Леонид Каганов. Онлайн дневник. Голосов: 4 Адрес блога: http://lleo.aha.ru/dnevnik/ Добавлен: 2007-10-21 03:51:40 блограйдером Lurk

2013/08/08 - Движок: восстановление забытого пароля

Вы меня долго об этом спрашивали, но все руки не доходили. Наконец я забыл свой пароль на lleo.homeip.net (а может, пароля там и не было, а я логинился через Фейсбук какой-нибудь?), и пришлось наконец сделать в движке восстановление пароля.

Итак: чтобы вызвать окно логина, надо нажать с клавиатуры 'U' и в раскрывшейся карточке кнопку «залогиниться». Либо — просто открыть страницу по прямой ссылке http://lleo.me/dnevnik/login. В самом нижнем разделе, где ввод логина и пароля, теперь есть ссылочка «я не помню свой пароль». По ней раскроется дополнительный раздел, где надо ввести email, указанный при регистрации (не важно, был он подтвержден или нет) или логин (если не помните email). Или и то и другое, если на один email вы назаводили когда-то кучу аккаунтов. Впрочем, если просто указать емайл, движок сам найдет все аккаунты и перечислит их на выбор. На email отправится письмо со ссылкой, зайдя по которой, вы сможете набрать новый пароль (и вас сразу переключит в ваш старый аккаунт). Единственное что — после моих вчерашних экспериментов с почтой там вывалилась куча мусора в sendmail и он задумался - сервер может работать нестабильно и письма дойдут не сразу.

Пользуясь случаем, хочу сказать следующее всем разработчикам:

1. Ненавижу, когда пароль на экране заменяется звездочками. Если я такой идиот, что мне приспичило набирать пароль в переполненном трамвае, я сам способен решить проблему, как отгородиться ладошкой от пассажиров, заглядывающих через плечо. А профессиональный шпион сумеет углядеть пароль просто по тем кнопкам, которых я касаюсь — их-то вы звездочками не закроете.

2. Ненавижу, когда пароль предлагают «повторить» от опечаток. А нехер было его забивать звездочками, тогда и опечаток не будет! Человек не дебил, чтобы делать опечатку в пароле. А если он опечатался — ничего страшного, проведет смену пароля через почту еще раз.

3. Ненавижу, когда говноразработчики пишут «ваш новый пароль h6sY!HWf6$E19h&j№sNHTjs, потом вы его сможете потом как-нибудь где-нибудь сменить...» Смени себе мозг, сука, и придумай нормальный интерфейс! Пароль — личное дело пользователя, а не разработчика.

4. Ненавижу разработчиков-придурков, которые начинают говниться «пароль плохой, обязательно должна быть хоть одна заглавная буква, цифра, знак препинания и минимум две буквы греческого алфавита...» Если я хочу поставить "123" — это мое личное дело, а не ваше! А свои говноконструкции с заглавными буквами сами зубрите.

5. Ну и конечно надо убивать разработчиков, которые хранят у себя пароли пользователей. Только хэш! Вы не имеете никакого права хранить у себя чужое, подвергая своих пользователей риску, если ваш говноресурс кто-то взломает и узнает пароли, которые пользователь, возможно, использует еще где-то. Именно поэтому все эти годы я ничем не мог помочь людям, которые мне писали «Лео, подскажи, какой у меня был пароль?» или «Лео, пропиши мне пароль qwerty123, а то я свой забыл». У меня хранится только хэш.

Извините за резкость, просто на той неделе мне довелось беседовать на эти темы с одним профессиональным деятелем, который половину этих пунктов просто не понимает. Мы, говорит, посмотрели по нашей базе (!), что у многих наших пользователей слишком простые пароли, мы решили их всех заблокировать, если не сменят за сутки...

Оригинал заметки находится по адресу http://lleo.me/dnevnik/2013/08/08.html, там можно оставить комментарии.