LINUX.ORG.RU
ФорумTalks

Долой логины!


0

1

В интернете много сайтов, которые требуют регистрации, для регистрации требуют email-адрес, а при доступе к контенту требуют залогиниться, предьявив логин и пароль.

Я понимаю, что в старые древние времена были документ идентифицирующий личность (паспорт) и предмет аутентифицирующий личность (ключ). Но теперь те физические предметы уже не используются!!!

Почему бы не делать сайты ближе к виртуальным реалиям, например:
1) при запросе контента сайта требовать только пароль
если нужен какой-то display-name, можно ведь его из профиля извлечь?
2) для отправки уведомлений использовать RSS/ATOM (не знаю, какой из них лучше), но они оба явно лучше, чем email, так как не требуют завязки на сторонние сервисы

Это позволило бы пользователям регистрироваться быстре (выдумывать меньше деталей, не придумывать вымышленные имена), устранило бы проблему забывания и восстановления паролей (забыл - ССЗБ).

[ЖЖ]Только что стал папой
[истории успеха]...а мы крепчаем!

при запросе контента сайта требовать только пароль

логины разные, а пароль может быть одинаковый

Bad_ptr ★★★★★
()

а вот email, да можно выпиливать... В качестве подтверждения регистрации дак точно. Или оставить его как опцию.

Bad_ptr ★★★★★
()

1) при запросе контента сайта требовать только пароль

если нужен какой-то display-name, можно ведь его из профиля извлечь?

Вот это бред...

Black_Shadow ★★★★★
()
Ответ на: комментарий от Bad_ptr

И ведь в некоторых местах всякие guerillamail и 10-minute-mail запрещены, вообще нельзя со временным емайлом зарегаться

GblGbl ★★★★★
()

В интернете много сайтов, которые требуют регистрации, для регистрации требуют email-адрес, а при доступе к контенту требуют залогиниться, предьявив логин и пароль.

Как правило, на таких сайтах и нет ничего ценного, так что их можно обходить. Исключения - ЛОР, dirty.ru, лепра - в общем, немного, и все специфическое, в общем-то. Веб-сервисы - другая история, но и тут мало кто не дает зайти по фейсбук-логину. А все остальное доступно через OpenID. Так что не вижу проблемы.

NoMad ★★
()

> 1) при запросе контента сайта требовать только пароль

если нужен какой-то display-name, можно ведь его из профиля извлечь?


Ну ввожу я пароль qwerty12345

Мне говорят: этот пароль используется профилями Васи Пупкина, Феди Тютькина, Глаши Лаптевой и Жанны Лобковой. С каким профилем продолжать?

Или другая ситуация. Нельзя иметь одинаковые пароли.

И тогда я ошибаюсь на один символ и сразу влетаю в профиль Феди Тютькина и начинаю рассказывать от его имени, что мол, у меня тут мешок кокаинума есть.

shimon ★★★★★
()
Ответ на: комментарий от Bad_ptr

Так email почти никогда не требуется на сайтах, где можно использовать для входа OpenID.

Deleted
()

>при запросе контента сайта требовать только пароль

«такой пароль уже использован, попробуйте другой»? :D

Это позволило бы пользователям регистрироваться быстре

Для этого сегодня есть OpenID. Авторизовался один раз на Gmail/Facebook/Twitter/LiveJournal/Вконтакте/Yandex/etc — и потом «регистрируйся» на правильном ресурсе в пару кликов.

KRoN73 ★★★★★
()

OpenID спасет юного велосипедиста.

В этом еще один плюс Ubuntu, их логин един для всех сервисов, плюс еще и там где есть OpenID оно работает.

OperaSoftvvare ★★
()

> Это позволило бы пользователям регистрироваться быстре (выдумывать меньше деталей, не придумывать вымышленные имена), устранило бы проблему забывания и восстановления паролей (забыл - ССЗБ).

Не вижу, в чем плюсы.

damnemall
()

> 1) при запросе контента сайта требовать только пароль

Пароли в базах обычно хранятся вместе с рандомной солью. Если в базе 10000 юзеров, то придется при каждой попытке логина строить 10000 хешей и проводить их сравнение.

shahid ★★★★★
()

Пора вообще избавится от рудимента в виде ручной регистрации. Она должна проходить автоматически, а для безопасности использовать юбикей или аналоги.

KillTheCat ★★★★★
()

На своём сайте сделал авторизацию опциональной, по openid. Не хочешь логиниться - не надо, всё нужное будет храниться в куках или памяти пользователя - что дольше просуществует. Так достаточно близко к виртуальным реалиям?

