступна под рукой. Иногда проще сбросить пароль. А коды восстановления нужно тоже где-то хранить. На них все забивают, кроме самых важных аккаунтов. Но твой сервис вряд ли будет из их числа.

anonymous
()
Ответ на: комментарий от anonymous

Чтобы повысить порог вхождения, дабы спамеру было финансово невыгодно спамить — отмести полную автоматизированность. Тут может помочь капча при каждом сообщении, но это неудобно уже для честного юзера — проще один раз зарегистрироваться.

Запросить капчу при первом посте и успокоиться.

IP не проблема — переключать выходные ноды тора, прокси или VPNы можно без участия человека.

И пусть переключают. Это медленно. Для нас такое - как регать нормальных юзеров.

igloev
() автор топика
Ответ на: комментарий от igloev

Запросить капчу при первом посте и успокоиться.

Это слишком мало телодвижений, учитывая, что с одной регистрации можно спамить много раз. Смысл как раз в том, чтобы усложнить регистрацию таким образом, чтобы для модератора забанить пользователя было меньше времени и сил, чем пользователю зарегать аккаунт. Только в таком случае баны имеют эффективность.

И пусть переключают. Это медленно.

Это около 1.5 секунд. По сравнению с нормальной регистрацией — ничто. Но важно не это. Важно то, что для этого не требуются трудозатраты человека.

anonymous
()
Ответ на: комментарий от anonymous

Это слишком мало телодвижений,

Это норм. Учитывая что сообщения новозарегистринованного не видит никто, кроме него. Точнее все видят некую опцию «показать кучу спама в треде», где юзеры с ненулевой репутацией могут порыться и вытащить со дна нормальные посты, добавим кармы им. Но это уже другая история - про права доступа и иерархию власти и привилений. Спамить можно, но бессмысленно. Плюс мы живём в век ИИ, помощь умных алгоритмов в отлове спама никто не отменял. Короче это другая тема.

Это около 1.5 секунд.

Допустим таких хитрожопых 100 человек. Плодить в базе 100 профилей в секунду - ваще пофиг. Ориентировочно хранилище должно тянуть миллионы новых рег в секунду. Большинство будут убиты уборщиком мусора.

igloev
() автор топика
Ответ на: комментарий от anonymous

Для борьбы со спамерами, можно попробовать выполнять на компе какие-либо вычисления, типа тех, которые сейчас используются при майнинге криптовалют. Тогда регистрация будет анонимной и при этом для массового спама будет затруднена. Хотя, конечно, зарегистрироваться с мобильника не получится. Да и ждать несколько часов на маломощных компах перед первым постом будет грустно.

anonymous
()
Ответ на: комментарий от anonymous

Опять же, можно оспользовать комбинированный подход — можно заводить аккаунт без подтверждения, но при этом отображать капчу каждый раз. А потом человек может на ночь оставить комп поработать и подтвердить свой аккаунт.

Особо прожученные могут даже использовать реальный майнинг — ресурсу копеечная прибыль, раз уж все равно энергия жрется в холостую.

anonymous
()
Ответ на: комментарий от Deleted

уродство очевидное.

Дьявол в деталях.

Сидят несколько сотен людей, общаются на узкую тему. По разному общаются. Не то чтобы до драки, но эмоциональненько, скажем так. Ты же это всё и разрабатывал, ты же это всё и сопровождаешь. И сам, конечно, заинтересован этой узкой темой. И не за деньги, а для души.

Но звонит тебе Хозяин Ресурса и говорит, что ему звонил Хозяин Хозяина Ресурса и выражал крайнее недовольство этим общением и некоторыми точками зрения. В общем - сворачивай лавочку.

Тогда ты делаешь ровно наоборот - закрываешь чтение комментариев для анонимов, чтобы отсечь всех хозяев разного калибра и прочих случайных посторонних. Кто просто мимо шёл - будет видеть только официальные, рафинированные новости - и пойдёт дальше довольный.

