W dniu środa, 14 listopada 2012 15:04:11 UTC-5 użytkownik Przemek O napisał:
> W dniu 2012-11-14 20:10, Marek Borowski pisze:
> > On 2012-11-14 19:54, e...@g...com wrote:
> >> W dniu środa, 14 listopada 2012 13:43:45 UTC-5 użytkownik Przemek O

> W każdym razie komplikuje to życie uczciwym ludziom, a bandytom
> (hakerom) i tak nie przeszkadza bo mają na to skuteczniejsze sposoby.

Wyrzuc klucze i usun zamki, w koncu bandyta i tak cie zabije, zerznie,
zedrze skore i okradnie, w dowolnej kolejnosci.Zawsze mnie bawi,
jak ktos ma inne podejscie do gotowki w kieszeni
niz do tej w formie elektronicznej (i nie jest bandyta).

Wiele spraw publicznego bezpieczenstwa opiera sie nie na uniemozliwianiu
czegos, tylko na utrudnianiu zycia - chociazby detektory materialow
wybuchowych na lotnisku, glownie reagujacych nie na same materialy
tylko na fabrycznie dodawane markery chemiczne. Wiec po co sa? Bo zeby zrobic
bombe trzeba chalupniczo zrobic ladunek, a to wymaga znajomego rolnika
bo jak nie to po kupnie tony nawozu "do kfiatkow" szybko sie wpadnie,
itd. itp.. A przeciez i tak da sie wniesc ladunek wybuchowy na poklad,
wiec po co sie wyglupiac z jakimis detektorami... Z kontami elektronicznymi
jest podobnie, nikomu nie bedzie chcialo sie siedziec tydzien po to,
zeby na czyims blogu napisac cos, co i tak zniknie za pare godzin,
stad tez blogi maja _jakies_ zabezpieczenia - nikomu sie nie bedzie
chcialo ich lamac, po to sa.

--
Edek

do góry

W dniu 2012-11-14 19:46, e...@g...com pisze:
> Inaczej: mowiac "lekko utrudnic" odnosisz sie do wymyslonego przez siebie
> modelu ataku, ktory co najwyzej jest jednym z mozliwych. Istnieja tez
> inne modele, takie jak "chce sprawdzic czy Edek faktycznie jest cyklista i
> masonem", lub "wlamalem sie do poczty pana X i sprawdze, gdzie sie
> moge zalogowac", lub mase innych.
>
> Z innej zupelnie strony, nawet w Polsce mamy ustawe o ochronie danych osobowych,
> giodo itp., dyrektywy unijne etc., ktorych celem jest uszanowanie prywatnosci
> osob w sieci, gdy te osoby chca takowa prywatnosc zachowac. Robiac strone,
> na ktorej osoby nie sa wymienione z imienia i nazwiska a mozna sprawdzic
> znajac email, czy dana osoba jest zarejestrowana nie szanuje sie prywatnosci
> uzytkownikow strony. Jednym z glownych powodow, dla ktorych ochrona danych
> osobowych u nas kuleje, dla ktorych sa kradzione pieniadze z kont bankowych jest
> wlasnie takie nonszalanckie podejscie do bezpieczenstwa. A, bo to tylko
> moze "lekko utrudnic", co mi tam ktos bedzie p...l, niech sobie antyvira
> zainstaluja i maja nie marudzic. A kazda udostepniona niepotrzebnie informacja
> w najlepszym razie niewiele zmienia, w gorszych zwieksza narazenie na ryzyko - nie
znajac wszystkich modeli ataku trzeba zalozyc to drugie.
>
> Regula jest taka, ze udostepnia sie tyle co potrzeba i nic wiecej, bo kazda
> dodatkowa informacja zmniejsza bezpieczenstwo. Jedynie czesc zabezpieczen
> zaklada publicznosc czesci informacji, ale to jest chyba za trudny temat. Wiec
> jak mozna przy rejestracji nie pisac "email jest zajety" to sie tego nie robi,
> to prawie nic nie kosztuje.

..ale czasami może kosztować, i to nawet sporo.
Bo generalnie masz rację, tylko trzeba znaleźć równowagę.

Jeżeli np. mówimy o serwisie który ma ściągnąć setki nowych klientów, a
na przywitanie dostają takie nieczytelne zachowanie z logowaniem
(niepewność czy coś źle wpisałem? .. może chwilowo nie działa? ... ale o
co chodzi? -> a "kij im w ucho") to już masz konkretne straty.

