Меню
Что нового?

Возвращение пароля при ошибке регистрации

jenia

Новичок
Возвращение пароля при ошибке регистрации

Наверное вопрос немного глупый, но всё же...
На многих серверах, как я заметил, при ошибке регистрации форма возвращается клиенту заполненной (кроме полей, где ошибка). Но поля "пароль", "повторить пароль" всегда возвращаются пустыми. Как я понимаю это делается для того, чтобы пароль не гонять туда-сюда, чтобы он не был перехвачен. Так это или нет? Если да, то второй вопрос: неужели данные между клиентом и сервером так легко перехватить?
 

jenia

Новичок
Если нет, то для чего?

-~{}~ 06.03.06 22:15:

Сросил я для того, чтобы знать возвращать при ошибке регистрации форму с паролем или без него.
 
_RVK_

_RVK_

Новичок
Если нет, то для чего?
Нажмите для раскрытия...
Каждый вкладывает в это свой особый смысл. Я как то столкнулся с дырой, когда всего лишь подделкой куки, я мог стать администратором сайта. При этом пароли при ошибке возврашались пустыми. В чем смысл я до сих пор не понял.

-~{}~ 06.03.06 23:18:

возвращать при ошибке регистрации форму с паролем или без него
Нажмите для раскрытия...
Дело не в перехвате. Браузер может закешировать страницу с паролями.
 

jenia

Новичок
Я не совсем понял как происходит то, что ты описал, но теперь ясно, что при возврате формы с паролем открываются какие-то "дыры". Спасибо.

-~{}~ 06.03.06 22:20:

Про кэширование понял. Про дыру с куками не понял.
 

jenia

Новичок
Хорошо, дело не в этом. Ты советуешь возвращать форму с незаполненным полем password? Правильно?
 
_RVK_

_RVK_

Новичок
Про дыру с куками не понял
Нажмите для раскрытия...
Это так, филосовское отступление. Мне непонятно, когда кто-то заботится о дырках гораздо менее опасных, и при этом допускает просто вопиющие прорехи в безопасности.

-~{}~ 06.03.06 23:26:

ы советуешь возвращать форму с незаполненным полем password? Правильно?
Нажмите для раскрытия...
Да. Рекомендую по умолчанию.
 

n0b0dy

Новичок
password
Like "text", but the input text is rendered in such a way as to hide the characters (e.g., a series of asterisks). This control type is often used for sensitive input such as passwords. Note that the current value is the text entered by the user, not the text rendered by the user agent.
Note. Application designers should note that this mechanism affords only light security protection. Although the password is masked by user agents from casual observers, it is transmitted to the server in clear text, and may be read by anyone with low-level access to the network.
 

kruglov

Новичок
n0b0dy
Это понятно. Но к топику имеет довольно далекое отношение.
 
alekciy

alekciy

Новичок
jenia
Лично я при незаполненых полях формы возращаю пользователю все присланный данные кроме некорректных. В том числе и пароль. Тут другой психологический аспект. Пользователь видит страницу присланную сервером в поле пароля видит звездочки, а не введеный пароль. Поскольку текста он не видит, то у него возникают "смутные сомнения", что данные там могут быть неверными и он начинает его заново перенабирать.

>>что при возврате формы с паролем открываются какие-
>>то "дыры".
Нифига. Дыры в скрипте допускает сам программист.

_RVK_
Поди в куку сайт писал в переменную admin=no? Подделка заключалась в отравке сайту куки с admin=yes? ))))))
 

jenia

Новичок
Вот, полазил по нету и на некоторых довольно популярных сайтах (например некоторые разделы mail.ru), увидел, что пароль возвращается в форме при ошибке. В такие сайты вкладывали ни одну тысячу (десятку тысяч), так что о безопасности наверное позаботились. Тем более, что описанная в топике тема - не что-то суперсложное, а то, с чем сталкивается почти каждый.
Делаю вывод: возврат пароля в форме пользователю в принципе возможен, причём без негативных последствий.
 

jenia

Новичок
Сделано наверное как и везде (насколько я понял) - при ошибке данные заносятся в сессию, форма заполняется по данным из сессии. Только от того, что я знаю как у них сделано, я не могу определить насколько безопасно возвращать пароль.
 
Войдите или зарегистрируйтесь для ответа.
Сверху