Думал о безопасности, а именно о логинах и паролях для LS, есть ли смысл сделать авторизацию через безопасное соединение? кто как считает?
(т.е. авторизация будет через https://autor.site.ru/login/ вместо site.ru/login/)
Интересно мнение тут присутствующих…
Ситуация такая! Когда юзер забыл пароль, он естественно попытается его восстановить, кликнув по ссылке «напомнить пароль». Ему предложат ввести свой майл на странице восстановления пароля login/reminder/… Вроде бы все хорошо, пользователь вводит свой майл, жмет на кнопку «получить ссылку на восстановление пароля», письмо даже приходит, в котором и есть та обещанная ссылка, но кликнув по ней получается, что пароль восстановить нельзя, а точнее появляется сообщение
Ошибка: Ошибка
Неверный код на восстановление пароля.
Как изветсно LS хранит пароли в очень простом виде — md5(password), обладая некоторым количеством паранойи я решил добавить к нему соль, после ниже описанных изменений пароль будет храниться в виде: sha1(salt+md5(password))
Возникла необходимость написать от пользователя. Я владелец сайта.
Есть пользователь, от которого надо написать запись, причем пользователь согласен на это. В тоже время пользователь плохо разбирается в интернете, что даже не может тупо нажать кнопку «Написать». Попросил меня разместить запись, но пароль не дает от своей записи.
Вот пришла в голову такая идея — что-то вроде локального OpenID ;)
Т.е. любой пользователь, зарегистрированный на сайте с LS может под своим логином заходить на другой LS-сайт :)
Добрый! Обнаружил такую досадную проблему на сайте ЛС — зарегистрированный пользователь используя классический яваскриптовый «Вход» (затемненный экран и окошко входа посередине), не может сохранить свой пароль в браузере (например в Firefox).
Я думаю это из-за того, что метод отправки формы стоит неправильный и форма отправляется не так как обычно, это может быть GET или POST запрос, я в этом сильно не разбираюсь, но было бы очень хорошо если бы это можно было как-то исправить, чтобы пользователи не восстанавливали свой пароль (или делали это реже).
Пытаюсь интегрировать LS с некоторыми другими сервисами на своём сервере. Для этого необходимо хранить пароль в базе данных в открытом виде. (Для корпоративной сети такое нарушение приватности допустимо.)
В процессе копания в движке дошёл до строчки
$this->User_Add($oUser)
Куда ведёт эта функция и где, собственно, работа с БД?
Замечена такая штука. Человек зарегистрировался и не получил на емаил письмо (почта yandex.ru). Зашел в поле восстановления пароля и пароль ему меняет, но после такого письмо уж точно врядле прейдет. Получается, что на не активированной учетной записи можно менять пароль.
UPD: этим самым я хотела сказать, что таки нужно дать человеку запрос повторно активации ;)