Спор с программистом. Как удобней сделать?

Дело программиста - программы писать, а не юзабилити продумывать..

Ваша задача как сервиса, обеспечить безопасное хранение паролей на сервере, а уж его сложность - это всецело ответственность пользователся..

Я, например, очень не люблю ждать пока мне придёт на почту пароль, чтобы авторизироваться на сайте..

P.S.: Не удивлюсь, если Ваш программист(рассказывая о безопасности) запишет в БД сгенерированный пароль чистым текстом..

почитал - узнал много нового! для себя :)

для начала:

предлагается сделать так: вам показывается форма с вводом e-mail и кнопка "отправить/зарегестрироваться/ и т.п. на выбор) и ВСЕ! Никаких кнопок нет больше вообще!

Тут же вы направляетесь на свою анкету где заполняете:

- Ник

- Имя, Отчетсов, Город, Возраст, Пол, Наличие сабаки/кошки/попугая и прочяя хрень, ктороя может нам пригодиться для статистики в будущем. Причем НИК обязателен - все остальное - НЕТ

Анкету заполнили? Вы залогинены и можете писать сообщения.. СТОП! Вы ничего не можете сделать если не проверите почту где будет:

1 - ваш пароль

2 ссылка для активации аккаунта.

Тут же вам предлагается поменять пароль если вы не можете его запомнить или просто не хотите пользоваться новыми программами - менеджерами паролей.

А пароль храниться в базе - а как вы хотите делать авторизацию? И конечно же он ШИФРУЕТСЯ md5? дорогой студент Dr. Botwing.

Простите что я об этом написал - иначе бы вы думали что самый умный пост Ваш и вы конечно же тоже... но простите - не удержался :)

К стати - тестировал систему отправки почты - письмо у меня лежит на яндексе уже через... да оно мгновенно там лежит. Так что что вы там ждете - мне непонятно вовсе, Dr. Botwing.

Elinohi добавил 20.02.2009 в 11:35

CyberX, на самом деле я как программер в данном случае забиваю большой болт на юзабилити сайта и на реализацию остальных удобств по одной причине - я не спорю с заказчиками. Особенно не спорю в этом случае - потому как заказчик долго писал ТЗ - и будет вроде как не корректно просто сказать что он вобще зря это писал, и во вторых... он знает HTML - а это, поверьте, аргумент железный.

Генерация лучше. Чем меньше пользователю надо думать/вводить данных тем большее количество пользователей зарегистрируется.

На одном из сервисов у меня только два поля для заполнения - мыло и капча. Как только это ввели, количество регистраций подскочило на 20%. При этом качество не изменилось.

При регистрации нужно проверить валидность почтового домена, наличие mx-записи, открытость 25-го порта (лучше на ажаксе).

После этого, отправить данные пользователю на мыло. Пользователя авторизовать автоматически после регистрации.

При последующих посещениях, раз в сутки - предлагать ему ввести данные в анкету : сразу показывать всплывающий див, который можно легко закрыть, с полями для ввода.

Люди - существа ленивые. Многим очень лениво вводить как их зовут и тем более свой ник, если они хотят на вашем сайте просто 2+2 посчитать.

Вначале от пользователя нужно получить данные, которые можно использовать в дальнейшем директ-маркетинге - в данном случае мыло.

А потом, уже напоминать что он давно небыл на сайте, периодически говорить что теперь на сайте не только 2+2 можно посчитать но и 3+5 и т.д.

А если же пользователь считает, что ему важно чтоб сайт знал как его зовут и его дату рождения - он это после первого посещения в предложенной форме введет.

Pilat, (с точки зрения безопасности надо генерить пароли, с точки зрения комфорта пользователя надо дать ему ввести заветные '123' самому.)

а как вы относитесь к принудительной смене пароля? Юзер зашел по заметным 12345 и обязан поменять его через неделю? день! час .... потому как, скорее всего у него такой же пароль и от почтовых ящиков, на которых есть и другие регистрационные письма с паролями и т.п.

Я понимаю только одно: если мы принудительно не повысим грамотность пользователей сети интернет - однажды она выйдет им боком - или снятием бабла с кредитки.

Но это все лирика, а действительноть.... а каждый ее видит и делает самостоятельно - он же программеh и ... знает HTML! :)

Elinohi добавил 20.02.2009 в 11:43

вот - видели мой третий пункт??? ну так прочтите, это главный аргумент - пользователю НЕ НАДО ДУМАТЬ! НЕ НАДО ПРИДУМЫВАТЬ и главное - ЗАПОМИНАТЬ! ему вообще ничего не надо делать!

Это главное!

Мне в принципе всё равно. Пароли у меня все разные и не запоминаемые:) Единственно, если не требуется подтверждение аккаунта по ссылке с почты, то в целях безопасности люди бывают вводят совершенно левый е-майл. Если же общение на форуме развивается, то иногда забывают поменять его на реальный. И вот при потере такого пароля, восстановить его мало реально, так как он уйдёт на вымышленное мыло.

Str256, я думаю (я уверен) что подтверждение регистрации - обратная связь, вообще обязательны. Первое - это для восстановления пароля, а во вторых, третьих и так далее - для всего остального. Просто письма рассылать на почту. На сайте же будет общение! комментарии к постам и т.п. - без почты никак.

Ну мы уж полностью вместо юзера думать не сможем. Многие в целях безопасности используют сервисы вроде 10minutemail - там даже валидность мыла не поможет для запоминания пароля.

Опять же, пользователь пришел на сайт в первую очередь для того чтоб реализовать свою потребность - написать сообщение, посчитать 2+2 или что-то еще. Нужно это уважать и дать ему возможность как можно оперативнее эту потребность удовлетворить.

У меня на одном из сервисов идет вначале оплата по смс, а потом уже доступ к контенту и только потом уже мыло спрашиваем. Во-первых мы получаем больше денег с смс. Во вторых - если пользователь уже заплатил, то мыло-то он оставит по-любому.

ну мыло тут вообще нужно так, отчасти (телефон то его есть) - пользователь еще и заволнуется, если у него мыла не попросили :)

Хороший у Вас программист. Не "пофигист", по крайней мере.