Sam jakiś czas temu chciałem zrobić zakupy w nowym e-sklepiku.
Zakładam konto -- wypełniam co trzeba, klikam rejestruj ... i jestem na
stronie startowej ...hmm (żadnych komunikatów) sprawdzam maila -> nic.
To próbuję się zalogować na nowe konto ... klikam loguj .... i jestem na
stronie startowej dalej nie zalogowany (żadnych komunikatów)
Już mnie więcej nie widzieli i kasy nie zobaczą ;)

Wydaje mi się, że próbujesz podobne przyjemności zafundować u siebie.
pozdrawiam
--
IDKrzych

"Jakkolwiek będzie - będzie inaczej, aniżeli sobie wyobrażamy
- ponieważ między Dobrem a Złem znajdujemy się w życiu i w świecie
wielowymiarowym,
w którym dokumentnie pomieszane jest Przypadkowe z Nieuchronnym."
(S. Lem 1999)

do góry

W dniu 2012-11-14 22:41, e...@g...com pisze:

> W tym przykladzie i tak i tak trzeba wyslac maila, wiec nie bardzo rozumiem,
> co kogo mialoby denerwowac. Poza tym, gdziekolwiek bezpieczenstwo
> ma jakies znaczenie strona ma swoje "privacy policy" i mozna tam
> napisac, ze ma sie userow w doopie - wolno, a uzytkownik moze wybrac
> inna strone, inny bank, albo zaakceptowac fakt, ze choc ukrywa
> sie pod nickiem to jego prawdziwe dane sa dostepne a wyciag z konta moze
> sobie ktos przejrzec. Wolna wola.

Starasz się chociaż zrozumieć co się do Ciebie pisze? Bo mam co do tego
wątpliwości. Jeśli uważasz, że czas oczekiwania na walidację
wprowadzonych danych może być nieokreślony, a w skrajnych przypadkach
nie będzie żadnej informacji o błędach, to mam nadzieję, że nie trafie
na Twoje aplikacje.

>> Poza tym poczytaj sobie ustawę o danych osobowych i później możemy
>> rozmawiać.
>> Wymyślasz problem który nie istnieje lub jest nieistotny. Pomijając już
>> to, że g...@...com nie musi być tym Grzegorzem
>> Niemirowskim :/
>
> Ustawe znam, wiec sorry ale sobie nie pogadamy. Problem prywatnosci
> istnieje jak najbardziej.

Tak szczególnie w kontekście adresu email, gdzie sama ustawa w jednym
miejscu twierdzi że adres jest danymi osobowymi i podlega rejestracji do
inp.danych osobowych a w innym że nie jest. A jeszcze później tłumaczy
że to zależy od kontekstu w jakim jest użyty email. Problem jest z samym
adresem email, który może, ale nie _musi_ identyfikować jednoznacznie
osobę, a tylko w takim przypadku podlega on ochronie.
Chcesz coś w tym temacie jeszcze dodać? Bo znać, nie zawsze znaczy rozumieć.

> To byl przyklad informacji, ktora ktos moze chciec zatrzymac w tajemnicy.
> Rozumiem, ze najchetniej wpisalbys do ustawy monitoring w toaletach,
> ale ja jestem przeciwny (w koncu toaleta to potencjalne miejsce gwaltu,
> no i kto nie gwalci w toalecie nie ma nic do ukrycia, prawda?)

Za to Ty wolałbyś żeby każdy przed wyjściem zakładał torbę na głowę i
zakrywał tablice rejestracyjne, żeby przypadkiem nie ujawnić swoich
danych osobowych, a nie daj Boże jeśli sprzedawczyni z warzywniaka by
Cię rozpoznała. Od razu proces o naruszenie prywatności.

>> Inna bajka że zdobywanie jej za pomocą sprawdzania emaili
>> rejestracyjnych na różnych stronach jest co najmniej nieefektywne.
>
> Udowodnij. Problem z brakiem bezpieczenstwa najczesciej sie bierze stad,

Co mam udowadniać? Trzeba być debilem żeby obstukać wszystkie portale
rejestrując jakiś tam adres żeby wyszukać czy być może ktoś którego
email być może wskazuje na daną osobę jest tam zarejestrowany.

Jeśli ktoś jest amatorem to może będzie się tak próbował bawić,
"zawodowiec" ma na to lepsze sposoby.

