Уважаемые коллеги, сегодня столкнулся с некомпетентностью технической поддержки Сбербанка, которую не удалось побороть. Поскольку выявленная мною проблема напрямую не связана с информационной уязвимостью и при ее опубликовании она не может нанести кому-либо какой-либо конкретный ущерб, а является результатом, на мой взгляд, неудачного эргономического оформления поведения регистрационной web-морды, в чем может убедиться любой пользователь Сбербанка Онлайн при инициации регистрационных действий, привожу иллюстрацию попытки ввода пароля пользователя:
На прямое указание некорректного ответа web-морды на предлагаемый пароль Le|'|f0fUK>CQDVcW+ZT,oUYc*s0@l от технической службы Сбербанка получен следующий ответ:
Обращаю, коллеги, Ваше внимание на то, что:
Ничего про вертикального черта в инструкции ввода не сказано.
Требуемый спец. символ (в данном случае @), несмотря на информацию с web-морды, содержится в теле пароля.
На момент 16.11.2023 19:16 МСК данная особенность валидации воспроизводится на сайте https://online.sberbank.ru
Если среди читателей данного поста имеют место быть компетентные специалисты, принимающие ответственные управляющие решения в компании Сбербанк, прошу способствовать решению проблемы с неудачным эргономическим оформлением реакции регистрационной web-морды на некорректный ввод пароля.
Вместе с этим у меня, как у рядового пользователя Сбербанка Онлайн, актуализируется естественная настороженность: если даже на пороге контакта со Сбербанком, при регистрации и знакомстве со Сбербанком допущены подобные неудачные эргономические решения, обусловленные элементарным ку недотестированностью, какие же еще неудачные эргономические решения скрываются далее в широком ассортименте предлагаемых Сбербанком продуктов? Спасибо за внимание.
Комментарии (10)
Number571
16.11.2023 16:59+4Что-то мне это напоминает
>
Кстати, зря тратите силы на ввод разного регистра, сберу на него вообще побоку.
https://dtf.ru/flood/206407-sberbank-ne-uchityvaet-registr-i-ne-heshiruet-paroli
weirded
16.11.2023 16:59+1А на госуслугах нельзя # использовать в пароле, если не ошибаюсь. Всегда смущала тема с запрещёнными для пароля символами - их, блин, передают на сервер плейнтекстом, хранят и куда-то пихают чтоле, целиком доверяясь TLS?
dartraiden
16.11.2023 16:59их, блин, передают на сервер плейнтекстом
Вы придумываете пароль, он передаётся на сервер, сервер берёт хэш от присланного и сохраняет в базу. При авторизации введённый вами пароль передаётся на сервер, сервер берёт от него хэш и сравнивает с тем, что лежит в базе.
А как иначе? Хэшировать на клиенте? Тогда придётся отдавать клиенту какой-то скрипт, который будет это делать.
lorc
16.11.2023 16:59+1А еще говорят что Хабр - не жалобная книга...
aleksiej-ostrowski Автор
16.11.2023 16:59-5Только эта жалобная книга сработала обратным образом. Мне уже насовали минусов полную панамку, вместо того, чтобы принять к сведению.
lorc
16.11.2023 16:59+1Потому и насовали, что Хабр - не жалобная книга. Вы правила читали? https://habr.com/ru/docs/help/posts/
Что не нужно размещать:
Просто мемы из раза в раз. Иногда можно что-то выложить смешное/актуальное, но без фанатизма.
Изображения без пояснений (чтобы другие что-то додумывали) и вне тематики сайта.
Просто ссылку на что-либо без пояснений. Злоупотреблять постингом ссылок тоже не следует.
Вакансии (для этого есть Хабр Карьера), вопросы (для этого есть Хабр QnA) и заказы (для этого есть Хабр Фриланс).
Отзывы и жалобы на компании, товары или услуги.
TerrorDroid
16.11.2023 16:59К сожалению, это классика дегенеративных систем. Точно также у условного Salesforce парсилка паролей в аутентификации ломается от восклицательных знаков. Указать их можно, а потом войти по ним нельзя.
dopusteam
16.11.2023 16:59Ничего про вертикального черта в инструкции ввода не сказано.
Вам ж ответили, что на форме приведены разрешённые символы
Breathe_the_pressure
Черта? Они у меня интернет платежи заблокировали из-за регулярного платежа от очень "подозрительной" компании МТС, позвонив мне роботом в 3 часа ночи. Ну не ответил, спишь? вот тебе блокировка.