On Wed, 28 Mar 2012 13:47:12 +0200, gierrro wrote:

> W dniu 2012-03-28 13:12, M.G. pisze:
>
>>> A niby jaki?
>>> Bo dla mnie to taki sam jak podwójne podawania swojego maila.
>>
>> Choćby taki, że jak źle wpiszesz hasło to nie bardzo wiesz co źle wpisałeś,
>> bo nie widzisz hasła tylko kropki.
>
> Ale ja mam na myśli inny przypadek.
>
> Dlaczego raz wpisane hasło ma się czyścić, jeśli np. nie zaznaczyłem
> jakiegoś tam zapoznania się z regulaminem? Bo na ogół się czyści. Po
> prostu mi ręce opadają. "Na wszelki wypadek niech powpisuje wszystko
> jeszcze raz". :)

Nie wiem, wyłapanie takich błędów powinno odbywać się jeszcze przed
submitem, javascriptowo, tak czy siak.


> Problem w tym, że to jest większość, czyli jakaś głupia moda a nie
> pojedyncze przypadki.

Podejrzewam, że chodzi tutaj też o bezpieczeństwo. Gdyby hasło miało być
wpisane w formularzu, musiałoby się pojawić w kodzie strony. A to już jest
niebezpieczne. Publiczny komputer, ktoś robi "wstecz" itp. Hasła nie
powinny być przesyłane plain textem, nie powinny w ogóle się nigdzie
"pojawiać" poza pamięcią zaadresowaną przez przeglądarkę, a połączenie
zawsze powinno być szyfrowane.

Nigdy też się nad tym nie zastanawiałem ale może to przeglądarki
automatyznie czyszczą inputy typu password.

--
M.G.

do góry

W dniu 2012-03-28 13:12, M.G. pisze:
> On Wed, 28 Mar 2012 12:17:54 +0200, gierrro wrote:
>
>> W dniu 2012-03-28 11:36, M.G. pisze:
>>
>>> W przypadku haseł i captcha ma to sens
>>
>> A niby jaki?
>> Bo dla mnie to taki sam jak podwójne podawania swojego maila.
[8<]
> A
> captcha to captcha, ma zabezpieczać przed botami, więc musi się zmieniać by
> boty nie próbowały sobie pomóc atakiem typu brute force albo się uczyć.

Jeżeli on ją dobrze wpisał, to po co ma drugi raz udowadniać że nie jest
botem? Poza tym zwalanie na użytkownika swojej roboty jest nieładne -
http://sblam.com/


--
message[autor="PablO"]::after {
content:"Pozdrawiam";
}

do góry

On Thu, 29 Mar 2012 01:26:36 +0200, Paweł Piskorz wrote:

> W dniu 2012-03-28 13:12, M.G. pisze:
>> On Wed, 28 Mar 2012 12:17:54 +0200, gierrro wrote:
>>
>>> W dniu 2012-03-28 11:36, M.G. pisze:
>>>
>>>> W przypadku haseł i captcha ma to sens
>>>
>>> A niby jaki?
>>> Bo dla mnie to taki sam jak podwójne podawania swojego maila.
> [8<]
>> A
>> captcha to captcha, ma zabezpieczać przed botami, więc musi się zmieniać by
>> boty nie próbowały sobie pomóc atakiem typu brute force albo się uczyć.
>
> Jeżeli on ją dobrze wpisał, to po co ma drugi raz udowadniać że nie jest
> botem?

A wiadomo, że to on? Tylko po sesji wiadomo, a tę spammer piszący bota może
zasymulować, z dokładnością do ciasteczka. Z drugiej strony - co to za
spam, który wypełni formularz tylko raz...


> Poza tym zwalanie na użytkownika swojej roboty jest nieładne -
> http://sblam.com/

Jasne. Ale póki co musimy żyć z kapciem :-)

--
M.G.

do góry

W dniu 2012-03-29 08:27, M.G. pisze:
> On Thu, 29 Mar 2012 01:26:36 +0200, Paweł Piskorz wrote:
>
>> Jeżeli on ją dobrze wpisał, to po co ma drugi raz udowadniać że nie jest
>> botem?
>
> A wiadomo, że to on?

Po poprawnym wpisaniu kapcia zapisujesz sobie że dany token* (nie ten
który dostałeś, ale ten który mu teraz wstawisz) już wpisał poprawnie
kapcia.

> Tylko po sesji wiadomo, a tę spammer piszący bota może
> zasymulować, z dokładnością do ciasteczka.

Symulowanie sesji nic mu nie da, nawet jakby ją ukradł i się pod niego
podszył to jeszcze musiałby ukraść/podglądnąć odpowiedź na POSTa którego
użytkownik właśnie wysłał.

* token który wykorzystujesz do zapobiegania
http://pl.wikipedia.org/wiki/Cross-site_request_forg
ery


--
message[autor="PablO"]::after {
content:"Pozdrawiam";
}

do góry