> ze ktos implementujac nie wpadl na to, ze zostawia dziure, ktora
> sie wykorzystuje ot tak po prostu. Wedlug mnie opinie typu
> "jazda na punkcie bezpieczenstwa czy prywatnosci" sa bardzo szkodliwe,
> bo niektorzy nie rzoumieja o co chodzi, slyszalem nawet kiedys
> zdanie, ze "poprawna implementacja SSLa to jakies skrzywienie
> na punkcie bezpieczenstwa". Czy ty sie dziwisz, ze ktos stworzyl SSLa?
> Bo mi sie przydaje, w formie dzialajacej tak jak byl zaprojektowany.

SSL ma się nijak do adresu email i jego weryfikacji w procesie
rejestracji. Nie porównuj prawdziwych problemów z wyimaginowanymi.

pozdrawiam,
Przemek O.

PS. Nie pochodzisz może ze stanów (albo masz coś z nimi wspólnego).
Podejście do bezpieczeństwa masz podobne.

do góry

W dniu środa, 14 listopada 2012 17:34:50 UTC-5 użytkownik Przemek O napisał:
> W dniu 2012-11-14 22:41, e...@g...com pisze:
> > W tym przykladzie i tak i tak trzeba wyslac maila, wiec nie bardzo rozumiem,
>
> > co kogo mialoby denerwowac. Poza tym, gdziekolwiek bezpieczenstwo
>
> > ma jakies znaczenie strona ma swoje "privacy policy" i mozna tam
>
> > napisac, ze ma sie userow w doopie - wolno, a uzytkownik moze wybrac
>
> > inna strone, inny bank, albo zaakceptowac fakt, ze choc ukrywa
>
> > sie pod nickiem to jego prawdziwe dane sa dostepne a wyciag z konta moze
>
> > sobie ktos przejrzec. Wolna wola.
>
> Starasz siďż˝ chociaďż˝ zrozumieďż˝ co siďż˝ do Ciebie pisze? Bo mam co do tego
>
> w�tpliwo�ci. Je�li uwa�asz, �e czas oczekiwania na walidacj�
>
> wprowadzonych danych mo�e by� nieokre�lony, a w skrajnych przypadkach
>
> nie b�dzie �adnej informacji o b��dach, to mam nadziej�, �e nie trafie
>
> na Twoje aplikacje.

Zakladasz, ze ktos nie pamietajacy, ze ma tam konto zna haslo. Najczesciej
tak nie jest - wiec, jezeli poda istniejacy mail, to powinien dostac
od razu link "reset hasla". Wiec primo bez maila sie nie obedzie, secundo
fakt, mnie wkurzaja strony, z ktorych mail idzie dluzej niz 5 sek,
czyli trzeba zadbac o jego szybkie dostarczenie. Ja rozumiem co
piszesz, ale trzeba sobie calosc wyobrazic - co ci da info "juz masz konto",
jak w tej sytuacji i tak nie pamietasz hasla? Ja rozumiem, ze mozna miec
swoje preferencje co do zachowania stron i mozesz omijac te strony,
ktore ja akurat lubie (i vice versa) albo i nie. Ale takie szczegoly
jak ergonomia czy bezpieczenstwo nie sa intuicyjne i trzeba zaufac
autorom, jezeli sie ich nie rozumie.

> >> Poza tym poczytaj sobie ustaw� o danych osobowych i p�niej mo�emy
> >> rozmawiaďż˝.
> >> Wymy�lasz problem kt�ry nie istnieje lub jest nieistotny. Pomijaj�c ju�
> >> to, �e g...@...com nie musi by� tym Grzegorzem
> >> Niemirowskim :/

> > Ustawe znam, wiec sorry ale sobie nie pogadamy. Problem prywatnosci
> > istnieje jak najbardziej.

> Tak szczeg�lnie w kontek�cie adresu email, gdzie sama ustawa w jednym
> miejscu twierdzi �e adres jest danymi osobowymi i podlega rejestracji do
> inp.danych osobowych a w innym �e nie jest. A jeszcze p�niej t�umaczy
> �e to zale�y od kontekstu w jakim jest u�yty email. Problem jest z samym
> adresem email, kt�ry mo�e, ale nie _musi_ identyfikowa� jednoznacznie
> osobďż˝, a tylko w takim przypadku podlega on ochronie.
> Chcesz coďż˝ w tym temacie jeszcze dodaďż˝? Bo znaďż˝, nie zawsze znaczy
rozumieďż˝.

