Недружелюбный интерфейс в настройках профиля

Автор alekciy, 12.10.07, 00:34:07

« предыдущая - следующая »

0 Пользователей и 1 гость просматривают эту тему.

alekciy

Собственно нахожу его крайне недружелюбным.

Цитировать
Правильный пароль:
По соображениям безопасности ваш пароль должен отличаться от аккаунта


Смысл этого поля? Почему при попытке смены почтового ящика я это должен вводить и главное что? Ни каких пояснений при попытке смены, более того, ни какой реакции системы в духе: "Вы ввели неправильные данные. Забыли пароль? Выслать уведомление вам на ящик?" Или красный

Я конечно могу понять беспокойство по поводу безопасности, но в данном случае не улавливаю смысл данного механизма. Человек вошел, ввел логин и пас, как минимум он уже прошел процесс опознавания системой и прошел успешно. Зачем ему, уже авторизованному, ставить палки в колеса?

Namenlos Ein

Цитата: alekciy от 12.10.07, 00:34:07
Собственно нахожу его крайне недружелюбным.


Кроме того, там ещё есть нарушение правил форума. Вот это сообщение появляется если нажать на ссылку «Почему пусто» при настройке аккаунта:

ЦитироватьДля обеспечения безопасности, ответ на вопрос (также как и пароль)закодирован, таким образом, SMF может только ответить правильно или нет, но никогда не скажет тебе (или кому-либо еще, ВАЖНО!) какой у Вас ответ или пароль


Но при этом:

ЦитироватьВ нашем Форуме принято обращение между участниками на «Вы» .

koder

Вы никогда не слышали о перехвате сессий, допустим?

Настройки аккаунта - весьма важные (личные) данные. Да, в данном случае, конечно, можно от такого отказаться...а потом жаловаться Администратору, что кто-то украл аккаунт, а вернуть его нельзя, т. к. e-mail поменяли (за примером далеко ходить не нужно:
Рабочее место.
Как-то при авторизации Вы указываете пункт "Постоянно".
После этого, в Ваше отсутствие, некто заходит на этот форум уже авторизованным(!) и спокойно меняет Ваши данные на свои.
Всё. После этого любые попытки восстановить пароль с Вашей стороны будут вызывать посылку уведомлений на адрес злоумышленника.

Проблема, конечно, надумана, но она имеет место быть.
).

Поэтому не нужно делать видб, что никто вокруг ничего не понимает, кроме Вас, конечно..
Если бы не было проблем такого рода, не было бы смысла и в такой защите...

Администратор

Цитата: koder от 17.10.07, 15:36:19
Поэтому не нужно делать видб, что никто вокруг ничего не понимает, кроме Вас, конечно..
Если бы не было проблем такого рода, не было бы смысла и в такой защите...


Стоп!

1. Предлагаю не горячиться и придерживаться более дружелюбного тона.

2. Я не могу понять, о чём изначально говорит alekciy. ЕСли Вы, alekciy, более детально сформулируете ситуацию, можно будет понять, что не так.

3. Часть Вашего вопроса я понимаю так: «почему при смене почтового адреса требуется сменить пароль?» (может, и неправильно понимаю, конечно). Дело в том, что пароль хранится в базе данных форума не в явном (открытом) виде, а в зашифрованном. При шифровании (MD5) используется два кусочка текста: собственно заданный вами пароль и емейл. Если вы смените емейл, то контрольная сумма пароля и емейла перестанет совпадать с той, которая хранится в базе. И форум решит, что пароль недействителен. Поэтому и надо после смены емейла заново установить пароль (можно даже тот же самый, что был раньше): важно, чтобы он заново «скрестился» и зашифровался с новым емейлом и в базе лежала контрольная сумма, учитывыающая пароль и актуальный емейл.

4. Вот эта технология использования пароля, как и 99% другого функционала форума (и большинство формулировок фраз интерфейса) обусловлена использованием готового форумского «движка» сторонней разработки. В целом он нас устраивает. Незначительные мелочи в нём мы поправляем. Но переходить из-за редких (и то не очевидных и не безусловных) недостатков на другой «движок» или принципиально модифицировать этот «движок» или писать заново свой мы не планируем. Поэтому прошу отнестись к найденным шероховатостям здраво: сообщайте о них, но без излишних придирок и капризов.