SOmni ★★
()
Ответ на: комментарий от Sonsee

Идея мощная. А потом что? Потом заставить сервер шифровать для каждого пользователя его публичным ключем, а браузер научить расшифровывать приватным ключем ?

Как это сделать?

StrongDollar
() автор топика
Ответ на: комментарий от derlafff

А зачем нужны виртуалы? Боишся, что модераторы забанят за нехорошие дела?

Deleted
()

А вот ввожу я при регистрации. а мне пишут «такой пароль уже используется» (а в регистрации не отказать нельзя, иначе не понятно будет под каким профилем логинится если пароль не уникален). Ну и я авторизуюсь на сайт под этим паролем и получаю доступ к чьему-то аккаунту. Спасёт разьве что требование длинного стойкого пароля, вероятность повторения которого слишком мала.

KivApple ★★★★★
()
Ответ на: комментарий от Reaper

>Владелец сайта не сможет собрать аккаунты логинящихся?

По OpenID? Аккаунты — нет. Параметры — только те, что отдаст OpenID-сервер — он обычно об этом предупреждает. Как правило, это e-mail, ник/имя, аватар. Ну и ресурс, на который логинишься по OpenID ещё может запросить разрешение на постинг от твоего имени в OpenID-блог и т.п. (например, репост твоих сообщений).

KRoN73 ★★★★★
()

«Извините, этот пароль уже используется пользователем admin. Пожалуйста, выберите другой пароль.» (c)

vasilenko ★★
()
Ответ на: комментарий от KivApple

> Ну и я авторизуюсь на сайт под этим паролем

и получаю доступ к чьему-то аккаунту.

Спасёт разьве что требование длинного стойкого пароля,

вероятность повторения которого слишком мала.


Длинные и стойкие пароли - это хорошо.
А о требовании таком можно при регистрации уведомить.
А если совпал - то пользователь ССЗБ (или это было его тайное желание)

StrongDollar
() автор топика

Плюсую за некоторые пункты, уточнять ленива, почта устарела

darkshvein ☆☆
()
Ответ на: комментарий от Bad_ptr

>> при запросе контента сайта требовать только пароль

логины разные, а пароль может быть одинаковый


Такой пароль уже существует, попробуйте снова.

andreyu ★★★★★
()
Ответ на: комментарий от StrongDollar

И правда, секюрный путь только один: доверить шифрование (а значит, доступ к ключам) какой-то третьей стороне.

Deleted
()

Ты только что изобрёл openid.

blackst0ne ★★★★★
()
Ответ на: комментарий от Vit

В oauth мне не нравится привязка провайдера к URL.
Допустим я хочу поднять свой собственный провайдер,
для анонимности я хочу поднять его в сети I2P.

Вопросы:
1) а работать через гейт оно будет (там же все на форматы URL завязано, а не на ключи)?
2) какой открытый софт мне использовать (что emerge-ить) на стороне сервера?

StrongDollar
() автор топика
Ответ на: комментарий от KRoN73

Я не понимаю, зачем нужны эти провайдеры. Что мешает сделать провайдера прямо в браузере? И к пользователю близко, и rich UI, и полный контроль над данными... захотел - стер.

Для того, чтобы сделать провайдера в браузере достаточно заменить URL на публичный ключ (потому что у браузера нет своего URL). И высылать этот ключ браузер может сам, не требуя ввода логина, в отличие от OpenID. А если логинов несколько - переключать их в браузере логичнее, чем в каждом провайдере...

StrongDollar
() автор топика
Ответ на: комментарий от Deleted

я думаю это заговор W3C. они живут на деньги от стандартов и поэтому привязывают все к URL-ам. Были бы учеными - привязывали бы к крипоключам.

StrongDollar
() автор топика
Ответ на: комментарий от StrongDollar

У вас ключевой фишкой было указано «регистрироваться быстрее», а не анонимность. Ну дык сделайте регистрацию с использованием фейсбука, гугла, фконтактега, яндекса и т.п. И логин тоже.

Есть еще вариант для ленивых - интегрировать это все через «логинзу».

Vit ★★★★★
()
Ответ на: комментарий от Vit

> интегрировать это все через «логинзу».

все они требуют email. это несправедливо

StrongDollar
() автор топика

Вот нафиг это подтверждение реги по емейлу? Геморрой только один.

Xenius ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
[ЖЖ]Только что стал папой
Talks
[истории успеха]...а мы крепчаем!