Двухфакторная авторизация

Хочу обратить внимание, что в этом движке есть 2FA. Если вы сильно озабочены безопасностью аккаунта — включайте, это быстро и удобно.

Тут что-то с безопасностью слишком заморочено. Привычные мне пароли для регистрации тут оказались слишком короткими.

P.S. много чего мне взламывали, но профиль на форуме ещё нигде ни разу, тьфу-тьфу.

Так это вопрос ценности профиля. Мне регулярно прилетали на серче сообщения о переборе паролей. Благо, что у меня там под 25 символов сгенерено.

[quote=“Gray, post:1, topic:85, full:true”]
атить внимание, что в этом движке есть 2FA. Если вы сильно озабочены безопасностью аккаунта — включайте, это быстро и удобно.
[/quote]

я забыл спросить, а моя доля какая в проекте?

Вы бы с обычной авторизацией через сошиал логин разобрались бы! Зарегался через айфон, потом попробовал войти в хроме на макбуке - фигвам! В форме логина нет иконки ФБ, только почта, при этом в Сафари есть. Проверяйте, чините!

Опять я что-то сделал не так?
Снимок экрана 2019-12-31 в 11.04.53|690x421
Или у кого-то в хроме включен AdBlock?

Да, точно включен, я и забыл))) Но опять же - это ваш косяк что авторизация режется адблоком, такого не должно быть

После 19 лет с серчем я на такие детские подначки не реагирую. То у кого-то картинки выключены, то кому-то важно, чтобы всё работало в IE6, а у кого, если он включает адблок и добавляет фильтр, в котором забанены все скрипты с цифрой 4 в имени (ему так удобно, вы знаете, сколько спама рассылают скрипты с цифрой 4), а еще у него Windows 2000 и сервиспаки он накатывать перестал в 2003-м году, поскольку в 2002-м из Microsoft уволился разработчик Inktomi.

Короче, если в чистой установке браузера без плагинов — Chrome, Safari, Firefox, — всё работает, то значит — всё работает и никаких ошибок на стороне форума нет. Исключение может составлять какая-то LTS-версия браузера, как это было в своё время с Firefox 52. Тестировать встроенную функциональность с каждым из кривонаписанных плагинов никто не будет.

Да у вас ошибок в консоли куча и без ав торизации. А вообще нужно еще постараться чтоб так криво ее написать, это я вам как человек, который занимется ей уже больше года для очень серьезных коммерческих проектом, не чета этому форуму. Меня бы за такие детские ошибки просто убили бы))) А вы оправдываетесь непонятно чем вместо того чтоб за полчаса поправить косяк. Начал сомневаться что на этом форуме будет лучше серча

О, как всё серьезно.
Вот когда вместо года работы на «серьезным коммерческим проектом» вы сможете похвастаться разработкой мультидоменной авторизации для портала, входящего в топ10 интернета по трафику - вот тогда мы поговорим на равных, как менеджер с разработчиком.
Сколько лет у вас опыта разработки для Ember.js? Больше пяти, хотя бы?

Я не работаю с js, моя задача - серверная часть и пишу я ее на Django. На фронте у нас react, при наличии таких проблем, в первую очередь, я конечно бы перевел задачу на фронтендщиков, в первую очередь. Ну и к безопасности у нас требования гораздо серьезнее чему тут. Например, к некоторым сервисам вообще не достучаться без двухфакторной, куда то можем пустить обычного пользователя. у нас свой авторизационный сервис как прослойка и он уже при необходимости или формирует токены или запрашивает в гугл, фб и тд. Траффика хватает, 8-ядерные сервера иногда затыкаются)
Но собственно я написал вам не для того чтоб похвастаться, а потому что есть явный баг, вы же мне начали тыкать в стиле - да кто ты такой да я сам крут… Да ради бога! Кстати, а на чем этот форум, рылся, не нашел нигде упоминаний про движок?