Dodam: prawo jest stosowane tak a nie inaczej. Mam nie najlepsze zdanie
o poziomie stosowania prawa.

> > To byl przyklad informacji, ktora ktos moze chciec zatrzymac w tajemnicy.
> > Rozumiem, ze najchetniej wpisalbys do ustawy monitoring w toaletach,
> > ale ja jestem przeciwny (w koncu toaleta to potencjalne miejsce gwaltu,
> > no i kto nie gwalci w toalecie nie ma nic do ukrycia, prawda?)
>
> Za to Ty wola�by� �eby ka�dy przed wyj�ciem zak�ada� torb� na
g�ow� i
>
> zakrywa� tablice rejestracyjne, �eby przypadkiem nie ujawni� swoich
>
> danych osobowych, a nie daj Bo�e je�li sprzedawczyni z warzywniaka by
>
> Ci� rozpozna�a. Od razu proces o naruszenie prywatno�ci.

Fair enough, skrajnosc za skrajnosc.

> >> Inna bajka �e zdobywanie jej za pomoc� sprawdzania emaili
> >> rejestracyjnych na r�nych stronach jest co najmniej nieefektywne.

> > Udowodnij. Problem z brakiem bezpieczenstwa najczesciej sie bierze stad,
>
> Co mam udowadnia�? Trzeba by� debilem �eby obstuka� wszystkie portale
> rejestruj�c jaki� tam adres �eby wyszuka� czy by� mo�e kto� kt�rego

> email by� mo�e wskazuje na dan� osob� jest tam zarejestrowany.

Ludzie robia wiele debilniejszych rzeczy. To raz, a dwa, ze przy tym podejsciu
nie bedzie captcha, nie?

> Je�li kto� jest amatorem to mo�e b�dzie si� tak pr�bowa� bawi�,
> "zawodowiec" ma na to lepsze sposoby

> > ze ktos implementujac nie wpadl na to, ze zostawia dziure, ktora
>
> > sie wykorzystuje ot tak po prostu. Wedlug mnie opinie typu
>
> > "jazda na punkcie bezpieczenstwa czy prywatnosci" sa bardzo szkodliwe,
>
> > bo niektorzy nie rzoumieja o co chodzi, slyszalem nawet kiedys
>
> > zdanie, ze "poprawna implementacja SSLa to jakies skrzywienie
>
> > na punkcie bezpieczenstwa". Czy ty sie dziwisz, ze ktos stworzyl SSLa?
>
> > Bo mi sie przydaje, w formie dzialajacej tak jak byl zaprojektowany.

> SSL ma siďż˝ nijak do adresu email i jego weryfikacji w procesie
>
> rejestracji. Nie por�wnuj prawdziwych problem�w z wyimaginowanymi.

Ja mam na mysli innego rodzaju analogie. Bezpieczenstwo i prywatnosc
prawie nigdy nie opieraja sie na jednym elemencie. Nawet male
drobiazgi moga wplywac na calosc w sposob, ktory bez analizy calosci
jest nie do przewidzenia. To tez oznacza, ze calosc jest istotna,
a male elementy sa tylko trybikami w maszynie, i bez nich moze nie dzialac.
Uzytkownik nie bedzie wiedzial, ktory element jest istotny, jak
i nie bedzie wiedzial tego nikt, kto nie posiedzi nad tym na tyle
dlugo, zeby ogarnac calosc i powiazania. Dotyczy to zarowno systemow
o publicznie znanej konstrukcji, jak i tych okreslanych czasami
jako "security by obscurity" - bezpieczne, bo nikt nie wie jak dzialaja.

> PS. Nie pochodzisz mo�e ze stan�w (albo masz co� z nimi wsp�lnego).
> Podej�cie do bezpiecze�stwa masz podobne.

Jakie ja mam podejscie do bezpieczenstwa wg. Ciebie? Wyobrazamy sobie
rozne stronki a OP nic konkretnie nie powiedzial. Ja wychodze
z zalozenia, ze skoro o to pyta, to, ech, no i jednak widzi potrzebe
i odpowiadanie "no ale po co" bez znajomosci zastosowania do nikad
nie prowadzi. No i na marginesie: ja po prostu nie lubie takiego
olewactwa, pracowalem z roznymi nacjami i Polacy tak maja, ze
"co mi tam ktos bedzie p..l".