Долго это не живёт, но можно успеть всем табором переехать на другой ресурс той же узкой темы. Лет десять назад история была.

Deleted
()
Ответ на: комментарий от anonymous

Для борьбы со спамерами, можно попробовать выполнять на компе какие-либо вычисления, типа тех, которые сейчас используются при майнинге криптовалют. Тогда регистрация будет анонимной и при этом для массового спама будет затруднена. Хотя, конечно, зарегистрироваться с мобильника не получится. Да и ждать несколько часов на маломощных компах перед первым постом будет грустно.

Придумано в девяностых. Для борьбы с емейл-спамом. Называется HashCash. Не нашло распространения, т.к. диапазон вычислительных мощностей слишком велик. Китайцы создадут ASIC и будут спамить, но если их забороть, то с мобильного устройства ваще никогда в жизни ничего не отправишь.

igloev
() автор топика
Ответ на: комментарий от Deleted

Абсурд какой-то. Хочешь закрыть общение старичков от посторонних глаз - сделай полностью закрытый для анонимов и новичков раздел.

Deleted
()
Ответ на: комментарий от igloev

Это норм. Учитывая что сообщения новозарегистринованного не видит никто, кроме него. Точнее все видят некую опцию «показать кучу спама в треде», где юзеры с ненулевой репутацией могут порыться и вытащить со дна нормальные посты, добавим кармы им. Но это уже другая история - про права доступа и иерархию власти и привилений.

В этом случае да, так сработает. Но в этом случае можно обходиться даже и вообще без регистрации и разрешать анонимуса. Подходит это далеко не всегда и не везде. Площадки для общения, на которых есть карма превращаются в хабры. Есть исключения (относительные) вроде реддита и… всё.

То есть — будет ли работать подобный вариант? Да, будет, в определённых случаях. Изжила ли себя классическая регистрация в принципе? Нет, не изжила.

anonymous
()
Ответ на: комментарий от igloev

Ну основная идея, сделать спам невыгодным. Алгоритмы можно менять время от времени. Бывают алгоримы, требующие какое-то фиксированное кол-во памяти. Сейчас 8 гигов есть практически у всех, а подобные впски стоят уже каких-то денег. Плюс некоторые криптовалюты принципиально борятся с майнерами на асиках, используя специальные алгоримы и часто меняя их. Иожно взять их наработки.

anonymous
()
Ответ на: комментарий от anonymous

превращаются в хабры.

Что это значит? А как ты можешь определить «хабр»? Я примерно понимаю о чём речь, но не могу точно сформулировать.

igloev
() автор топика
Ответ на: комментарий от anonymous

Ну вообще есть тупо капча. Её можно подмешивать в процесс общения, затрудняя жизнь спамера. Это эквивалент HashCash в принципе.

igloev
() автор топика
Ответ на: комментарий от igloev

Это норм. Учитывая что сообщения новозарегистринованного не видит никто, кроме него. Точнее все видят некую опцию «показать кучу спама в треде», где юзеры с ненулевой репутацией могут порыться и вытащить со дна нормальные посты, добавим кармы им. Но это уже другая история - про права доступа и иерархию власти и привилений. Спамить можно, но бессмысленно. Плюс мы живём в век ИИ, помощь умных алгоритмов в отлове спама никто не отменял. Короче это другая тема.

В этом случае борьбу со спамом нужно перекладывать на основное комьюнити. Т.е. кто-то должен ковыряться в тонне спама, чтобы выцепить из него неспам. Для новичков же тоже проблема - он напишет сообщение, а все его проигнорирует. Какой тогда в этом ресурсе толк.

anonymous
()
Ответ на: комментарий от igloev

Определить чётко сложно, но…

Весьма специфическая площадка общения с весьма специфическим общением, где все кроме новичков и единичных персонажей, которым там уже надоело, трясутся за карму (или дрочат на оную) и боятся высказать любую мысль, с которой потенциально может быть несогласно большинство пользователей.

anonymous
()
Ответ на: комментарий от Harald

бороться со спамом нужно путём анальных кар тем, кто этот спам заказывает, т.е. рекламодателям

В идеальном мире это даже получится, ага.