Вы сами себе противоречите. Вам это явный баг, который можно пофиксить за полчаса, но сами вы его перевели бы на фронтендщиков и как этот workaround потом поддерживать — неизвестно.
В текущих стабильных версиях браузеров бага нет. В определенных — причем, неизвестно каких, — конфигурациях плагинов, блокирующих рекламу, баг наблюдается, причем еще вопрос, баг ли это. Ведь в настройках плагинов есть конкретная настройка — блокировать кнопки соцсетей, а кнопка авторизации через фб и есть такая кнопка. Таким образом, плагин делает то, что вы от него хотите, сайт корректно работает в стабильных версиях браузеров — могу только посоветовать внести этот сайт в whitelist или убрать блокировку кнопок соцсетей в настройках плагина.

Лезть руками в код движка, гарантируя его несовместимость на веки вечные с любыми апгрейдами и сторонними темами — да, возможно, это путь настоящего разработчика на Django.

Вам включить обязательную 2FA и пароль не короче 30 символов, раз всё так серьёзно?

[quote=“Gray, post:13, topic:85”]
Таким образом, плагин делает то, что вы от него хотите, сайт корректно работает в стабильных версиях браузеров — могу только посоветовать внести этот сайт в whitelist или убрать блокировку кнопок соцсетей в настройках плагина
[/quote]

Абсолютно верно - это вариант решения проблемы и довольно корректный. Но я сталкивался с тем что пользователи прибегали, вырывая волосы на голове и приходилось решать проблему за них. Можно было бы просто отмахнуться, как вы в данном случае, можно немного поправить кнопки на фронте, что бы блокировщик их пропускал. Для нас такое критично, потому что пользователи платят деньги)
И для этого не надо лезть в движок. Кстати Джанго позволяет не лезть в движок а наследоваться, впрочем как и любой приличный фреймворк. Тут же проблема на фронте, поэтому бы наш фронтедщик решил бы ее за полчаса. Там у нас реакт, но не думаю что здесь это проблема такая что нужно перебирать сам двиг.
И кстати эта никак не проблема двухфакторной авторизации, просто это была самая подходящая тема, не хотелось создавать новую. Это авторизация через сошиал логин и кстати там пароль как раз создается в 30 символов и хранится хэш.

https://habr.com/ru/post/316676/

[quote=“Viachaslau_Kazakou, post:14, topic:85”]
Тут же проблема на фронте, поэтому бы наш фронтедщик решил бы ее за полчаса. Там у нас реакт, но не думаю что здесь это проблема такая что нужно перебирать сам двиг.
[/quote]

Нет, это не проблема на фронте. Вероятно, адблок вырезает кнопку, поскольку она лежит в слое “btn-social”. Ваш фронтендщик одним махом переименовал бы слой, поправил бы CSS и закрыл бы тикет.

И начались бы настоящие проблемы.

Потому что здесь есть база, есть шаблоны и есть темы со стилями. Название слоя лежит в шаблонах внутри движка. Переименовали слой — и отвалились все темы, поскольку они про него не знают. Это не смертельно, конечно, ваш фронтендщик бы прошелся по темам и поправил бы CSS не в одном месте. И закрыл бы тикет.

Но этот движок обновляется. С определенной долей уверенности можно сказать, что обновление, которое ничего не знает о том, куда лазили руками, затерло бы внесенные изменения — и опять отвалились бы все темы, поскольку они ничего не знают уже о корректном названии слоя. То есть пришлось бы повторять исходный тикет.

Кроме того, такое изменение пришлось бы делать для любой новой темы — ведь она же тоже не знает о наших локальных изменениях. Вот так одно небольшое изменение “на фронте” превратит весь движок в набор страшных граблей и костылей с полной занятостью счастливого фронтендщика.

Поэтому, пожалуйста, внесите сайт в whitelist адблока! Я не готов сейчас заниматься тонким допиливанием движка и устранением багов, которые сами разработчики уже много лет таковыми не считают. Дайте хоть месяц-другой на этом прожить.

[quote=“Viachaslau_Kazakou, post:12, topic:85”]
рылся, не нашел нигде упоминаний про движок
[/quote]

meta name="generator" content="Discourse 2.4.0.beta9

Это конечно говорит об уровне 🙂

Просто счастлив, что ваш уровень позволяет говорить со мной свысока! Вот ничего мне не говорил dicourse - не слышал и не видел ранее. Все, мне пойти утопиться?

Gray в прошлом году писал. 😉

Log in to reply