Спасибо за понимание!




Администратор

Цитата: Namenlos Ein от 15.10.07, 16:31:49
ЦитироватьДля обеспечения безопасности, ответ на вопрос (также как и пароль)закодирован, таким образом, SMF может только ответить правильно или нет, но никогда не скажет тебе (или кому-либо еще, ВАЖНО!) какой у Вас ответ или пароль

Но при этом:
ЦитироватьВ нашем Форуме принято обращение между участниками на «Вы» .


Это исправлено.

alekciy

Цитата: koder от 17.10.07, 15:36:19
Вы никогда не слышали о перехвате сессий, допустим?

Расписывать веб кодеру такие вещи... я это все отлично знаю и даже более. Вопрос не в этом. Данный вопрос не технического плана, сейчас с этой строны не рассматриваем, а именно вопрос проектирования правильного интерфейса.

alekciy

Цитата: Администратор от 17.10.07, 17:08:19
2. Я не могу понять, о чём изначально говорит alekciy. ЕСли Вы, alekciy, более детально сформулируете ситуацию, можно будет понять, что не так.

И так рассматриваем ситуацию, простой пользователь захотел сменить свой e-mail. Поехали. Я простой юзверь (кстати обязательные для заполнения поле де факто принято помечать звездочкой).

Заходим на http://forum.ascon.ru/index.php?action=profile;u=id_юзверя;sa=account (берем к примеру меня http://forum.ascon.ru/index.php?action=profile;u=728;sa=account ). В поле E-mail: вбиваю новое мыло, тут вроде все понятно. Пошли дальше. Поле Введите пароль:, хм... видимо вбиваем свой пароль. Вбили. Чуть ниже повторили его (Ctrl+V рулит).
Секретный вопрос и Ответ... ну что ж... вбиваем нечто. Далее.
Правильный пароль, таккк... а это что такое? Тот же пароль, что был вбит в Введите пароль? А почему "правильный"? Пароль в двух предыдуших полях был неправильным??? Новый пароль? А что такое аккаунт? (к слову, аккаунт есть логин+пароль и если уж мы оперируем сленговыми понятиями, то более правильно, имхо, писать "...ваш пароль должен отличаться от пароля для аккаунта"). Ладно, делать нечего, вбиваем тот же пароль что мы уже вводили.
Жмем "Изменить профиль".

Когда я где-то месяц назад пытался изменить свое мыло в профиле, то после нажатия Изменить Профиль я снова попал на страницу профиля и система ни чего не сообщила. Правильно, направильно я ввел данные, ушло уведомление или нет. Тишина.
Сейчас же получил как и положено отклик. Система написала, что данные для активации отправлены на указанный e-mail. Хорошо... но вот сейчас у меня почтовый ящик не открывается, а с форума я разлогинен и войти не могу до момента активации через мыло. Для чего такая схема? Во избежании спама на форуме или для подтверждения существования почтового ящика (а стал бы пользователь указывать не своё мыло?).

Есть такой доклад "Психбольница в руках пациентов". О програмерах и вопросах проектирования интерфейса пользователя. Во много я нахожу утверждения автора спорными, но сразу как-то вспомнил именно об этой статье.

Администратор

Уважаемый alekciy!

А посмотрите теперь на страницу редактирования настроек учётной записи. Ситуация с тремя полями для ввода пароля прояснилась?

alekciy

Спасибо! Да так отлично и уже понятно, для чего каждое поле.

Единственно лично я бы наверное после "Это поле позволяет сменить ныне действующий пароль." дописал еще одно предложение: "Если вы НЕ хотите изменить текущий пароль НЕ заполняйте это поле".


alekciy

Ну теперь на лично мой взгляд (остальные безмолвствуют, может просто наблюдают?), получилось отлично. Теперь понятно, какой поле для чего и нужно ли его заполнять.
:beer: