Size: a a a

Обсуждения техдирские

2020 April 08

PD

Phil Delgyado in Обсуждения техдирские
Например если это на другом домене
источник

AS

Andrey Shetukhin in Обсуждения техдирские
Töma Gavrichenkov
Коллеги, подскажите, а какая модель угроз — или модель поведения пользователя — стоит за концепцией “если ты только что перешёл по ссылке для восстановления пароля и два раза ввёл пароль, то теперь введи его в третий раз, чтобы залогиниться”?

Почему автоматом не логинить?
Там нет модели угроз. Там есть нежелание делать два дублирующих кода для двух страниц.

При логине надо как минимум сделать POST-Redirect-GET с проверкой Referer и выставлением одной временной и одной или двух постоянных кук.

Заморачиваться с этим дважды всем лень.

Я когда-то писал для авторизации Рамблера такой код, и там действительно проще сделать отдельную страницу с логином.
источник

AS

Andrey Shetukhin in Обсуждения техдирские
Видишь ли, страница логина не так проста, как кажется. Там есть как минимум несколько проверок (если это не HTML 3.2 код, конечно).
источник

AS

Andrey Shetukhin in Обсуждения техдирские
Töma Gavrichenkov
В чём сложность сразу cookie проставить?
Лол. Нельзя так просто ставить куку. Иначе тебя ждёт DDoS, которую ты сам же и написал)))
источник

TG

Töma Gavrichenkov in Обсуждения техдирские
Andrey Shetukhin
Там нет модели угроз. Там есть нежелание делать два дублирующих кода для двух страниц.

При логине надо как минимум сделать POST-Redirect-GET с проверкой Referer и выставлением одной временной и одной или двух постоянных кук.

Заморачиваться с этим дважды всем лень.

Я когда-то писал для авторизации Рамблера такой код, и там действительно проще сделать отдельную страницу с логином.
А, ну действительно.
источник

VC

Vladimir Chikin in Обсуждения техдирские
Töma Gavrichenkov
Коллеги, подскажите, а какая модель угроз — или модель поведения пользователя — стоит за концепцией “если ты только что перешёл по ссылке для восстановления пароля и два раза ввёл пароль, то теперь введи его в третий раз, чтобы залогиниться”?

Почему автоматом не логинить?
потому что это очень разные процедуры с разным результатом.
иначе тебе придётся хранить введённый пароль пользователя (для прохождения процедуры логина), что является угрозой.
источник

VC

Vladimir Chikin in Обсуждения техдирские
+ не забываем, что смена пароля не всегда моментальная процедура, и логин через 0,01 сек после смены пароля может не пройти.
источник

ВВ

Виталий Вайти in Обсуждения техдирские
Vladimir Chikin
+ не забываем, что смена пароля не всегда моментальная процедура, и логин через 0,01 сек после смены пароля может не пройти.
зачем пароль для авторизации конкретного пользователя если мы знаем что смена пароля прошла успешно?
источник

VC

Vladimir Chikin in Обсуждения техдирские
кто знает ?
источник

ВВ

Виталий Вайти in Обсуждения техдирские
в момент смены пароля мы уже знаем обычно userid или чтото типа того
источник

VC

Vladimir Chikin in Обсуждения техдирские
кто знает ?
источник

ВВ

Виталий Вайти in Обсуждения техдирские
если пароль успешно изменен
авторизовать пользователя с известным ид
и выполнить перенаправление на страницу такую то
источник

ВВ

Виталий Вайти in Обсуждения техдирские
программа.
источник

VC

Vladimir Chikin in Обсуждения техдирские
уже лучше, какая программа ?
источник

ВВ

Виталий Вайти in Обсуждения техдирские
хорошая
источник

AM

Andrei Moiseev in Обсуждения техдирские
как правило, за логин и за смену пароля отвечает один и тот же компонент
источник

VC

Vladimir Chikin in Обсуждения техдирские
я подскажу:
хорошая программа состоит из симбиоза разных других хороших программ, которые очень хорошо выполняют свои функции.
источник

AM

Andrei Moiseev in Обсуждения техдирские
так что в принципе, ничего не мешает авторизовать пользователя сразу после смены пароля
источник

VC

Vladimir Chikin in Обсуждения техдирские
это если модуль аутентификации полностью реализован средствами одной хорошей программы.
и не дай бог использовать SAML, LDAP и прочие страшные слова
источник

VK

Viacheslav Kaloshin in Обсуждения техдирские
Не надо мешать два совершенно разных функционала : сменить пароль и проверить пароль. Смешивание ведёт к боли и страданиям
источник