J'ai ajouté dans le formulaire de login une petite case à coher
permettant de rester loggé plusieurs jours. En fait on reste
loggé tant que la durée séparant deux accès à l'espace privé
ne dépasse 3 à 6 jours (grosso modo). Cela permet de ne pas
avoir à retaper le login/mot de passe à chaque fois qu'on
ferme le brouteur ou l'ordinateur (très agaçant pour ceux
qui se loggent souvent pour changer quelques broutilles ;-)).
J'ai ajouté dans le formulaire de login une petite case à cocher
permettant de rester loggé plusieurs j
Etant donné qu'on peut, à distance, défaire toutes les connexions existantes
(via le bouton "déconnecter"), ça ne me paraît pas une mauvaise idée d'en
faire le fonctionnement par défaut, en rupture avec le comportement d'avant
(où "quitter le navigateur" vaut "déconnecter").
En revanche je pense que c'est une mauvaise idée d'en faire une option, et
surtout une option visible. La plupart des gens ne sont pas capables de
savoir de quoi il retourne (et c'est compliqué, sur le plan technique) ; et
la grande majorité se foutent de savoir si ça a des implications
quelconques. Et, pour les gens que ça peut intéresser, ce qu'il faudrait
c'est documenter "Les sessions de SPIP" ou "SPIP et la sécurité" ; et
conserver un système clair et stable, sans "case à cocher".
Et, pour les gens que ça peut intéresser, ce qu'il faudrait
c'est documenter "Les sessions de SPIP" ou "SPIP et la sécurité" ; et
conserver un système clair et stable, sans "case à cocher".
A une époque lointaine y'avait un système de niveau de sécurité sur Uzine.
C'était pas mal du tout. ça pourrait être réutilisé, non ?
Si qqn l'a conservé au fond d'un grenier ?
Pour la complexité: c'est le fonctionnement désormais omniprésent,
notamment dans les interfaces de suivi de son mail chez son fournisseur
d'accès grand public (avec la case à cocher). Donc ça ne choquera pas.
Moi ça me choque Moins que la toolbar, mais quand même : on est là pour
se loger dans SPIP, pas pour cocher des cases sur la durée prévue de notre
séjour dans l'espace privé.
(Par contre, nous on peut se fendre d'un warning qui indique qu'il faut
utiliser ça uniquement sur son ordinateur personnel.)
Ajouter encore plus de blah blah, pour une sécurité pas meilleure... bof !
Laissons donc tomber l'affichage de trucs qui n'intéressent qu'une
sous-population des informaticiens, et ayons une procédure de login unique,
durable si vous voulez. Ne pas oublier qu'il faut ensuite maintenir le
système, et que la partie login est déjà passablement compliquée.
J'ai ajouté dans le formulaire de login une petite case à coher
permettant de rester loggé plusieurs jours. En fait on reste
loggé tant que la durée séparant deux accès à l'espace privé
ne dépasse 3 à 6 jours (grosso modo). Cela permet de ne pas
avoir à retaper le login/mot de passe à chaque fois qu'on
ferme le brouteur ou l'ordinateur (très agaçant pour ceux
qui se loggent souvent pour changer quelques broutilles ;-)).
J'aime beaucoup l'idée.
Je dirais même que ça me manquait.
> Pour la complexité: c'est le fonctionnement désormais omniprésent,
> notamment dans les interfaces de suivi de son mail chez son fournisseur
> d'accès grand public (avec la case à cocher). Donc ça ne choquera pas.
Moi ça me choque Moins que la toolbar, mais quand même : on est là pour
se loger dans SPIP, pas pour cocher des cases sur la durée prévue de notre
séjour dans l'espace privé.
> (Par contre, nous on peut se fendre d'un warning qui indique qu'il faut
> utiliser ça uniquement sur son ordinateur personnel.)
Ajouter encore plus de blah blah, pour une sécurité pas meilleure... bof !
Laissons donc tomber l'affichage de trucs qui n'intéressent qu'une
sous-population des informaticiens, et ayons une procédure de login unique,
durable si vous voulez. Ne pas oublier qu'il faut ensuite maintenir le
système, et que la partie login est déjà passablement compliquée.
J'ai supprimé la case à cocher : le login est durable pour tout le monde et
basta. Pour les paranos, il y a un réglage dans ecrire/inc_version.php3
(mais on devrait le faire sauter, en fait, car ça introduirait une variation
invisible du modèle de sécurité, donc craignoss).
J'ai supprimé la case à cocher : le login est durable pour tout le monde et
basta. Pour les paranos, il y a un réglage dans ecrire/inc_version.php3
(mais on devrait le faire sauter, en fait, car ça introduirait une variation
invisible du modèle de sécurité, donc craignoss).
Je ne suis vraiment pas d'accord. Ca ouvre un trou de sécurité
énorme sur n'importe quel ordinateur en accès public ou partagé.
Les gens ne pensent pas à vider les cookies ni à "se déconnecter" ;
par contre ils ferment le navigateur et pour eux c'est synonyme de
"oublier les mots de passe" (car c'est le comportement par défaut
de tous les systèmes d'identification sur le Web). La case est
optionnelle (décochée par défaut) et a de plus une vertu informative :
en cochant la case, on sait ce qu'on fait ("rester identifié plusieurs
jours", ça veut bien dire que les gens qui vont passer derrière vont
aussi pouvoir entrer).
Comme dit Arno, cette case est une interface très commune dans
les formulaires Web. Par contre, ne pas oublier l'identification
à la fermeture du brouteur, c'est un comportement absolument
inattendu et très dangereux s'il est activé silencieusement.
(en fait, les formulaires qui n'affichent pas la case font
toujours l'inverse : ils forcent l'effacement du cookie à
la fermeture du brouteur)