--
Edek

do góry

W dniu środa, 14 listopada 2012 17:19:46 UTC-5 użytkownik IDKrzych napisał:
> W dniu 2012-11-14 19:46, e...@g...com pisze:
> > Regula jest taka, ze udostepnia sie tyle co potrzeba i nic wiecej, bo kazda
>
> > dodatkowa informacja zmniejsza bezpieczenstwo. Jedynie czesc zabezpieczen
>
> > zaklada publicznosc czesci informacji, ale to jest chyba za trudny temat. Wiec
>
> > jak mozna przy rejestracji nie pisac "email jest zajety" to sie tego nie robi,
>
> > to prawie nic nie kosztuje.
>
>
>
> ..ale czasami może kosztować, i to nawet sporo.
>
> Bo generalnie masz rację, tylko trzeba znaleźć równowagę.
>
>
>
> Jeżeli np. mówimy o serwisie który ma ściągnąć setki nowych klientów, a
>
> na przywitanie dostają takie nieczytelne zachowanie z logowaniem
>
> (niepewność czy coś źle wpisałem? .. może chwilowo nie działa? ... ale o
>
> co chodzi? -> a "kij im w ucho") to już masz konkretne straty.

To zalezy od wielu czynnikow, w tym docelowej grupy i jej obeznania
z internetem i poslugiwaniu sie komputerem.

> Sam jakiś czas temu chciałem zrobić zakupy w nowym e-sklepiku.
>
> Zakładam konto -- wypełniam co trzeba, klikam rejestruj ... i jestem na
>
> stronie startowej ...hmm (żadnych komunikatów) sprawdzam maila -> nic.
>
> To próbuję się zalogować na nowe konto ... klikam loguj .... i jestem na
>
> stronie startowej dalej nie zalogowany (żadnych komunikatów)
>
> Już mnie więcej nie widzieli i kasy nie zobaczą ;)

A czy ja mowie ze trzeba sknocic?


> Wydaje mi się, że próbujesz podobne przyjemności zafundować u siebie.
>
> pozdrawiam

Po pierwsze straszysz bardzo, po drugie nie "u mnie". Siejesz straszliwy
FUD, takie podstawowe bezpieczenstwo wcale nie kloci sie z uzywalnoscia.
Tzn. kloci sie wtedy, gdy ktos przegnie w jakis sposob, ale to
niczego nie dowodzi tak ogolnie.

Na podstawowym poziomie najlatwiej byloby sie logowac w ogole bez hasla,
jednak wiekszosc hasla akceptuje. Mi tak szczerze wlasnie hasla najbardziej
przeszkadzaja. No bo trzeba albo uzywac tego samego wszedzie, no a wtedy
calkiem slusznie niektorzy twierdza, ze sie ryzykuje. Albo trzeba pamietac
tysiac hasel, albo nosic je gdzies zapisane i szukac - po cholere. Albo
zainwestowac w jakies OpenID czy inne OAuth delegujace uprawnienia
z jednego portalu do drugiego, ale to tez jest niezbyt, bo nagle trzeci
portal po kisielu dostaje maile znajomych i rozsyla spam.

Najchetniej mialbym smartcard przy sobie akceptowany (prawie) wszedzie,
no ale jak widze rozwoj polskiego podpisu elektronicznego, ba, nawet
podejsciu tej polskiej firmy do wystawiania certyfikatow stronom
i serwerom to nie mam zadnej ale to zadnej nadzei na pozbycie sie hasel,
prawdopodobnie do samej emerytury.

--
Edek

do góry

On 14.11.2012 22:00, Marek Borowski wrote:
> On 2012-11-14 21:34, Michoo wrote:
>> On 14.11.2012 20:02, Marek Borowski wrote:
>>>> Banalnie: nie wyswietlac wiadomosci "mail jest zajety". Przy kazdej
>>>> probie
>>>> rejestracji wyswietlac tylko "dziekujemy za zgloszenie checi
>>>> rejestracji,
>>>> szczegoly znajdziesz w mailu wyslanym na podany przez Ciebie adres".
>>>> I w
>>>> mailu pisac albo "potwierdz rejestracje" albo "hmm, chyba juz sie
>>>> rejestrowales z tego adresu".
>>>>
>>> I mamy zwiekszanie upierdliwosci rejestracji w imie nie potrzebnej
>>> ochrony prywatnosci. Sorry trzeba brac odpowiedzialnosc za swoje
>>> dzialanie, a nie uciekac w anonimowosc. Do rejestracji nikt nie zmusza.
>>
>> W sumie to wyświetlając komunikat a nie wysyłając mail zwiększasz
>> upierdliwość. Skoro wpisujesz drugi raz ten sam mail przy rejestracji to
>> jako _ułatwienie_ wysłałbym coś w stylu:
>> "Posiadasz już konto w tym serwisie.\nJeżeli nie pamiętasz hasła kliknij
>> tutaj.".
>>
> No nie bardzo, bo po pierwsze SMTP to nie Instant Messenger i maile moga
> dochodzic z opoznieniem,