Плюс «спам» в классическом понимании — не единственное, что имеется в виду. Бывают промытые (не проплаченные) политические провокаторы (иногда на них пофиг, иногда нет — зависит от тематики форума, может она узкоспецифическая), бывает обиженный забаненный школьник со скриптами, у которого просто очень много времени.

anonymous
()
Ответ на: комментарий от igloev

Ну вообще есть тупо капча. Её можно подмешивать в процесс общения, затрудняя жизнь спамера. Это эквивалент HashCash в принципе.

Ну, на самом деле можно реально обойтись и просто одной капчей. Просто чем больше у пользователя «рейтинг», тем реже ее показывать. Если пользователь оставил 10-15 нормальных сообщений, значит это адекватный чел и можно капчу ему не показывать. Но первые 10 сообщений придется помучаться. Если пользователю все это понятным языком объяснить, думаю, особо протестующих будет немного.

anonymous
()
Ответ на: комментарий от anonymous

Такой вариант приемлим. Но зачем? Большинство потенциальных пользователей абстрактного интересного им форума предпочтут один раз ввести капчу и подтвердить мыло, а дальше общаться спокойно, чем вводить её 15 раз.

anonymous
()
Ответ на: комментарий от anonymous

Мыло против спама неэффективно. Куча сервисов с рандомными временными емейлами с кучей доменов.

anonymous
()
Ответ на: комментарий от anonymous

+ весь этот топик о том, что нормальный емейл деанонимизирует пользователя и создает возможность уже сервису рассылать пользователю спам. Или продать базу спамерам.

Регистриуя аккаунт на временный почтовый ящик ты передаешь владельцу сервиса права на управлением твоим аккаунтом.

anonymous
()
Ответ на: комментарий от anonymous

Кстати, идея на миллион. Когда регистриуешь на большинстве сервисов через емейл, то, обычно, в письме приходит логин пользователя. Через несколько месяцев, владельцам сервисов с временными емейлами можно в автоматическом режиме выцеплять из подобных писем логины пользователя, сбрасывать на сервисах к этому логину пароли и спамить. Возможно, у пользователя к тому времени уже будет репутация и его не так быстро забанят.

anonymous
()
Ответ на: комментарий от anonymous

В этом случае борьбу со спамом нужно перекладывать на основное комьюнити. Т.е. кто-то должен ковыряться в тонне спама, чтобы выцепить из него неспам. Для новичков же тоже проблема - он напишет сообщение, а все его проигнорирует. Какой тогда в этом ресурсе толк.

Да, это проблема. Пока не буду озвучивать вариантов решений, особо умных нет. Возможно вначале активно подмешивать капчу. Пускай человек отгадает капчу несколько раз - столько, что по времени это будет эквивалентно геморою с верификацией емейла.

igloev
() автор топика
Ответ на: комментарий от anonymous

Возможно все tmp-email сервисы и созданы с этим умыслом изначально, мы не знаем.

igloev
() автор топика
Ответ на: комментарий от anonymous

Ну, на самом деле можно реально обойтись и просто одной капчей. Просто чем больше у пользователя «рейтинг», тем реже ее показывать. Если пользователь оставил 10-15 нормальных сообщений, значит это адекватный чел и можно капчу ему не показывать. Но первые 10 сообщений придется помучаться. Если пользователю все это понятным языком объяснить, думаю, особо протестующих будет немного.

Да. Вот что-то на эту тему.

igloev
() автор топика
Ответ на: комментарий от Deleted

Особенно радуют мудацкие форумы, где нужно регистрироваться, чтобы видеть картинки и ссылки в постах

Плюсую, бро! Это верх идиотизма. На подобных форумах принципиально не стал бы регистрироваться.

