На форуме с включённым пользовательским полем «Пронунз» один из пользователей случайно вставил свой пароль в это поле.
Скорее всего, он действовал на автопилоте и вставил пароль, приняв поле за «подтверждение пароля», к чему мы привыкли за последние [слишком много] лет.
Возможно, мы могли бы помочь людям избежать такой ошибки, запретив отображение любых пользовательских полей после поля «Пароль».
Или же проверять пользовательские поля на то, чтобы они не совпадали с паролем пользователя… хотя это довольно странная и специфичная проверка.
Краткое обновление… @nbianca только что реализовал валидацию здесь:
Это означает, что в будущем мы будем просто отклонять регистрации, если пользователи совершат эту ошибку.
В долгосрочной перспективе, возможно, мы сможем что-то улучшить в интерфейсе, чтобы предотвратить это заранее, но основной вектор уязвимости теперь закрыт.
Отличное предложение, но я бы хотел увидеть, как это приводит к сбою в реальной среде, прежде чем торопиться с исправлением. Расположение поля «email» делает такое развитие событий менее вероятным.
Можно представить ситуации, когда люди указывают email в пользовательских полях, и он совпадает с тем, на который вы зарегистрировались.
Я бы поддержал изменение: «проверять, что пароль/имя/имя пользователя не совпадает с email». Это уже реализовано? @nbianca