Mogą. Chociaż osobiście uważam to za bug i dla swojej poczty nie stosuję
graylistingu.

> po drugie rejestracja a aktywacja rejestracji
> to dla mnie dwa rozne procesy (wykonywane w roznych programach) ktorych
> nie musze dokonywac od razu po sobie.

Zgadza się.

> A wymuszanie i mieszanie tego to
> upierdliwosc. Pozatym kilka razy mi sie zdazylo iz okazywalo sie przy
> rejestracji iz jednak mam konto w danym serwisie.

Ok, ale skoro nie pamiętałeś, że masz konto to pamiętałeś hasło?

>
>> Wysłanie maila zapewnia że user się w nim nie pomylił (przypadkowo, czy
>> celowo) i naprawdę używa tego konta więc i tak warto je zrobić.
>>
>>
> To juz jest aktywacja/weryfikacja konta - zupelnie co innego.

Ale też jest konieczna, więc nie ma nic "dodatkowego" z punktu widzenia
usera.

+- coś takiego:

UC.1.
1. Użytkownik edytuje podstawowe dane w formularzu - adres email, hasło.
3. Użytkownik wybiera przycisk "Zarejestruj".
4. System informuje o prawidłowym przetworzeniu formularza i wysłaniu
maila.

Ad.1. Nieprawidłowe dane
1. Jeżeli jakieś dane są niezgodne z wymaganiami system oznacza je jako
nieprawidłowe i podaje powód.
2. powrót do 1.

Ad.4 Wysyłka maila
Jeżeli konto o podanym mailu jest już zarejestrowane w systemie wysyłany
jest link do zresetowania hasła. Jeżeli konta nie było zostaje wysłany
link aktywacyjny.

UC.2.
1. Użytkownik klika link otrzymany w mailu.
2. Użytkownik podaje hasło.
3. Użytkownik uzupełnia dane konta.
4. Użytkownik wybiera przycisk "Zapisz dane".

--
Pozdrawiam
Michoo

do góry

On 14.11.2012 21:56, Przemek O wrote:
> W dniu 2012-11-14 21:34, Michoo pisze:
>
>>> I mamy zwiekszanie upierdliwosci rejestracji w imie nie potrzebnej
>>> ochrony prywatnosci. Sorry trzeba brac odpowiedzialnosc za swoje
>>> dzialanie, a nie uciekac w anonimowosc. Do rejestracji nikt nie zmusza.
>>
>> W sumie to wyświetlając komunikat a nie wysyłając mail zwiększasz
>> upierdliwość.
>
> Jeśli dla Ciebie natychmiastowa walidacja poprawności jest zwiększeniem
> upierdliwości (vs czekanie ileś tam na meila) to chyba nie mamy o czym
> rozmawiać.

Jaka natychmiastowa walidacja? Sprawdzasz poprawność wprowadzonych
danych. Mail i tak wysyłasz aby aktywować konto.


>> Skoro wpisujesz drugi raz ten sam mail przy rejestracji to
>> jako _ułatwienie_ wysłałbym coś w stylu:
>> "Posiadasz już konto w tym serwisie.\nJeżeli nie pamiętasz hasła kliknij
>> tutaj.".
>
> A po co taki komunikat? Nie lepszy że ktoś próbuje drugi raz założyć
> konto na ten email?

Bo skoro nie pamięta, że ma konto na tym adresie to prawdopodobnie
również nie pamięta hasła więc i tak będzie musiał użyć formularza
odzyskiwania hasła.

>
>> Wysłanie maila zapewnia że user się w nim nie pomylił (przypadkowo, czy
>> celowo) i naprawdę używa tego konta więc i tak warto je zrobić.
>
> A nieotrzymanie maila z potwierdzeniem o czym świadczy?

