0

Леонид Каганов: дневник

<< предыдущая заметкаследующая заметка >>
11 сентября 2012
авторизация

Задолбала меня авторизация через виджет ulogin.ru, поэтому я рядом еще привинтил виджет loginza.ru (уязвимость в нем вроде сто лет как исправили). Теперь можно обеими пользоваться, если какой-то из них повис, то хоть второй должен работать: Заодно и у себя пару мелких багов поправил. Вот только по логину-паролю пока что-то скверно.

<< предыдущая заметка следующая заметка >>
пожаловаться на эту публикацию администрации портала
архив понравившихся мне ссылок
Оставить комментарий
2012-09-11 11:43
Linux Ubuntu Firefox
whois
1
0
genby
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Леонид, может вы ответите, зачем Логинза просит предоставить ей Гугле-контакты? Я конечно уже погуглил и пояндексовал такой вопрос, но на форумах и хабре ответ от представителей логинзы примерно такой "да всё нормально, это просто гугль так пишет, под списком контактов подразумевается лично ваш контакт, а другие нам не нужны". Но, например, на сайте веб-выборов я успешно логинился под учетной записью гугля и контактов он не требовал?
2012-09-11 15:35
Linux Firefox
 Москва
1
0
Leonid Kaganov
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Логинза - загадочная, кривая, неисправна в некоторых браузерах (нехуй было ставить навороченные скрипты, используя очень старую версию jQuery). Но она крышуется Яндексом, поэтому гадостей от нее кагбэ ждать неразумно.

Я поставил дополнительно Логинзу на тот случай, когда пользователь не может залогиниться через uLogin или он висит.
2012-09-12 13:21
Windows Safari Chrome
 Санкт-Петербург
0
0
cats.shadow
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Сломалась авторизация через ulogin.
А loginza не умеет правильно передать запрос OpenID провайдеру. Вот, что Symantec (http://pip.verisignlabs.com) ей в ответ пишет:
"Invalid OpenID
You have entered an OpenID that is either not found in our system or you are attempting tologin with an identity not owned by you. The OpenID was either entered incorrectly, or has been deleted. Please try it again by pressing the browser back button."
2012-09-12 13:24
Windows Safari Chrome
 Санкт-Петербург
0
0
cats.shadow
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
При этом процедура авторизации через ulogin отрабатывает как положено, но при возврате на lleo.me самой авторизации не происходит.
2012-09-13 02:37
Nokia-E90 Safari
 Москва
0
0
LLeo
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Я правильно понимаю, что ни ULogin, ни Loginza с вашим сайтом не работает?
2012-09-14 12:58
Windows Safari Chrome
 Санкт-Петербург
0
0
cats_shadow
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Именно. Через OpenID ни ilogin, ни loginza не срабатывают.
Через twitter проходит авторизация и тем и тем методом.
2012-09-14 18:45
Linux Opera
whois
0
0
Mike Novikoff
А twitter — это не OpenID, что ли? ;)
Возможно, дело в версии протокола OpenID: 1.0 vs 2.0.
Или в реализации на конкретном сайте.

Например, я бы предпочёл авторизоваться не через Google, а через Dreamwidth (такое вот личное предпочтение), но там именно версия протокола мешает: DW поддерживает только 1.0, а Ulogin и Loginza оба хотят 2.0. В прошлом году ещё удавалось логиниться здесь через Dreamwidth, теперь уже нет.

Впрочем, ладно: Google всё-таки работает, и выглядит не слишком позорно, по сравнению с многими другими. :)
2012-09-18 13:38
Windows Safari Chrome
 Санкт-Петербург
0
0
cats. shadow
Кстати, кажись поймал хвост, из-за которого не отрабатывает авторизация по OpenID через ulogin:
Поднял у себя на тестовом сайте ещё один домен (для xdomain), ссылается на каталог основного сайта.
При попытке логина выдается "The requested URL /ajax/autoriz.php was not found on this server.", что логично, в общем-то - нет такого файла там.

Но если закрыть окошко с этим сообщением - профит! Авторизация через OpenID успешна!
см. http://goblins.cats-home.net/2012/07/13.html
2012-09-14 13:00
Windows Safari Chrome
 Санкт-Петербург
0
0
cats_shadow
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
[IMG]
так выглядит возврат к окну авторизации после закрытия окна ulogin
2012-09-14 14:20
Windows Safari Chrome
 Санкт-Петербург
0
0
cats_shadow
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
в /dnevnik ulogin отрабатывает нормально, loginza - нет.
2012-09-14 14:22
Windows Safari Chrome
 Санкт-Петербург
0
0
cats_shadow
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Хм... пропал юзерпик в комментах, авторизованных через twitter.

