Уважаемые коллеги, сегодня столкнулся с некомпетентностью технической поддержки Сбербанка, которую не удалось побороть. Поскольку выявленная мною проблема напрямую не связана с информационной уязвимостью и при ее опубликовании она не может нанести кому-либо какой-либо конкретный ущерб, а является результатом, на мой взгляд, неудачного эргономического оформления поведения регистрационной web-морды, в чем может убедиться любой пользователь Сбербанка Онлайн при инициации регистрационных действий, привожу иллюстрацию попытки ввода пароля пользователя:

Скриншот 1. Демонстрация некорректности поведения
Скриншот 1. Демонстрация некорректности поведения

На прямое указание некорректного ответа web-морды на предлагаемый пароль Le|'|f0fUK>CQDVcW+ZT,oUYc*s0@l от технической службы Сбербанка получен следующий ответ:

Скриншот 2. Демонстрация некорректного ответа
Скриншот 2. Демонстрация некорректного ответа

Обращаю, коллеги, Ваше внимание на то, что:

  • Ничего про вертикального черта в инструкции ввода не сказано.

  • Требуемый спец. символ (в данном случае @), несмотря на информацию с web-морды, содержится в теле пароля.

На момент 16.11.2023 19:16 МСК данная особенность валидации воспроизводится на сайте https://online.sberbank.ru

Если среди читателей данного поста имеют место быть компетентные специалисты, принимающие ответственные управляющие решения в компании Сбербанк, прошу способствовать решению проблемы с неудачным эргономическим оформлением реакции регистрационной web-морды на некорректный ввод пароля.

Вместе с этим у меня, как у рядового пользователя Сбербанка Онлайн, актуализируется естественная настороженность: если даже на пороге контакта со Сбербанком, при регистрации и знакомстве со Сбербанком допущены подобные неудачные эргономические решения, обусловленные элементарным ку недотестированностью, какие же еще неудачные эргономические решения скрываются далее в широком ассортименте предлагаемых Сбербанком продуктов? Спасибо за внимание.

Комментарии (10)


  1. Breathe_the_pressure
    16.11.2023 16:59
    +6

    Черта? Они у меня интернет платежи заблокировали из-за регулярного платежа от очень "подозрительной" компании МТС, позвонив мне роботом в 3 часа ночи. Ну не ответил, спишь? вот тебе блокировка.


  1. Cheater
    16.11.2023 16:59
    +2

    <del>


  1. Number571
    16.11.2023 16:59
    +4

    Что-то мне это напоминает

    >

    Кстати, зря тратите силы на ввод разного регистра, сберу на него вообще побоку.

    https://dtf.ru/flood/206407-sberbank-ne-uchityvaet-registr-i-ne-heshiruet-paroli


  1. weirded
    16.11.2023 16:59
    +1

    А на госуслугах нельзя # использовать в пароле, если не ошибаюсь. Всегда смущала тема с запрещёнными для пароля символами - их, блин, передают на сервер плейнтекстом, хранят и куда-то пихают чтоле, целиком доверяясь TLS?


    1. dartraiden
      16.11.2023 16:59

      их, блин, передают на сервер плейнтекстом

      Вы придумываете пароль, он передаётся на сервер, сервер берёт хэш от присланного и сохраняет в базу. При авторизации введённый вами пароль передаётся на сервер, сервер берёт от него хэш и сравнивает с тем, что лежит в базе.

      А как иначе? Хэшировать на клиенте? Тогда придётся отдавать клиенту какой-то скрипт, который будет это делать.


  1. lorc
    16.11.2023 16:59
    +1

    А еще говорят что Хабр - не жалобная книга...


    1. aleksiej-ostrowski Автор
      16.11.2023 16:59
      -5

      Только эта жалобная книга сработала обратным образом. Мне уже насовали минусов полную панамку, вместо того, чтобы принять к сведению.


      1. lorc
        16.11.2023 16:59
        +1

        Потому и насовали, что Хабр - не жалобная книга. Вы правила читали? https://habr.com/ru/docs/help/posts/

        Что не нужно размещать:

        • Просто мемы из раза в раз. Иногда можно что-то выложить смешное/актуальное, но без фанатизма.

        • Изображения без пояснений (чтобы другие что-то додумывали) и вне тематики сайта. 

        • Просто ссылку на что-либо без пояснений. Злоупотреблять постингом ссылок тоже не следует.

        • Вакансии (для этого есть Хабр Карьера), вопросы (для этого есть Хабр QnA) и заказы (для этого есть Хабр Фриланс).

        • Отзывы и жалобы на компании, товары или услуги. 


  1. TerrorDroid
    16.11.2023 16:59

    К сожалению, это классика дегенеративных систем. Точно также у условного Salesforce парсилка паролей в аутентификации ломается от восклицательных знаков. Указать их можно, а потом войти по ним нельзя.


  1. dopusteam
    16.11.2023 16:59

    Ничего про вертикального черта в инструкции ввода не сказано.

    Вам ж ответили, что на форме приведены разрешённые символы