Satori ★★★★★
()
Ответ на: комментарий от JAkutenshi

tl;dr человек придумал имгборду с нейм/трипфагами?

Чё такое нейм/трипфаги? Имгборда - это «картинки постить», а тут не про это вроде.

igloev
() автор топика
Ответ на: комментарий от Deleted

Зачем, если можно скрывать контент от анонимов?)

Deleted
()

гуглоавторизацию сделай + для россиян авторизацию через вконтакте/mail.ru

tz4678 ★★
()

В дискорде можно сделать временный акк(указав только ник) и спокойно зайти на сервер. Уже потом можно его подтвердить.
Мне кажется это довольно хорошая система с гостевым доступом.
Мне только непонятно чем твоя система с печеньками лучше тех же анонимных форумов?
И да, 0auth уже давно придумали и завести аккаунт где-то можно в два клика.

ritsufag ★★★★★
()

А потом ноют, что сайты их трекают всеми возможными способами

annulen ★★★★★
()
Ответ на: комментарий от Deleted

Т.е. тебе надо решение проблемы на халяву, и ты еще при этом имеешь наглость диктовать условия. Отличная позиция

annulen ★★★★★
()
Ответ на: комментарий от Deleted

Я недавно даже на магазин попал, в котором нельзя ничего купить без регистрации. Был впечатлён.

Deleted
()

Все херня. Надо приделать вычисление хешей на стороне юзера, чтобы они постили и майнили крипту. Хочешь устроить вайп? Ок, мы только рады.

crutch_master ★★★★★
()

Э... а зачем было писать такое длинное сообщение с описанием такого простого и очевидного процесса, который все кому было надо использовали последние лет десять? И добавь тег «я познаю мир», а то старперы которым по 35 и больше могут подумать что здесь обсуждается что-то новое и интересное, а не настольжи-тред.

Suntechnic ★★★★★
()

Зачем мутить такие сложности, если можно просто дать одно поле - емайл, которое браузер умеет заполнять автоматически, а после его ввода рядом показывать ссылку на mail.domain.com, куда уже ушло письмо, где указана уникальная ссылка, которая и зарегает, и подтвердит, и по которой можно всегда еще раз зайти. Вся проблема регистрации в том, что надо дохера раз ввести и самому перейти, а тут: запонилось - клик - клик - готово. Такое бы юзал. А если бы еще в браузер интегрировали почтоклиент чисто для таких целей, вообще бы в один клик решалось.

Но такой интеграции разве дождешься от веб-макак. Я с телефона давно и обед, и карету в два тапа заказываю, а сраный браузерный продукт идентичный натуральному не может меня идентифицировать один раз при инсталляции и пустить без зондов и костылей на чей-то долбаный сайт одноразовый.

anonymous
()
Ответ на: комментарий от anonymous

Почтовые сервера как-то борются со спамом с таких временных ящиков и мутных серверов, это не сложно тащемта. Разве что готового нет под НЕпочтовый сервер. dkim, spf, возраст сервера, отсутствие в актуальных спам-листах, etc. Если mail.example.com не доверяет ящику, то схерали forum.example.org доверять этому ящику. Разницы-то нет с точки зрения спама.

anonymous
()

но есть лимит 1 рега с 1 IP в 10 минут.

Зашёл из открытого вайфая чтобы послать тебя кхерам.

anonymous
()
Ответ на: комментарий от annulen

Гугл афаик имеет хорошее представление о том, нашел ты что искал, или же пошел гуглить дальше. О том, как это действует на положение в выдаче, наверное легко догадаться. Сам себя не утопишь, кто утопит?

наглость диктовать условия

Может если бы никто не диктовал, ты бы находил свободный ответ лишь на 20-й странице. Хвала всевышнему, что эти говнофорумы на пхпбб отмирают как вид. Как вспомню этот период, аштрисёт.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.