Xpoint
   [напомнить пароль]

Авторизация: HTML или HTTP ?!

Метки: usability, авторизация
2005-07-20 19:21:55 [обр] xyz[досье]

Сообственно, есть 2 варианта для ввода логина/пароля для входа в защищенную область сайта:

  1. "html форма" - например, как вход на этом форуме
  2. "http авторизация" - когда браузер показывает стандартное окошко "Ввод сетевого пароля", например, вход в панель управления на многих хостингах.

Какой вариант лучше?

спустя 12 минут [обр] Сергей Круглов(10/2057)[досье]

А вы какой способ в интернете чаще видите и на каких сайтах? Делайте выводы.

http-авторизация менее гибка: нельзя нормально отлогиниться, например, только закрывая браузер.

спустя 13 минут [обр] Андрей Новиков(8/1242)[досье]
И нельзя авт оматом залогиниться, т.к. браузеру не подсунешь пароль.
спустя 39 минут [обр] xyz[досье]
отлогиниться можно.
спустя 1 минуту [обр] xyz[досье]
"автоматом залогиниться" - полностью автоматом нельзя, но за 1 клик можно.
спустя 8 минут [обр] Андрей Новиков(8/1242)[досье]
xyz[досье], примеры на оба случая, пожалуйста.
спустя 39 минут [обр] xyz[досье]
  1. http://out:out@www.domain.ru/exit.php
  2. при первом входе ставим галочку "запомнить пароль" и далее для входа остатся только нажимать неглядя на кнопку "ок" и все.
спустя 3 часа 23 минуты [обр] Сергей Круглов(10/2057)[досье]
xyz[досье]
  1. А теперь то же самое в MSIE со всеми апдейтами
  2. Автоматом залогиниться - это не "запомнить пароль", а кликнуть на такую ссылку, чтоб залогиниться, типа "посмотрите демоверсию тут: script?login=guest&password=guest"
спустя 2 часа 47 минут [обр] Владимир Палант(1/4445)[досье]
сообщение промодерировано
xyz[досье]
  1. Попробуйте в последних версиях Mozilla/Firefox и сделайте выводы.
  2. Помимо того, что это ответ не на тот вопрос, тут опять же проблема — что вы сделаете, если вам надоест входить автоматически? Как удалить запомненный пароль для конкретного сайта? Возможно, вы это даже знаете. Но подумайте, много ли ваших пользователей сможет раскопать нужную кнопку?
спустя 8 часов [обр] fetis(0/82)[досье]
А http авторизация не надежнее будет?
спустя 5 минут [обр] Сергей Круглов(10/2057)[досье]
fetis[досье]
Например?
Если сессионные куки не работают? Ну, это проблема юзера (а если у него монитор не работает?), к тому же ID сессии можно тягать в URL.
Или в смысле безопасности?
спустя 6 часов [обр] fetis(0/82)[досье]
Сергей Круглов[досье]
В плане безопасности. Давно читал (навряд ли сейчас вспомню где) про способы авторизации, способ с http называли самым надежным.
спустя 9 часов [обр] Владимир Палант(1/4445)[досье]
Ну, передавать пароль практически открытым текстом с каждым запросом я не считаю особо безопасным. В остальном особых различий между HTTP-авторизацией и сессиями я не вижу. Ну разве что опасность XSS-дыры, через которую удастся украсть куки...
спустя 5 часов [обр] Андрей Новиков(8/1242)[досье]
Да, кстати, в HTML-авторизации пароль один раз передается, а тут — каждый раз.
спустя 14 часов [обр] Tony(1/52)[досье]
Мы говорим про юзабилити, а не про программирование. HTML удобнее. Можно лучше кастомизировать (например, в качестве логина спрашивать e-mail), можно автоматически прозрачно авторизовать пользователя, можно опять-таки предлагать кнопку "выйти", чего не скажешь про HTTP-авторизацию.
спустя 17 дней [обр] Алексей Волков, он же «Росомаха из Флориды»(17/468)[досье]
М Резюме получается такое: с точки зрения возможностей, которые есть и у пользователя, и разработчика, лучше использовать обычные формы на веб-страницах.
Powered by POEM™ Engine Copyright © 2002-2005