maxlengthを使ってはいけない。特にパスワード入力欄で使っちゃ駄目！ - Qiita

今日自分が体験したトラブル事例に、ユーザビリティ向上のための気づきがあったのでメモしておきます。 ※本文よりまず、このコメント、こっちに言いたいことが集約されてるのでまずはこっちを読むと早いです。 ※本文よりまず、このコメント、こっちに言いたいことが集約されてるのでまずはこっちを読むと早いです。 ※本文よりまず、このコメント、こっちに言いたいことが集約されてるのでまずはこっちを読むと早いです。 事例：登録時のパスワードでログイン出来ない！？ 今日、とあるWEBサイトでユーザ登録を行った際に、登録時に入力したパスワードでログイン出来ないというトラブルがありました。 普通は自分の入力ミスを疑うところですが、登録もログインもコピペで入力しているので入力ミスはありえ無いと思っていました。 お問い合わせフォームからバグ報告 というわけでこれはバグだろうと、お問い合せフォームから以下のような内容の報告

[k12u]

MySQLのSQL_MODEもついでに。

[JHashimoto]

"maxlengthがついたフォームは手動入力時には制限に気づけるかもしれませんが、コピペ入力の場合はエラーにもならず勝手に後ろがなくなるというのがブラウザの挙動です。"

[kathew]

入力自体がぶった切られてる事に気付きにくいUIの問題。サーバにmaxlength以上の文字数が送信されていないから、サーバサイドバリデーションで文字長チェックしても100%通過してしまいますね

[k-holy]

パスワード設定画面でmaxlength指定されてたのに、別のパスワードを要求される画面では指定されてなくて、設定しているつもりのパスワードが実際は違っててハマったことがある。maxlengthは今のところ害でしかないわ。

[ryonext]

サーバ側でvalidationしてるけど、そもそもそれ以上入力されたくないケースとかだとmaxlengthあったら便利じゃないか？と思った。新規登録のパスワード入力欄に使うと地獄見るのは同意。

[sunday55]

id:mizchi バリデーションの問題では…ないですね。

[cartman0]

pattern属性で解決できるね <input type="password" pattern="[a-zA-Z0-9]{4,20}"> これで4文字以上20文字以内

[naochin]

20字MAXのパスワードに30文字の文字列貼り付けるあたりでパスワード間違ってるし、セキュリティ的には「パスワード間違ってる」以外のメッセージは出すべきではないと思う。 @kawaz on @Qiita

[koba789]

暗黙的にユーザーの入力を制限するような UI はユーザーに制限の存在を気づかせるのが非常に困難なので避けるのが無難ですよね

[suginoy]

“maxlengthがついたフォームは手動入力時には制限に気づけるかもしれませんが、コピペ入力の場合はエラーにもならず勝手に後ろがなくなるというのがブラウザの挙動です”

[uca_co]

あるある

[avalon1982]

この記事で思い出すのはバッファローのネットワーク機器は何故かパスワードが 8文字だということ。

[pmakino]

昔この罠にハマった。あれは失敗だった。

[mizchi]

バリデーションの問題では…

[hazy-moon]

これでどこかのサイトでパスワード切れて保存されたことあったなぁ

[side_tana]

怖い

[aereal]

どちらかというと現行のブラウザの仕様 (勝手に削ぎ落す) がよろしくない、気がする

[ngyuki]

なるほど・・・他は兎も角パスワードなんて大抵コピペで入力する

[tuki0918]

たしかに

[Layzie]

ふーむ。

[y-kawaz]

ユーザビリティに関する気付きがあったのでメモった。／追記:だからバリデーションの問題じゃないって何度も言ってるのに何で読まずにクソリプしてくるひとが止まらないんだよｗｗ