"{"error":"Rate limit exceeded. Clients may not make more than 150 requests per hour.","request":"\/1\/users\/profile_image\/cats_shadow.json?size=bigger"}"
2012-09-12 13:30
Windows Safari Chrome
 Санкт-Петербург
0
0
cats.shadow
2012-09-12 22:13
Linux Firefox
 Пенза
1
0
m1kc
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
А я наконец смог залогиниться через сам дневник. До этого дня не удавалось.
2012-09-12 22:21
Linux Firefox
 Москва
0
0
Leonid Kaganov
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
А что не удавалось? По паролю-логину что ли?
2012-09-13 01:05
Windows Safari Chrome
whois
0
0
Sol
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Да, мне тоже не удавалось по паролю-логину.
Во первых, при заходе в данный блог, мне выдавалось окно с ошибкой (видимо пыталось залогинить меня по кукам и не могло). Появлялось кстати и висело.

Попытка залогиниться вроде как проходила, но обновление страницы показывало что я не залогинен.

А сейчас зашел - на мгновение опять появило окно с ошибкой и тут же пропало.

Увидел заметку, что в очередной раз починена авторизация - попробовал зайти (пришлось вспоминать логин-пароль - давно привык заходить залогиненым, забыл их уже). При логине - выдавало какую то ошибку, но когда правильная комбинация все-таки подобралась, конект состоялся, хоть ошибка тоже вышла.

P.s. авторизация сломалась при предыдущей "починке", когда была заметка "починил немного авторизацию" ;)
Хотел написать об этом - и не смог, т.к. не логинилось ни в какую...
2012-09-13 01:49
Linux Firefox
 Москва
2
0
Leonid Kaganov
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Это не окошко с ошибкой, это нормальная отработка движка по смене IP. Другой вопрос, что я за каким-то хером ради отладки закомментарил закрытие этого окна, да так и забыл на долгие месяцы. Простите меня, я идиот.

Но рад, что сейчас все работает.

Если интересно, суть системы следующая: в родном домене страницы хранится кука, привязанная к IP. Ее можно красть, и вообще на родных страницах можно творить что угодно, хоть гусей ебать, но на безопасности это не отразится. Вторая кука, не привязанная к IP, хранится у посетителя в особом домене x (у меня это например будет x.lleo.me/blog/). Это полностью изолированный домен, где никакой сторонний или пользовательский код не возможен. Поэтому если движок видит, что сменился IP (кука стала недействительной), он сам в окошечке через iframe заходит на домен x, там проверяет сохранность второй куки, которая от IP не зависит, и если та кука валидна, то восстанавливает с ее помощью первую, привязав ее к новому IP.

Большой размер окна iframe - это временное явление, вообще для этих целей достаточно невидимого окна 1x1 пиксель, так будет в будущем.

Это очень сложная и навороченная система авторизации. Например, во время залогинивания в дневнике движку приходится выставить сразу обе куки - в основной странице и в домене x. И при этом все сторонние виджеты авторизации отрабатывать в изолированном iframe (никому нельзя доверять!) а основную страницу желательно не перегрузить (мало ли, может, там коммент недописанный).

Поэтому у меня для этих целей адовы навороты, использующие iframe и свой протокол на междоменном транспорте onmessage (а если браузер совсем старый - то махинации через #hash в урле через якобы "родной" frame с подменой урла - тогда браузеры его начинают "видеть").

Это кажется сложно (да и делается и отлаживается сложно), но в реальности работает четко и быстро, и в будущем даст возможность совсем не париться о безопасности на основных страницах.

Поскольку движок ориентируется на активную интеграцию с любыми серверами движка того же типа (автоматический сбор средствами самого браузера на одной странице френдлент, событий, сообщений, лайков с разных серверов), то здесь просто необходима система, которая бы исключала взлом и кражу авторизации, даже если один из сайтов-участников протокола окажется злоумышленником или захвачен врагом.

Как еще одно следствие - в публичном варианте движка пользователям (не комментаторам, а владельцам аккаунтов) будет разрешен собственный Javascript, CSS, свободное редактирование HTML-шаблонов и вообще всё, что остальные сервисы напрочь запрещают, опасаясь за свою безопасность и кражу авторизации.

