twin
Прав без сомнения, пароль собственность пользователя. А слишком ретивым можно поставить простой как бубен JS просматривающий и предупреждающий пользователя что пароль имеет пробелы.
На худой конец, если пользователи задалбывают со входом, есть процедура восстановления пароля, что сложного ...

PHP_Fox
Так ты ничего и не понял. Каких нафиг зайцев ты убиваешь?
1. Если у меня такой пароль _123_ (подчеркивание, это пробелы) - на сколько ты увеличиваешь подбор его брутом? А если такой __123__? Почему я становлюсь заложником твоих экспериментов? Ты намеренно искажаешь данные, тобишь без спроса трогаешь и дербанишь вещь. принадлежащую мне и только мне. И если Гугл имеет наглость совать свой нос в чужие дела, прикрываясь монополизмом и вседозволенностью, то порядочному человеку это не пристало делать.
2. Если у тебя стоит ограничение на минимальную длину пароля (что тоже не айс, но с точки зрения этики вполне допустимо, так как я в праве не отвечать за плохо лежащие вещи, как в гардеробе), то обрезав пробелы из __1234__ мы получим 1234 - 4 символа вместо 6. И с недоумением будем пялиться на сайт - с какого перепуга он стал коротким? Не сложно понять, что пробелы режутся, и вот тут то читай п 1.

Вот таких двух зайцев?

_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.

Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.

Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.

Ну да, верное рассуждение. А еще 4000 человек забудут переключить капслок. И еще 4000 - раскладку. Давай сразу тогда все переведем в нижний регистр и транслетируем. За одно сотрем всякие циркумфлексы, решетки и собачки - а вдруг юзер по случайности их поставит и забудет. Там же звездочки и ничего не видно. Зачем вообще мучаться, отвечать на вопросы... Ставим регулярку

Пароли не все пишут: "надо 10 символов, иначе не пропустим", а многие используют схему: "легкий пароль, нельзя зарегистрироваться", "средний, можно но на свой риск", "хороший пароль". Рядом на JS отображается цветовой гаммой, какой пароль вы ввели.
То есть если человек ввёл 4 символьный пароль, то ему написали: "слишком легкий пароль", если он введёт 6 символов - то "средний", если он ввёл 4 символа + 2 пробела по бокам, то на JS убрали пробелы и установили, что пароль имеет всего 4 символа, и снова же пишем пользователю: "у вас слишком легкий пароль". Итого
" а " - слишком легкий пароль, почему? Да потому что дублируют одинаковые символы, что делает пароль доступным для подбора: "ааа", "ббб", "111" и так далее.
Отсюда не обязательно уведомлять о том, как устроен конкретный алгоритм проверки пароля, достаточно выводить текст, что пароль "легкий или сложный", что даст понятие, что " тест " - легкий, не смотря на то, что пробелы с двух сторон стоят.


И да, Николай, он не короткий, он ЛЕГКИЙ. Вот причина отмены регистрации таких паролей. А мы программисты и говорим, что он слишком легкий, поэтому пусть пользователь придумает более сложный пароль и обезопасит себя в дальнейшем от подбора. А не разрешать ему создавать пароли 123. Ты отвечаешь за него!

Если через банк сделали перевод с карточки, а потом банк обвиняют, что они ничего не переводили - банк вернёт деньги, а сервис, который получил деньги окажется оштрафованным(!) самим банком. Так работает схема, поэтому не " ааа ", а " цтфвцфвтцф цшфвцтфшвтцшф вцфш втфц вцшфт " - таким пароль должен быть, и наличие или отсутствие пробелов по бокам его не облегчат!

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).

Не, ты не путай божий дар с яичницей. Одно дело предупредить юзера, что пароль слабый. Да даже запретить ему использовать пробелы или еще чего. В конце концов ты хозяин сайта и имеешь права не пускать на него тех, кто относится к паролю легкомысленно.

Но TRIM() - это прямое действие по искажению данных. Причем зачастую (да и как ты сам же и делаешь) совершенно без уведомлений. Так вот, я не вижу отличий между удалением пробелов и переводом все в нижний регистр к примеру. О чем и писал выше.

Пароль - неприкосновенная собственность юзера. И апать его нельзя без разрешения. Ставь проверки на клиенте, уведомляй, запрещай в конце концов. Но целостность нарушать не смей. Иначе сейчас trim, завтра капслок, так не закон получится, а кистень.

_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.

Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.

Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.

пробелы - такие же полноценные символы. трим оправдан в фильтрах сообщений, чтобы лишних сдвигов в тексте небыло, а к паролю он нафик не нужен.

А я и не путаю. Крутые корпорации используют подход, который нравится мне, поэтому это глупо пытаться убедить меня, что все кругом делают ошибки.

