<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Sat, Jun 21, 2014 at 11:51 AM, Dave Horsfall <span dir="ltr"><<a href="mailto:dave@horsfall.org" target="_blank">dave@horsfall.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Somewhat crypto-related, I think...<br>
<br>
More and more, I'm seeing web forms that do not accept spaces in<br>
passwords.  One response is to ignore them completely, and another is to<br>
say outright that spaces are not permitted.<br>
<br>
I'm baffled as to the threat model.  We're supposed to use symbols, aren't<br>
we, so what's wrong with a blank?  Are their backends really that broken,<br>
or are spaces susceptible to some obscure attack, or what?<br>
<br>
Amongst others, I've got <a href="http://mygov.gov.au" target="_blank">mygov.gov.au</a> and <a href="http://appleid.apple.com" target="_blank">appleid.apple.com</a> on this shame<br>
list.<br>
<br>
-- Dave</blockquote><div><br></div><div>I don't know about <a href="http://mygov.gov.au">mygov.gov.au</a>, but Apple's ID page has been designed by monkeys. They also don't accept perfectly valid email addresses (try, e.g., <a href="mailto:a@example.com">a@example.com</a> or <a href="mailto:foo%2Bapple@example.com">foo+apple@example.com</a> for your value of example .com). Then they have the whole "security questions" junk. Am I to believe that if they couldn't get the front-end right, they would have gotten the back-end right, which is a lot harder?<br>
</div><div><br></div><div>/ji</div></div></div></div>