如果你是Web开发者,别这样对你的用户
- John - 黑客志我已经记不起有多少次从那些无头无脑的网站收到这样的邮件了:“某某某刚刚将你加为了好友,赶紧去加他/她为好友吧. ”,然后我点了里面的链接,然后,我看到了下面这个:. 尽管如此,如果我点击”忘记密码“链接,我却可以直接通过邮件中的链接重置密码(然后使用新密码登陆),同样的Email地址,同样都是含有链接的通知邮件.
如果你是Web开发者,别这样对你的用户
标签:
分类?没有
| 发表时间:2011-06-30 23:41 | 作者:yuanyi John
出处:http://heikezhi.com
我已经记不起有多少次从那些无头无脑的网站收到这样的邮件了:“某某某刚刚将你加为了好友,赶紧去加他/她为好友吧!”,然后我点了里面的链接,然后,我看到了下面这个:
尽管如此,如果我点击”忘记密码“链接,我却可以直接通过邮件中的链接重置密码(然后使用新密码登陆),同样的Email地址,同样都是含有链接的通知邮件。
OkCupid在这方面就做得很好,这是我知道的唯一一个在这方面有考虑的网站(他们的通知邮件甚至会特别注明:”点击这里自动登陆“),作为奖励,替他们广告一下。
亲爱的网络达人们:为什么你们总是要无休止的折磨我去做这些多余的操作,然后才能使用你们的服务呢?尤其是在移动设备上(通常你们检查邮件时会收到一堆通知邮件),这简直就是个噩梦,因为我:
一没有办法得到电脑上保存的Session Cookie,让我不得不再登陆一次(即使是在桌面上,常常5分钟之后我还是得再次登入你们的网站)
在移动设备那样微小的键盘上敲出密码实在是太痛苦了
并且有时我根本记不起密码(我使用一个密码管理器来为每个站点存储单独的密码)
最重要的,既然你们有一个”忘记密码“的功能,让我可以直接通过这个链接重置密码,为什么你们就不能在其它邮件的链接中插入一个自动登陆的token呢?
(即使是处于安全的考虑,你也可以为他们设置一个超时时间来实现,这样就没法通过老的邮件来直接访问用户的账户了)。
—–
本文翻译自”if you develop web apps, don’t do this“,作者:Jeffrey Paul,翻译:yuanyiz
译者补充:在这方面必须要对豆瓣进行“表扬”,他们的通知邮件中的链接甚至不显示登陆界面,邮件中倒是说了“需要(登陆后)查看”,但是在你点了私信通知邮件中的链接后,如果没有登陆,你会看到下面这个。
想和我们一道传播黑客精神?快来加入吧!
| 无觅猜您也喜欢: | |||
 移动App,原生还是Web?这是个问题 |
 不喜欢8小时外写代码的就不是好开发? |
 世界上最有趣的开发者 |
 招聘开发者:你不该这么干 |
| 无觅 | |||
相关 [web 开发 用户] 推荐:
Web开发入门(转载)
- linchanx - Starming星光社最新更新Web应用的竞争异常激烈,开发难度也是入门容易做好很难,所以第一次开发的应用不成功是很正常的事情. 不过这正是一个积累的过程,反正你需要的只是电脑和少量服务器经费,所以多磨练几次,水平自然会提高. 2, 习惯阅读及查阅英文资料. 前沿信息基本源自美国,翻译的东西不及时,不全,很多水平不高,再加之中文原创资料毕竟很有限,因此是否能熟练地查阅英文资料决定了你获取信息的
及时性和质量.
Spring MVC 与 web开发
- - 码蜂笔记项目组用了 Spring MVC 进行开发,觉得对里面的使用方式不是很满意,就想,如果是我来搭建开发环境,我会怎么做. 下面就是我的想法,只关注于 MVC 的 View 层. 现在基本上都是用 ajax 来调用后台接口,拿到 json格式的数据再展示,有的人直接返回数据,却没有考虑异常的情况,我觉得返回的报文里必须包含表示可能的异常信息的数据和业务响应数据.
web开发利器之grunt
- - CSDN博客Web前端推荐文章grunt不难,它主要依赖的是nodeJS的npm包管理器,和一个JSON及一个JS文件,先说说npm包管理器,玩过nodeJS的对它应该都很熟悉,在这里我们只需要安装nodeJS即可(新版的nodeJS基本都集成了npm),至于nodeJS的安装可以 点这里,这这篇文章就不做详细介绍,安装完后打开命令管理器(nodeJS安装完后的终端)输入:.
Web开发者必备:Web应用检查清单
- - ITeye博客想做一个高质量的Web应用,前前后后要做的事情非常多. 国外开发者 Ata Sasmaz 为 Web 开发者制作分享了一份检查清单,包括应用开发、性能、安全、分析、可用性、可靠性、转换策略、竞争策略这些方面需要注意的事项. 清单内容可能不全面,欢迎大家在评论中补充. JavaScript 允许捕获异常.
Web应用程序的开发步骤
- xxg - 月光博客 如今已进入了web2.0高速发展的互联网时代,各种互联网的Web应用程序如雨后春笋般出现. 那么作为一名Web开发人员,怎样去开发一款优秀的Web应用程序呢. 这个问题没有一个简单的答案,甚至那些教育机构都未必能清楚的知道. 所以,像大多数在这个领域里的web开发人员一样,我们只是通过去做,去实验才学会了这些.
Web开发人员速查卡
- abcd - 酷壳 - CoolShell.cn无论你是多牛的程序员,你都无法记住所有的东西. 而很多时候,查找某些知识又比较费事. 所以,网上有很多Cheat Sheets,翻译成小抄也好 ,速查卡也好,总之就是帮你节省 时间的. 之前给大家介绍过Web设计的速查卡、25个jQuery的编程小抄,还有程序员小抄大全,今天转一篇开发人员的速查卡,源文在这里.
平台是Web开发的未来吗?
- iyuan - 伯乐在线 -博客 导读:本文是Arjun Khanna关于平台的出现以及它们如何简化Web开发的个人分析,也分析了平台的缺点和它们能够继续存在的因素. 即便现在大部分网站开发人员所构建的网站在结构上非常相似,或是至少在布局方面会有一些根本的共同之处,如果你问一下,他们大多会说他们还有一大堆的苦差使要头疼呢. 虽然客户几乎都要求顶上有横幅,导航条在左边,页面布局不超过三列,但是这并不使他们的工作更简单.
Web开发框架安全杂谈
- goodman - 80sec最近框架漏洞频发,struts任意代码执行、Django csrf token防御绕过、Cakephp代码执行等等各大语言编程框架都相继暴出高危漏洞,这说明对于编程框架的安全问题已经逐渐走入安全工作者的视线. Web开发框架就相当于web应用程序的操作系统,他决定了一个应用程序的模型结构和编程风格.
最好的开源Web开发资源
- 陈晖 - Solidot51开源社区 写道 "B2bweb.fr对“开源中最好的Web开发的资源(中文)进行了汇总.