Искажения не будет, человек этого не заметит, НИКТО этого не заметит, что пароль был обработан trim. + на будущее, если всё же md5 расшифруют хакеры, то получат неверный пароль, что даст дополнительную безопасность тому, кто использует всегда в своих сайтах пароль с пробелом. Итого получив доступ к паролям он не сможет им же воспользоваться и попасть на другой сервис, где пробелы учитываются. Это разнообразия создаёт возможность клиенту иметь 1 пароль, но при этом на разных порталах он будет разный храниться в БД.
Я бы ещё развил эту мысль и обрабатывал другие символы, допустим замену А на О, и О на А.

Ты какой-то категоричный в своих суждениях и в этом ты не прав. Потому что твой подход уже заведомо неверный.

redreem
Много ты лично получал жалоб от пользователей? Я страдаю от этого, потому что я не вижу: ************* после копирования, есть ли на конце пробел или нет. И в итоге после того, как мне пишут: "неверный пароль" я беру и убираю последний символ, в итоге: "вы авторизированы". Это высшая степень удобства авторизацию проходить по 2 раза по той причине, что тот же Ворд добавляет пробел на конце?

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).

Твой главный аргумент - искажение пароля.
А md5 - не искажение пароля до неузнаваемости? trim - тот же эффект. При этом результат будет одинаковый, что md5 нескольким паролям вернёт одинаковый хеш-код, что trim вернёт 4-ым вариантам один результат.

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).

inpost

я сам порой копирую пароли из вордовского документа и вижу что "захватился" пробел. тут есть 2 крайности: пользователи которые захотят иметь пробелы в начале или в конце и пользователи, которые копируют пароли из ворда. получается проблема вовсе не в установке исходного пароля, а в его последующем вводе. кого больше, первых или вторых крайностей? явно вторых, но что делать с первыми? кстати те ресурсы, которыми пользуюсь я, не тримят пароли, меня не пускают если пароль захватил пробел... и вот думается мне, что если чел дибил и не способен увидеть захваченный проблел при копировании, то это его проблемы. можно даже подать в суд наверно на микрософт, что ОНЕ это позволяют и наносят моральные переживания как пользователю, так и админу-инпосту тем не менее есть логичное и адекватное объяснение ситуации, может проще говорить юзеру-дибилу чтобы он повторил ввод без пробела?

redreem
И? Для тебя важнее восхищаться своим невероятно крутым мега кодом, или сделать так, чтобы удобно было всем?
Фууу. trim - ты быдлокодер... насрать на то, что всем обычным смертным это нравится, среди программистов ты быдлокодер!
И это то, какие убеждения вы делаете. Вот убрал я пробелы тримом, пароль пострадал? У меня защита от ддоса, и блокировка от подбора пароля. Итого что с пробелом, что без пробела не подберут пароль ни к одному из пользователей! Собственно уязвимости нет.
Далее я делаю так, чтобы любой из пользователей мог с первого раза зайти. Посмотри, как работает re-captcha, кажется она допускает в ведении капчи 1 ошибку и пропускает. Потому что не надо быть задротом, надо просто ввести капчу и даже если ошибся в 1 пробел, то система за тебя пропустит тебя на сайт.

На уровне безопасности - нет разницы. На уровне юзабилити - все клиенты довольны, это главный принцип Стива Джобса, сделать так, чтобы его устройствами могли пользоваться даже 6-и летние сельские дети, это максимально удобно пользователям и очень понятно.

И да, мне напливать, если гуру программирования скажет, что это "быдлокод", потому что приложения я делаю для людей, а не для того, чтобы выделываться на форуме, что вот такой я "идеалист"

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).

redreem
Ты только что дибилами назвал своих родителей, бабушек и дедушек. Тебе не стыдно?
Я наберу второй раз, я разбираюсь в этом да и моего АПМ хватит, чтобы глазами не моргнуть. А вот для них проблема, и именно они в твоих словах и являются дибилами...

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).

inpost

ненадо утрировать категории юзеров, есть такое понятие "информационная культура". не касаясь бабушек и дедушек, которые в общем-то вообще не полезут в инет, есть куча народу в адекватном для дискуссии возрасте у которой этой культуры нет. такие люди тыкают по любым рекламным ссылкам, ведутся на модальное окно "ваш аккаунт на одноклассниках взломан" и перечисляют 50 рублей на его восстановление. мое мнение - лохов надо учить. и еще, если бы ты разрабатывал онлайн клиент для какого нибудь банка и любой другой организации, тесно связанной с бабками, то твое тримование паролей не приняла бы ни одна тех-комисссия.

inpost