...

Модуль авторизации в Elma 365 вводит пользователей в заблуждение: исправить

Тема в разделе "Предложения и голосования", создана пользователем zaitsev_i, 29 мар 2023.

?

Исправить сценарии работы модуля авторизации:

  1. Показывать релевантное сообщение пользователю, если свободных конкретных лицензий нет

    83%
  2. Показывать сообщение пользователю, если предлагаемый пароль не удовлетворяет "количеству символов"

    100%
  3. Показывать заблокированному пользователю релевантное сообщение о блокировки учетной записи

    83%
  4. Во всех случаях показывать только сообщение "авторизация не удалась"

    Голосов: 0
    0%
  5. Не исправлять текущие сценарии работы и отображаемые сообщения

    Голосов: 0
    0%
Можно выбрать сразу несколько вариантов.
  1. zaitsev_i

    zaitsev_i Активный участник

    Столкнулись с рядом ситуаций, при которых модуль авторизации в Elma 365 вводит пользователей в заблуждение, выдавая не верное сообщение об ошибке.

    1. Если пользователь конкурентной лицензии "неудачно конкурировал" за нее и в настоящее время "свободных" лицензий для него нет, то пользователь вместо сообщения об этом или сообщения о "неудачной попытке авторизации" получает уведомление "Неверный логин или пароль". Повершив 1-2 попытки начинает внимательно "впечатывать" пароль, а потом переходит к его восстановлению.
    Проблема известна с октября 2022, по состоянию на 15 марта не решена, не запланирована для исправления в ближайших релизах (ELMA365-3990)

    2.В Elma 365 при регистрации или восстановлении пароля на шаге, когда новый пароль нужно ввести дважды для предотвращения опечаток, проходит валидация длинны введенного значения. При этом, если указанный пользователем пароль не удовлетворяет критерию длинны, то кнопка "далее" ведет себя не корректно: становится "серой" якобы не активной, но нажатия на нее все равно обрабатываются, при этом пользователь вообще не получает никаких ошибок в интерфейсе или подсказок. Решает, что "Elma сломалась" и прекращает попытки продолжить работу с системой.
    Столкнулись с проблемой и описали её 8 февраля 2023 (ELMA365-6433), информации об исправлениях/планах – нет.

    3. Заблокированный пользователь при попытке авторизации получает уведомление "Неверный логин или пароль", которое вводит его в заблуждение. После пары кропотливых попыток ввода заблокированный пользователь перейдет к шагу 2.
    Обнаружили и описали проблему 27 марта 2023 (ELMA365-7715). Поддержка сообщила, что "по информации от разработчиков - это верное поведение. Обусловлено защитой от внешнего взлома согласно OWASP стандартам".
    Лично мне сложно спорить на тему "защиты от внешнего взлома", но ни сам стандарт, ни бегло обнаруженные рекомендации не указывают на то, что нужно показывать не релевантное сообщение Неверный логин или пароль" при любой неудачной попытке авторизации или вводе пароля.
    На мой взгляд, сообщение "авторизация не удалась" куда лучше, чем указание на ошибку, которой не произошло, которая побуждает пользователя пытаться восстановить пароль.

    Стандарт https://github.com/OWASP/ASVS/raw/v4.0.3/4.0/OWASP Application Security Verification Standard 4.0.3-en.pdf
    Рекомендации https://cheatsheetseries.owasp.org/..._Sheet.html#authentication-and-error-messages


    P.s. Картинка в качестве примера "что не рекомендуется делать по OWASP"

    Вложения:

    Последнее редактирование: 29 мар 2023