Но мы закрыли дырки безопасности раз и навсегда, используя эту супер-навороченную систему (мне думается, аналогов в мире не было).

Осталось немножко, на модели, как видим, практически всё летает. Господи, дай мне времени и денег побольше :)
2012-09-14 12:24
Windows Safari Chrome
 Санкт-Петербург
0
0
cats_shadow
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Таки глючит авторизация сейчас не по детски. :( Ulogin делает вид, что отрабатывает, после возврата кнопки виджета исчезают, логин не происходит. Loginza - "Server Error 500" после подтверждения на Google.
Вот с энного перебора вариантов логинза через твиттер залогинила.

По логину/паролю отрабатывает, но там старый OpenID прописан, не сменить.

Тут в комментах в /dnevnik мелькнуло упоминание HybridAuth (http://hybridauth.sourceforge.net/) - можно ли заменить сторонние виджеты на локальную библиотеку, чтоб не зависеть от посторонних глюков? Онлайн-демка весьма симпатично отрабатывает.
2012-09-14 17:35
Linux Opera
whois
0
0
Mike Novikoff
Сменить OpenID, привязанный к здешнему парольному аккаунту, мне вчера наконец-то удалось (с дохлого Rambler на живой Google). И это реально большая радость, ждал этого больше полугода.

Правда, сейчас меня почему-то опять разлогинило в /blog, но логин по паролю сработал и восстановил всё правильно, т.е. уже с новым гугловским OpenID, прописанным вчера.

Насчёт Error 500 на Loginza — да, есть такое. Вчера не было.
Но в общем и целом всё не так уж безнадёжно, keep on trying! :)
2012-09-14 23:42
Windows Safari Chrome
 Санкт-Петербург
0
0
cats_shadow
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
:) Ну я как бы сам себе OpenID провайдер :). В смысле, что OpenID мой соответствует домашнему серверу, которому делегированы "полномочия" от Verisign (http://www.verisign.com/), который и работает осyовным хранилищем ID.
2012-09-16 14:55
Windows Opera
whois
0
0
Monstradamus
Была такая же ошибка, как у Sol, авторизация через жж-аккаунт с таким же багом работала. Наконец-то можно залогиниться, спасибо. Пойду на бинонике еще попробую.
2012-09-13 12:45
Linux Opera
whois
0
0
Mike Novikoff
Логин с паролем наконец-то работает. Ура! :)
2012-09-13 18:05
Nokia-E90 Safari
 Москва
1
0
LLeo
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Пардон, но я как-то даже не подозревал, что это так всерьез и так долго было проблемой! Мне стыдно.
2012-09-13 20:10
Linux Opera
whois
1
0
Mike Novikoff
Сейчас имею в виду только /blog. В /dnevnik работало и раньше, так что проблема была не столь велика.

Другой вопрос — что делать с OpenID'ом от Rambler, который они теперь не поддерживают (перестали в декабре, а в апреле официально подтвердили это), поэтому логиниться могу _только_ по паролю. Может, можно убрать этот дохлый OpenID из настроек аккаунта?
2012-09-13 20:18
Linux Firefox
 Москва
0
0
Леонит Каганофф
А ты можешь залогиниться чем-то другим, фейсбуком или каким-нибудь тфиттером, гуглем? Или авторизация слетит? Там вроде было сохранение, хотя уже не помню.
2012-09-13 20:30
Linux Opera
whois
0
0
Mike Novikoff
Авторизация слетит, в том-то и дело. Хорошо бы иметь возможность менять OpenID в карточке юзера, _не разлогиниваясь_. Пока что его там можно прописывать только один раз, а редактирования для него нет.
2012-09-13 21:36
Linux Opera
whois
0
0
Mike Novikoff
Неужели получилось? Сегодня просто праздник какой-то! :)
2012-09-14 23:02
Windows IE
whois
0
0
D.iK.iJ
Божеданеужелиошибкаисчезла!
Я теперь даже сюда писать могу. Круто.
Хотя, нет. Матерится.
2012-09-19 10:01
Linux Ubuntu Firefox
whois
0
0
meequz
Наконец-то смог залогиниться в этот дневник по ЖЖ. Юлогин никак не хотел, а Логинза сработала. Спасибо!

всего комментариев: 28

<< предыдущая заметка следующая заметка >>