[HTML]Przekazywanie value do pola password, Czy to dobry pomysł? Opcje

[croc]

Witajcie,

jestem ciekaw Waszej opinii. Czy w stworzonych przez Was panelach administracyjnych po wysłaniu formularza zawierającego błędy, każecie wypełniać pola password jeszcze raz czy też przekazujecie im normalnie value? Jeśli to drugie, to czy robicie tak też dla formularzy spoza panelu? Ja nigdy nie przekazywałem haseł ze względów bezpieczeństwa, ale w panelu chyba można w ten sposób bezpiecznie ułatwić administratorowi robotę?

Ten post edytował croc 3.12.2011, 22:21:11

[Mackos]

Rodzi się tu banalne pytanie:
Czy przechowujesz nie zahashowane hasła w bazie ?
Nigdy nie wklejam haseł, użytkownicy muszą je wpisywać ponownie, i niech tak pozostanie

[croc]

To czy hasła są shashowane w bazie nie ma tu nic do rzeczy. Chodzi o to, że w źródle takiej wysłanej strony masz wypisane hasło. Chociaż niektórzy wysyłają hasła nawet w mailach po rejestracji (co aż kłuje w oczy), więc może jestem zbyt zapobiegawczy?

[abort]

IMHO: para user/pass to dane, których nie należy pod żadnym pozorem wyświetlać w źródle strony.
Przekazanie hasła mailem wydaje mi się też niezbyt dobrym sposobem, ale uważam to za mniejsze "security hole" niż podawanie pary user/pass w formularzu do rewalidacji.
Maila wysyłasz raz, stronę możesz (przy błędach formularza) wyświetlać do skutku, co nie jest bez wpływu na security.

Optymalnie: mailem tylko token (z czasem ważności), via www pole "password" puste (zawsze do wypełnienia przez usera). Z doświadczenia wiem, że niezbyt kumaci userzy chcieliby, aby komp wszystko za nich odwalał, a więc zazwyczaj swojego hasła też nie pamiętają. W związku z tym: jak user (za przeproszeniem) głupi i nie umie czytać formularza, to niech uzupełnia pole hasło - przynajmniej hasło zapamięta. A inteligentniejsza useria albo skorzysta z dobrodziejstw przeglądarki (pamiętanie haseł a'la Firefox) albo zainstaluje jakowyś bardziej wyrafinowany dodatek typu Sxipper (to akurat dla Firefoxa).
Aha, byłbym zapomniał: logowanie tylko via https (tak, zdaję sobie sprawę, że nie zawsze bywa to możliwe w sensie technicznym)

[croc]

Dziękuję za szczegółową odpowiedź. Zgadzam się co do tokenów - nie mam nic przeciwko wysyłaniu ich. W wysyłaniu haseł w mailach kłuje mnie głównie fakt, że większość użytkowników używa jednego hasła w wielu miejscach, a nie tylko to, że ktoś obok może je podpatrzeć i wejść na naszą stronę jako X.

A wracając do tematu wypełniania haseł w formularzach, to również się zgadzam i zawsze tak robiłem. Jednak czasami robimy skomplikowane formularze np. rejestracyjne, które mają szczegółową walidację. Jeśli użytkownik nie jest zbyt bystry lub robi na łapu capu, to wypełnienie formularza może mu zająć kilka/kilkanaście podejść. Wypełnianie hasła za każdym razem może go zniechęcić.

[abort]

1. Na podejście "jedno hasło do wielu serwisów" nie poradzisz nic - nie ma żadnej metody na sprawdzenie tego.
2. skomplikowane formularze ze szczegółową walidacją... a może "na raty"? Na przykład tak:

step 1: formularz z walidacją (jeśli niepoprawna, wyświetl ponownie)
jeśli poprawna, to
step 2:
wyświetl dane i pole "password", a w formularzu dwa przyciski "back to step 1" i "dane ok, rejestruj"?

[croc]

Oczywiście, formularze na raty to dobre rozwiązanie. Podobnie jak zrobienie walidującej nakładki JavaScriptowej (co nie zwalnia z walidacji w PHP). Muszę się jeszcze zastanowić co zrobić w panelu admina.