👀Тестируем вход по номеру телефона

🔒Важный сценарий безопасности
🔘Многократный запрос кодов для одного номера
🔘Система должна блокировать после 5-10 попыток за короткое время
🔘Ошибка блокировки: "Слишком много запросов. Попробуйте через X минут"

📱 Поведение при вводе кода:
🟠Лимит неверных кодов - что после 3-5 неверных вводов?
🟠Время жизни кода - как долго действует SMS?
🟠Повторная отправка - можно ли запросить новый код до истечения времени?

Что проверяем?
➡️5 быстрых запросов кода на один номер → должна быть блокировка
➡️Сообщение о блокировке понятное и информативное
➡️Таймер разблокировки работает корректно
➡️После разблокировки можно снова запрашивать коды
➡️Таймаут блокировки обычно 15-60 минут
➡️Разные номера с одного IP - лимит на количество уникальных номеров

⚠️Валидация и сообщения об ошибках:
🟠Неполный номер → "Введите номер полностью" (после клика "Получить код")
🟠Пустое поле → "Введите номер телефона" (после клика "Получить код")
🟠При фокусе в поле → автоматически подставляется +7
🟠Подсказка сверху формы: "Номер телефона"
🟠Много попыток → "Слишком много запросов кода"
🟠Ввод неверного кода → “Неверный код"
🟠11+ цифр в номере → обрезка или ошибка

🔗Проверяем ссылки и политики:
🟠Кнопка "Я даю согласие" → открывает документы в новой вкладке
🟠Ссылка "Политикой" → тоже открывается в новой вкладке
🟠Все документы загружаются корректно
🟠Нет ошибок 404 на страницах документов

💡 Список того, что часто ломается:
➡️Разный момент валидации - при вводе vs при клике кнопки
➡️Автоподстановка +7 мешает ручному вводу международных номеров
➡️Ссылки открываются в той же вкладке вместо новой
➡️Документы не найдены (404 ошибка)
➡️Защита от флуда не работает - можно бесконечно запрашивать коды
➡️Таймер блокировки не сбрасывается
➡️Разные лимиты попыток для телефона и почты
➡️Сообщения о блокировке неинформативные
➡️Код не приходит на некоторые операторы
➡️Таймер обратного отсчета сбрасывается при перезагрузке страницы
➡️Валидация на фронте и бэке не совпадает


Самые интересные баги часто находятся на "стыке" — когда безопасность конфликтует с удобством!

🚀Пишите в комментариях:
Какие лимиты нашли в своих проектах?

Какие самые креативные способы обхода защиты видели?

Сталкивались ли с ложными блокировками легальных пользователей?


⚠️ Важное замечание

Этот чек-лист не является исчерпывающим! На реальных проектах требования и поведение системы могут значительно отличаться. Всегда отталкивайтесь от:

· Конкретных бизнес-требований
· Ограничений легаси-систем
· Реальных возможностей команды
· Сроков релиза

#знания

⚡️Розыгрыш состоялся !

Победители
Номера
17
14
9

✉️Ожидайте сообщения от нас в личные сообщения в течение 24 часов для уточнения деталей доставки.

💚Огромное спасибо каждому, кто принял участие! Не расстраивайтесь, если не повезло в этот раз, — впереди у нас еще много всего интересного. Следите за новостями!

👀⬆️Ставим реакции , мотивируем на пост ) меня

💡Для поля почты и пароля

🔔Тестируем форму входа/регистрации по email и паролю

🔒Важные сцены безопасности
🔘Лимит неверных попыток входа — блокировка после 3-5 неверных паролей
🔘Ошибка блокировки: «Слишком много неверных попыток. Попробуйте через X минут»
🔘Проверка на временные и одноразовые email-адреса при регистрации

📩Поведение при регистрации
🟠Регистрация на уже существующий email → ошибка «Этот email уже зарегистрирован»
🟠Регистрация ранее существующим пользователем → письмо для входа
🟠Регистрация сразу после удаления аккаунта → письмо для регистрации
🟠Поле подтверждения пароля — совпадают ли пароли

Что проверяем?
➡️Вход с правильным email и паролем → успешная авторизация
➡️Вход с правильным email, но неверным паролем → ошибка «Неверный email или пароль»
➡️Не заполнено поле email → «Обязательное для заполнения»
➡️Регистрация на существующий email → «Этот email уже зарегистрирован. Войти?»
➡️После блокировки таймер разблокировки работает корректно
➡️Регистрация с валидными данными → успех
➡️Пароль скрывается , нажатием на глаз 👁️

🔐 Валидация пароля:
🟠Минимальная длина (8+ символов) → «Пароль должен содержать минимум 8 символов»
🟠Максимальная длина (45 символов) → «Пароль не должен превышать 45 символов»
🟠Отсутствие заглавных букв → «Добавьте заглавные буквы»
🟠Отсутствие строчных букв → «Добавьте строчные буквы»
🟠Отсутствие цифр → «Добавьте цифры»
🟠Отсутствие спецсимволов → «Добавьте специальные символы (!@#$% и т.д.)»
🟠Пароль слишком простой (123456, password) → «Пароль слишком простой»
🟠Пароли не совпадают → «Пароли не совпадают»
🟠Пробелы в начале/конце пароля → обрезка или ошибка
🟠Эмодзи и unicode-символы в пароле → поддержка или блокировка

⚠️Валидация email:
🟠Неверный формат → «Неверная почта»
🟠Русские символы → «Неверная почта»
🟠Спецсимволы (кроме @, ., -) → «Неверная почта»
🟠Отсутствует @ → «Неверная почта»

🔐 Восстановление пароля:
🟠Ссылка «Забыли пароль?» ведет на форму восстановления
🟠Ввод email → письмо со ссылкой для сброса пароля
🟠Старый пароль перестает работать после сброса
🟠После сброса пароля все активные сессии завершаются

💡Что часто ломается:
🔘Валидация пароля на фронте и бэке отличается
🔘Пароль длиной более 45 символов принимается системой
🔘Можно использовать слишком простые пароли
🔘Нет ограничения на неверные попытки ввода пароля
🔘После сброса пароля старые сессии остаются активными

✉️Проблемы с email:
➡️Система блокирует email после удаления аккаунта
➡️Ошибка "Email уже занят" даже после удаления
➡️Кэширование данных — система использует закэшированные данные

Важное замечание

Этот список не является исчерпывающим! На реальных проектах требования и поведение системы могут значительно отличаться. Всегда отталкивайтесь от:

· Конкретных бизнес-требований
· Ограничений легаси-систем
· Реальных возможностей команды
· Сроков релиза

💬Пишите в комментариях:
- Какие самые неочевидные баги находили в формах авторизации?
- Какие лимиты попыток входа используете в своих проектах?
- Какие самые креативные способы обхода защиты видели?
- Чем дополнить список для проверки?

#знания

Жду ваши ответы 🔔 ⬆️

💬Пишите в комментариях:
- Какие самые неочевидные баги находили в формах авторизации?
- Какие лимиты попыток входа используете в своих проектах?
- Какие самые креативные способы обхода защиты видели?
- Чем дополнить список для проверки?