Że proces rejestracji nie został przeprowadzony prawidłowo.

> Że user się
> pomylił wpisując adres, że skrypt na serwerze się wywalił,

Czyli jeżeli skrypt się wywali i mail aktywacyjny nie dotrze to taki
adres ma być "spalony" na najbliższy tydzień dopóki nie wygaśnie
nieaktywowane konto? "Świetne" i _bardzo_ wkurzające (miałem takie
przypadek z jednym sklepem. Mieli duże obciążenie, skrypty zdychały a
jakiś niezbyt rozgarnięty osobnik ustawił widać autocommit.)

> Trochę więcej tych niepewności, a najgorsze że
> czekamy i nie wiadomo co się dzieje, czy rejestrować się ponownie, czy
> może jeszcze chwilę poczekać.

Czym się to różni od czekania na mail aktywacyjny? Masz dokładnie ten
sam stan użytkownika "rejestracja została zakończona, mail wysłany,
kliknij link jak go odbierzesz".

--
Pozdrawiam
Michoo

do góry

W dniu 2012-11-15 11:16, Michoo pisze:
> Jaka natychmiastowa walidacja? Sprawdzasz poprawność wprowadzonych
> danych. Mail i tak wysyłasz aby aktywować konto.

Jak sprawdzam skoro nie wyświetla się czy mnie rejestruje czy nie i z
jakiego powodu? Kręcisz... Jasny komunikat czy dane są poprawne czy nie
otrzymasz w momencie potwierdzenia emailem (bądź nie). Czyli to nie jest
natychmiastowe - czytaj w momencie wprowadzania.

>> A po co taki komunikat? Nie lepszy że ktoś próbuje drugi raz założyć
>> konto na ten email?
>
> Bo skoro nie pamięta, że ma konto na tym adresie to prawdopodobnie
> również nie pamięta hasła więc i tak będzie musiał użyć formularza
> odzyskiwania hasła.

Za dużo myślisz za użytkownika...

>> A nieotrzymanie maila z potwierdzeniem o czym świadczy?
>
> Że proces rejestracji nie został przeprowadzony prawidłowo.

??? A skąd user ma wiedzieć w którym momencie owo nieotrzymanie maila
jest powodowane brakiem rejestracji a nie normalnym działaniem strony na
której się rejestruje lub błędem przesyłu??? Odpowiednie jest 30 sekund
czy 30 minut? A może dzień?

>
>> Że user się
>> pomylił wpisując adres, że skrypt na serwerze się wywalił,
>
> Czyli jeżeli skrypt się wywali i mail aktywacyjny nie dotrze to taki
> adres ma być "spalony" na najbliższy tydzień dopóki nie wygaśnie
> nieaktywowane konto? "Świetne" i _bardzo_ wkurzające (miałem takie
> przypadek z jednym sklepem. Mieli duże obciążenie, skrypty zdychały a
> jakiś niezbyt rozgarnięty osobnik ustawił widać autocommit.)

Co Ty nie powiesz. A "Wyślij link aktywacyjny ponownie" nie istnieje?
Zresztą opcja z natychmiastowym brakiem informacji czy rejestracja się
powiodła prowadzi do takich sytuacji jak opisujesz... Bo nie wiadomo czy
jeszcze poczekać chwilę czy może już nic nie przyjdzie.

>> Trochę więcej tych niepewności, a najgorsze że
>> czekamy i nie wiadomo co się dzieje, czy rejestrować się ponownie, czy
>> może jeszcze chwilę poczekać.
>
> Czym się to różni od czekania na mail aktywacyjny? Masz dokładnie ten
> sam stan użytkownika "rejestracja została zakończona, mail wysłany,
> kliknij link jak go odbierzesz".

Tak, tylko że w przypadku gdzie wiadomo że email został zarejestrowany
należy czekać na mail aktywacyjny. W przypadku braku takiej rejestracji
nie wiadomo na co czekać i czy w ogóle.

pozdrawiam,
Przemek O.

do góry

On 16.11.2012 11:18, Przemek O wrote:
> W dniu 2012-11-15 11:16, Michoo pisze:
>> Jaka natychmiastowa walidacja? Sprawdzasz poprawność wprowadzonych
>> danych. Mail i tak wysyłasz aby aktywować konto.
>
> Jak sprawdzam skoro nie wyświetla się czy mnie rejestruje czy nie i z
> jakiego powodu? Kręcisz...

