[spip-dev] zap_session

Fil wrote:

Coucou,

le zap session actuel est très joliment présenté, et le texte à mon avis
plus explicite que ce que j'avais codé. Toutefois je trouve ennuyeux le fait
que ça ne soit pas donné en standard à la première connexion (identifiée par
&bonjour=oui dans l'URL). "Terminer les sessions" c'est un anglicisme.

Hmm, oui, j'hésitais avec "tuer les sessions" mais là ce serait un nerdisme...
Effacer, peut-être ?

Ce &bonjour, d'ailleurs ne sert qu'à ça pour l'instant, mais on peut lui
trouver d'autres usages, comme un motd ou je ne sais quoi...

Il sert justement à déplier la boîte auteur lors de la première visite
(bon, ça ne saute peut-être pas aux yeux quand on est habitué à l'interface,
mais ça permet de voir les possibilités quand on arrive pour la première
fois).

Effacer, peut-être ?

ouaip

>Ce &bonjour, d'ailleurs ne sert qu'à ça pour l'instant, mais on peut lui
>trouver d'autres usages, comme un motd ou je ne sais quoi...

Il sert justement à déplier la boîte auteur lors de la première visite
(bon, ça ne saute peut-être pas aux yeux quand on est habitué à l'interface,
mais ça permet de voir les possibilités quand on arrive pour la première
fois).

Mhhhh. Au pire comme position de compromis on pourrait ajouter "afficher le
zap" dans les $prefs[] de l'auteur ?

Sinon, j'ai essayé de mettre les liens en $couleur_foncee dans
inc_presentation.php3, au lieu du orange, et c'est carrément plus chic.

Mais je pense qu'Arno* va nous concocter une $couleur_lien différente de la
$couleur_foncee... je prévois donc le code qui va bien, sans remplir les
valeurs des couleurs, je n'ai pas de nuancier sous les yeux :wink:

-- Fil

Fil wrote:

Mhhhh. Au pire comme position de compromis on pourrait ajouter "afficher le
zap" dans les $prefs[] de l'auteur ?

Oui.

Sinon, j'ai essayé de mettre les liens en $couleur_foncee dans
inc_presentation.php3, au lieu du orange, et c'est carrément plus chic.

Oui, mais peut-être moins lisible (les liens en orange, ça se remarque).

Salut,

Question vocabulaire, le problème n'est pas "terminate", mais "session". Une session, ça ne veut rigoureusement rien dire.

Pour ce qui est de l'interface, je crois qu'on arrive à un compris relativement acceptable. Cependant je partage l'avis de Fil: il faut que le message soit affiché automatiquement, sinon ça ne sert à rien. Le bouton "Voir les informations de sécurité", c'est inutile et incompréhensible.

La solution précédente était relativement claire: quand il y a une autre session en cours, il suffit de poser la question pratique: est-ce que vous êtes en train de vous connecter avec un autre navigateur?

Mhhhh. Au pire comme position de compromis on pourrait ajouter "afficher le
zap" dans les $prefs[] de l'auteur ?

Ca, non, surtout pas: d'abord parce que le zap n'a rien de systématique, et parce qu'on ne peut pas demander aux utilisateurs de configurer un truc auquel ils ne comprennent rien. De plus, zapper immédiatement quand on se connecte, y'a moyen de l'expliquer parce qu'on est justement en situation de se connecter; mais poser une question de sécurité dans l'absolu, sur une page éloignée, c'est pas possible.

ARNO*

Question vocabulaire, le problème n'est pas "terminate", mais
"session". Une session, ça ne veut rigoureusement rien dire.

On peut mettre "connexion" à la place, mais ça n'est pas plus
explicite.... ;)) D'ailleurs je crois que c'est le terme utilisé
actuellement. Si on utilise une périphrase, ça risque de devenir
abracadabrantesque.

Ca, non, surtout pas: d'abord parce que le zap n'a rien de
systématique, et parce qu'on ne peut pas demander aux utilisateurs de
configurer un truc auquel ils ne comprennent rien.

