Mozilla исправит раздражающую пользователей проблему в Firefox 77, связанную с автоматической вставкой паролей на сайтах, устанавливающих атрибут maxlength, пишет ghacks.
Эта проблема преследовала пользователей, использующих диспетчер паролей для их генерации во время регистрации на ресурсах или изменении параметров существующих учётных записей. Если разработчик сайта установил атрибут maxlength на поле для ввода, Firefox автоматически обрезает его и вставляет только часть набора символов. Пользователи не могут авторизоваться на ресурсе, при этом большинство сайтов никак не сигнализируют, что пароль был обрезан браузером. Как отмечает издание, это особенно проблематично при попытке войти в свою запись на ресурсах, где нет возможности показать пользователю введённый в поле пароль.
Mozilla исправит этот недочёт — после обновления браузер будет отмечать, если количество символов в тексте из генератора безопасных паролей окажется больше, чем установленный разработчиком атрибут maxlength, после чего уведомит пользователя об этом. В компании считают, что таким образом можно избежать потенциальных проблем, связанных со вставкой паролей. Пользователь увидит сообщение браузера, в котором предлагается сократить набранный в поле текст до указанного разработчиком количества символов — только после этого Firefox отправит данные на сервер. Кроме того,браузер выделит проблему красной рамкой.
Ritan
Какие вообще причины могут быть, чтобы ограничивать максимальную длину паролей? Минимальную — понятно. Когда натыкаешься на сайт, где минимальная длина пароля 8, а максимальная длина — 10, тут же хочется с него просто уйти
myz0ne
А как вам требования для доступа в онлайн банк?
Новый пароль должен быть от 8 до 20 цифр. Цифр, да. В банке.
Chamie
В банках любят придумывать специфические требования к паролям, явно противоречащие политикам в других местах, иногда это объясняют тем, чтобы вы не использовали для входа пароли от других сайтов/сервисов.
vlreshet
Вангую что у 90% пользователей этот пароль — это дважды повторенный пин-код к карте :) 8 цифр, банкинг, самое оно!
adictive_max
Пароль только из цифр — это из времён кнопочных телефонов. Местами всё ещё актуально.
Да и при адекватной политике доступа, ограничивающей количество попыток, длинна пароля перестаёт иметь значение.
Изначально длина и сложность пароля — это защита от вполне конкретного способа атаки — подбора. Но если ограничено количество попыток, то угадать нужно не просто из большого количества вариантов, а с очень маленького количества попыток, что на практике делает атаку перебором бессмысленной, особенно целенаправленную.
В таком случае атакующий попытается похитить ваш актуальный пароль, и тут уже защищённость от длины почти не зависит.
myz0ne
Адекватная политика доступа — не просто ограничение попыток (иначе можно заблокировать любого клиента), а сначала спросить смс/пуш, а потом позволять подбирать пароль. Нет, там не адекватная политика доступа.
Как пример адекватной политики доступа о которой вы говорите: у другого банка пароль для входа в онлайн — пин-код. Казалось бы позор. Но сначала спрашивается код из смс. И это ок.
ShNURoK42
У всего же есть максимальная длина, почему бы ее не обозначить?
Ritan
255 символов меня полностью устроило бы. Но 10, серьёзно? И это какой-то реально существующий сайт
VK8
сайт Васи Пупкина :)
KivApple
Любой нормальный разработчик хранит не сам пароль, а хеш пароля. Так что длина пароля никак не связана с размером колонки в бд.
mikleh
Ну а вдруг мамкины хакеры насоздают профилей с гигабайтными паролями?
remzalp
А Вы таки любите хранить пароли в открытом виде?
Лучше все же хранить хэш, а это десятки байт на пароль любой длины. Плюс ограничения на размер POST запроса на веб-сервере не позволят слишком много мегабайт отправить в качестве пароля.
mikleh
А оно вам надо — вычислять хэши от этих гигабайтов? Процессорное время тоже не резиновое.
Ограничение веб-сервера конечно спасают, но именно к полю пароль приходится применять тяжелые вычисления, так что разумно его ограничить, но не 10, конечно, символами.
Amomum
Мое самое любимое — при регистрации макс. длина не указана, спокойно вводишь длинный пароль, но он молча обрезается. И потом вводишь пароль во время логина — а он не подходит! Копируешь, вставляешь — все равно не подходит!
Ritan
Ну за такое руки бы вообще хорошо отрывать. Тихо терять часть данных где-либо это дикость какая-то