Size: a a a

Обсуждения техдирские

2020 April 08

VC

Vladimir Chikin in Обсуждения техдирские
Vladimir Chikin
это если модуль аутентификации полностью реализован средствами одной хорошей программы.
и не дай бог использовать SAML, LDAP и прочие страшные слова
но вот беда, как только модуль аутентификации изобретается как велосипед, так сразу оказывается что в этом велосипеде как-то слишком много уязвимостей и надо срочно брать уже готовый велосипед.
источник

AM

Andrei Moiseev in Обсуждения техдирские
Viacheslav Kaloshin
Не надо мешать два совершенно разных функционала : сменить пароль и проверить пароль. Смешивание ведёт к боли и страданиям
Это вполне валидное техническое соображение. Но с точки зрения пользователя - дополнительный ввод пароля, это лишнее действие
источник

VC

Vladimir Chikin in Обсуждения техдирские
Andrei Moiseev
Это вполне валидное техническое соображение. Но с точки зрения пользователя - дополнительный ввод пароля, это лишнее действие
поэтому давайте хранить пароль пользователя а ещё лучше сохраним его где-нибудь ?
источник

AM

Andrei Moiseev in Обсуждения техдирские
Vladimir Chikin
поэтому давайте хранить пароль пользователя а ещё лучше сохраним его где-нибудь ?
Не понимаю, как это следует из моего сообщения.
источник

VK

Viacheslav Kaloshin in Обсуждения техдирские
Andrei Moiseev
Это вполне валидное техническое соображение. Но с точки зрения пользователя - дополнительный ввод пароля, это лишнее действие
Ну да, просто надо при «вводе пароля» предусмотреть ввод не только с клавиатуры/формочек, но и из другого канала и счастье мгновенно прилетит :)
источник

VC

Vladimir Chikin in Обсуждения техдирские
Andrei Moiseev
Не понимаю, как это следует из моего сообщения.
потребуется 2-ды передать пароль, для смены и для аутентификации.
если пользователю сделать это лень, то интерфейс это сделает за него, но есть маленький нюанс - пароль надо хранить
источник

V

Vlad in Обсуждения техдирские
Vladimir Chikin
потребуется 2-ды передать пароль, для смены и для аутентификации.
если пользователю сделать это лень, то интерфейс это сделает за него, но есть маленький нюанс - пароль надо хранить
"2-ды" - такого сокращения ещё не было раньше
источник

VC

Vladimir Chikin in Обсуждения техдирские
в каждом человеке есть немножко изобретателя
источник

VK

Viacheslav Kaloshin in Обсуждения техдирские
Vladimir Chikin
потребуется 2-ды передать пароль, для смены и для аутентификации.
если пользователю сделать это лень, то интерфейс это сделает за него, но есть маленький нюанс - пароль надо хранить
Зачем хранить? Хватить дважды пнуть апишечку
источник

VK

Viacheslav Kaloshin in Обсуждения техдирские
1) «смени пароль на» если ок , то 2) «авторизуй вот по этим кредам»
источник

VK

Viacheslav Kaloshin in Обсуждения техдирские
Все с одной страницы, без всяких хранений и прочего
источник

К

Кабак уровня /b/ in Обсуждения техдирские
Polkota
Я не айтишник, упаси господи.
вот нормальный человек
источник

VC

Vladimir Chikin in Обсуждения техдирские
Viacheslav Kaloshin
1) «смени пароль на» если ок , то 2) «авторизуй вот по этим кредам»
теоретически можно, если всё в одной апишке.
если в разных, то надо про всякие XSS внимательно смотреть.
страницу потом перезагрузить или переменные очистить надо.
источник

AS

Andrey Shetukhin in Обсуждения техдирские
Vladimir Chikin
потому что это очень разные процедуры с разным результатом.
иначе тебе придётся хранить введённый пароль пользователя (для прохождения процедуры логина), что является угрозой.
Ну что за ерунда. С какой стати его хранить?
источник

ВВ

Виталий Вайти in Обсуждения техдирские
+
источник

AS

Andrey Shetukhin in Обсуждения техдирские
Vladimir Chikin
+ не забываем, что смена пароля не всегда моментальная процедура, и логин через 0,01 сек после смены пароля может не пройти.
Это не играет роли.
источник

AS

Andrey Shetukhin in Обсуждения техдирские
Vladimir Chikin
это если модуль аутентификации полностью реализован средствами одной хорошей программы.
и не дай бог использовать SAML, LDAP и прочие страшные слова
Нет никакой разницы, используется LDAP или нет. ВООБЩЕ НИКАКОЙ. LDAP - это протокол, такой же, как и десяток других.
источник

AS

Andrey Shetukhin in Обсуждения техдирские
Vladimir Chikin
поэтому давайте хранить пароль пользователя а ещё лучше сохраним его где-нибудь ?
Зачем?)))) Зачем его хранить? Вы о чём вообще?))
источник

AS

Andrey Shetukhin in Обсуждения техдирские
Vladimir Chikin
потребуется 2-ды передать пароль, для смены и для аутентификации.
если пользователю сделать это лень, то интерфейс это сделает за него, но есть маленький нюанс - пароль надо хранить
Ну что за чепуха? Нет. Не надо ничего никуда передавать.
источник

AS

Andrey Shetukhin in Обсуждения техдирские
Владимир, вы вообще представляете себе, как оно работает, или только из общих соображений рассуждаете? Нет, я серьёзно.
источник