Oui, mais alors pourquoi afficher automatiquement le truc auxquels
ils ne comprennent rien ?
Le problème :
- ça donne une vision simpliste et fausse de la sécurité aux gens
qui n'y comprennent rien (quand on est sur une machine partagée,
il faut aussi être sûr que la machine est fiable, que le réseau est
fiable, penser à vider le cache du navigateur, l'historique de la
barre d'urls (le truc important auquel personne ne pense : aux RMLL
à Bordeaux je pouvais savoir tous les sites que le gars précédent
avait consultés), etc etc.).
- ça fout la zone quand il y a un login partagé (par exemple pour une
démo, ou un auteur collectif), parce qu'alors une fois sur deux quand
un gars va voir le message d'avertissement, il va tuer les connexions.

En gros, on a du mal à rendre ça accessible aux gens qui n'ont pas un
minimum de notions sur "comment ça se passe en général quand on
s'identifie sur un site Web". Solutions bienvenues....

A part ça, l'avantage avec le bouton de gauche est que c'est tout le temps
accessible, tandis que si le message s'affiche une fois lors de la connexion
et qu'on ne peut plus revenir dessus après, c'est un peu chiant aussi...
(genre "tiens j'ai un message, je vais le lire et... zut, je peux plus
tuer les connexions maintenant ?" ;)). On peut mixer les deux, bien sûr.

Amicalement

Antoine.

accessible, tandis que si le message s'affiche une fois lors de la connexion
et qu'on ne peut plus revenir dessus après, c'est un peu chiant aussi...
(genre "tiens j'ai un message, je vais le lire et... zut, je peux plus
tuer les connexions maintenant ?" ;)). On peut mixer les deux, bien sûr.

Ouais, enfin... l'avantage d'un énorme warning c'est justement qu'il est
énorme et qu'on se doit "je vais le lire tout de suite" :wink:

-- Fil

Ouais, enfin... l'avantage d'un énorme warning c'est justement qu'il
est énorme et qu'on se doit "je vais le lire tout de suite" :wink:

Et on n'a pas le droit de le lire après ?
C'est un peu léger, pour un truc qui serait un enjeu de sécurité essentiel
(hum ;-)).

Il y a une solution (et un intérêt) à la chose. Présenter cela plutôt comme un avertissement pédagogique, du genre:

"De deux choses l'une:

- soit vous n'avez pas utilisé le bouton de déconnexion pour quitter le site la dernière; ça n'est pas forcément grave, mais cela réduit la sécurité du site: quiconque à accès à votre ordinateur après votre départ aurait pu accéder à vos informations; nous vous recommandons donc, la prochaine fois, d'indiquer que vous avez fini de travailler sur votre espace privé en utilisant le bouton qui va bien; vous pouvez d'ailleurs immédiatement _indiquer au système que vous souhaitez bloquer toute autre connexion sous votre propre nom_...

- soit vous êtes en train de fréquenter ce même site en utilisant un autre butineur. Dans ce cas, vous pouvez continuer à travailler avec plusieurs logiciels en même temps."

Du coup, l'information est fournie pour ceux qui savent (on peut compléter avec une entrée dans l'Aide en ligne), le contrôle de sécurité est bien présent, mais en même temps on évite d'effrayer avec des notions techniques inaccessibles, tout en introduisant la pédagogie sur la déconnexion "propre".

A*

C'est un peu ce qui est dit actuellement dans le message d'avertissement.
Il faut ajouter deux choses :

- le cookie est tué lorsqu'on quitte le navigateur, donc on ne peut plus
récupérer la session depuis celui-ci, même si l'avertissement s'affiche
quand même.... Par contre, on peut récupérer les fichiers du cache et
les urls visitées, même si on tue les sessions depuis un autre navigateur.

- il faut _absolument_ que les gens utilisant un login partagé n'appuient
pas sur le bouton, sinon ça fait chier tous les autres.

a+

Antoine.