Имя пользователя, не найденное или слишком неопределенное сообщение об ошибке неправильного пароля
Я обычно оставляю флажок немаркированным и затем делаю его "маркировку" отдельным элементом. Это - боль, но существует такое различие перекрестного браузера между тем, как флажки и их маркировки отображены (как Вы заметили), что это - единственный способ, которым я могу близко подойти к управлению, как все смотрит.
я также заканчиваю тем, что делал это в разработке winforms по той же причине. Я думаю, что фундаментальная проблема с управлением флажком состоит в том, что это - действительно два различных средств управления: поле и маркировка. При помощи флажка Вы оставляете его до лиц, осуществляющих внедрение управления, чтобы решить, как те два элемента отображены друг рядом с другом (и они всегда понимают его превратно, где неправильно = не, что Вы хотите).
я действительно надеюсь, что у кого-то есть лучший ответ на Ваш вопрос.
5 ответов
Причиной может быть безопасность: она предотвращает определение существующих имен пользователей на основе неудачных попыток.
Это должно быть сбалансировано с пользовательским опытом; если вам скажут, что либо ваше имя пользователя или пароль неверны, это может быть воспринято как очень бесполезное или раздражающее.
Да, именно поэтому многие приложения / сайты не указывают, какая часть логина является неправильной. Раньше у меня была такая же жалоба, но потом я прочитал кучу книг по компьютерной безопасности, включая 19 смертных грехов безопасности программного обеспечения . Помимо прочего, например, переполнения и SQL-инъекции, Майкл Ховард объясняет причину возврата унифицированной ошибки для входа в систему.
HTH
Здравый смысл подсказывает, что неоднозначное сообщение лучше, потому что злоумышленник не сможет узнать, угадал ли он правильное имя пользователя.
это все о предоставлении злоумышленнику как можно меньше информации. Некоторые сайты идут еще дальше с напоминанием пароля. Когда вы вводите свой адрес электронной почты, чтобы получить новый пароль или ссылку для сброса пароля, они не сообщают вам, зарегистрирован ли ваш адрес электронной почты в базе данных, но выдают вам такое сообщение: «если введенный вами адрес электронной почты находится в нашей базе данных вы получите сообщение ... "Это не дает злоумышленнику узнать, какой адрес электронной почты использовался жертвой, а также может сообщить жертве, что кто-то пытается взломать ее учетную запись.
Это дополнительное кольцо, через которое атакующий должен прыгнуть. Если он выполняет холодную атаку на приложение, он не знает ни имен пользователей, ни паролей. Зачем давать ему дополнительную информацию, чтобы сказать ему, что он нашел имя пользователя? Лучше не раскрывать информацию.
Что делать, если злоумышленник просто хочет подтвердить, что определенное имя пользователя существует? Скажем, имя политика как имя пользователя, например, на фетиш-сайте. Само имя пользователя является конфиденциальной информацией, и вы не хотите подтверждать, какие из них существуют, а какие нет.