Nie to ty nie czytasz uważnie.

> Jasny komunikat czy dane są poprawne czy nie
> otrzymasz w momencie potwierdzenia emailem (bądź nie). Czyli to nie jest
> natychmiastowe - czytaj w momencie wprowadzania.

Jak chcesz natychmiastowo zweryfikować poprawność wprowadzonego maila?

>
>>> A po co taki komunikat? Nie lepszy że ktoś próbuje drugi raz założyć
>>> konto na ten email?
>>
>> Bo skoro nie pamięta, że ma konto na tym adresie to prawdopodobnie
>> również nie pamięta hasła więc i tak będzie musiał użyć formularza
>> odzyskiwania hasła.
>
> Za dużo myślisz za użytkownika...

Praktyka pokazuje, że za użytkownika trzeba myśleć.

>
>>> A nieotrzymanie maila z potwierdzeniem o czym świadczy?
>>
>> Że proces rejestracji nie został przeprowadzony prawidłowo.
>
> ??? A skąd user ma wiedzieć w którym momencie owo nieotrzymanie maila

Jakie "owo nieotrzymanie maila"? Przecież mail jest wysyłany.


>
>>
>>> Że user się
>>> pomylił wpisując adres, że skrypt na serwerze się wywalił,
>>
>> Czyli jeżeli skrypt się wywali i mail aktywacyjny nie dotrze to taki
>> adres ma być "spalony" na najbliższy tydzień dopóki nie wygaśnie
>> nieaktywowane konto? "Świetne" i _bardzo_ wkurzające (miałem takie
>> przypadek z jednym sklepem. Mieli duże obciążenie, skrypty zdychały a
>> jakiś niezbyt rozgarnięty osobnik ustawił widać autocommit.)
>
> Co Ty nie powiesz. A "Wyślij link aktywacyjny ponownie" nie istnieje?

W sensownym systemie istnieje.

> Zresztą opcja z natychmiastowym brakiem informacji czy rejestracja się
> powiodła prowadzi do takich sytuacji jak opisujesz... Bo nie wiadomo czy
> jeszcze poczekać chwilę czy może już nic nie przyjdzie.

Przecież masz natychmiastową informację.

>
>>> Trochę więcej tych niepewności, a najgorsze że
>>> czekamy i nie wiadomo co się dzieje, czy rejestrować się ponownie, czy
>>> może jeszcze chwilę poczekać.
>>
>> Czym się to różni od czekania na mail aktywacyjny? Masz dokładnie ten
>> sam stan użytkownika "rejestracja została zakończona, mail wysłany,
>> kliknij link jak go odbierzesz".
>
> Tak, tylko że w przypadku gdzie wiadomo że email został zarejestrowany
> należy czekać na mail aktywacyjny. W przypadku braku takiej rejestracji
> nie wiadomo na co czekać i czy w ogóle.

Jeszcze raz, bo coś nie rozumiesz. Ja proponuję:
1. Użytkownik wpisuje mail i hasło.
2. Zatwierdza.
3. Jeżeli był jakiś błąd to jest on wyświetlany. Jeżeli nie było to
dostaje komunikat "mail aktywacyjny został wysłany".
4. Jeżeli adres mail był już w systemie dostaje link resetujący hasło.
Jeżeli nie było dostaje link do aktywacji konta.
5. Po kliknięciu linku dostaje dostęp do swojego konta.

Ty za to prezentujesz:
1. Użytkownik wpisuje mail i hasło.
2. Zatwierdza.
3. Jeżeli był jakiś błąd to jest on wyświetlany. Jeżeli nie było to
dostaje komunikat "mail aktywacyjny został wysłany". Jeżeli mail już
istnieje to jest komunikat "mail istnieje".
4. Użytkownik próbuje przypomnieć sobie hasło.
5. Użytkownik szuka hasła.
6. Użytkownik wybiera "resetowanie hasła".
7. Użytkownik wpisuje mail i hasło.
8. Zatwierdza.
9.Jeżeli był jakiś błąd to jest on wyświetlany. Jeżeli nie było to
dostaje komunikat "mail resetujący został wysłany".
10. Po kliknięciu linku dostaje dostęp do swojego konta.

jako prostsze?

--
Pozdrawiam
Michoo

do góry