Feature req : supprimer le mail de confirmation #7
Comments
|
Le mail de confirmation sert à valider l'adresse email fournie lors de l'inscription, car c'est le seul moyen qu'on a ensuite de contacter ou identifier l'utilisateur, puisque FB ou Google ne fournissent pas l'email associé au compte de la personne que l'on identifie via leurs apis. Le fait que l'email arrive dans les spams vient ensuite de la gestion de l'envoi des emails par le site. Et c'est la faute aux spammeurs, le SPAM représentant maintenant plus de 90% des emails reçus par un serveur de mail. |
|
Merci Cerdic. L'adresse email est bien fournie par les API FB ou GG. On voit dans le code de magicplugin qu'elle est récupérée et présentée en préremplissage du formulaire de confirmation ; celui que je souhaiterai voir disparaître. Peut-être un intérêt éventuel pour demander son pseudo, mais c'est une info que l'on peut déterminer à partir du "Nom" fourni par FB/GG. Si cette info n'est pas fournie ou vide, on peut adopter la 1ère partie de l'email. Le visiteur peut ensuite modifier son pseudo dans son compte spip si il a envie. En tous cas, il me semble important de supprimer cette étape de vérification par mail. Dans le cas d'un ancien auteur qui se connecte pour la 1ère fois avec FB/GG, on peut admettre un intérêt à cette étape de vérification. L'auteur veut-il vraiment se connecter avec son compte FB/GG ? mais bon, même si l'auteur a effectué involontairement (est-ce possible ?) le process de connection via GG/FB, quel est le problème ? Il peut toujours se déconnecter et se reconnecter via son compte SPIP. Il y a peut-être quelque chose qui m'échappent ? J'essaye simplement de comprendre le process mis en place avant d'apporter des modifications au plugin. |
|
Dans le cas d'un tout nouveau visiteur, à partir du moment où le bug d'enregistrement du google_id est corrigé, il n'y a plus d'étape de vérification par email. Le visiteur est directement connecté à chaque fois qu'il clique sur le bouton GG. Dans le cas d'un auteur existant, il y a l'étape de vérification par email, je m'interroge aussi sur l'intérêt de cette étape ? |
|
Les CGU de FaceBook (a minima et de mémoire) n'autorisent pas à récupérer les données issues de l'API pour les stocker dans notre propre base de données. C'est le pourquoi de la page avec le formulaire d'inscription : on reste dans la limite des CGU car on n'utilise les données de l'API que pour pré-remplir le formulaire d'inscription, que l'utilisateur est libre de modifier et/ou d'enregistrer ou non. L'étape de vérification de l'email elle est justifiée par le fait qu'on ne veut pas reposer notre sécurité sur celle du réseau social. De nombreux réseaux sont hackés, les bases de password/login circulent en clair sur le net, et donc le fait que l'utilisateur dispose du login sur le réseau social ne signifie pas automatiquement qu'il est bien l'utilisateur réel et légitime. Si on ne vérifie pas cela veut dire qu'un compte social corrompu permet de corrompre aussi le compte sur le site lié. Il y a déjà eu des précédents d'attaque de ce type. Donc en effet, dans les deux cas on pourrait les bypasser, mais c'est une mauvaise pratique et une mauvaise idée amha. Si tu veux vraiment modifier le plugin dans ce sens cela doit rester une option cachée, activée par un |
|
Merci Cédric, je commence à mieux cerner les enjeux et conséquences. Dans un 1er temps, mettons de côté le non-respect des CGU de FB... Donc le risque sécurité est uniquement dans le cas d'un compte SPIP existant auquel on associe son compte FB, c'est bien cela ? Dans le cas d'un nouveau visiteur, le formulaire continue à me sembler inutile, à part pour la problèmatique des CGU. Cela dit, c'est bien ce qu'on fait : on récupère les infos avec les API FB, et on les enregistre en base SPIP. Le fait que le visiteur puisse intervenir, c'est un peu du pinaillage. Cela me fait penser à tous ces artifices imposés par le législateur (affichage cookie, case CGV à cocher, ...) et que plus personne le lit ou ne voit. Cela emm... tout le monde et cela ne protège personne. Mais le politicien, lui, a l'impression d'avoir fait le job. |
Un constat :
beaucoup de visiteurs ne parviennent pas à finaliser leur inscription,
ou n'arrivent pas à se reconnecter sur leur compte existant,
ou ne parviennent pas à récupérer leur mot de passe,
pour une même raison : le mail envoyé par SPIP finit dans les SPAMs, ou le visiteur a des difficultés d'utilisation de sa messagerie.
Le fait de pouvoir se connecter immédiatement avec un compte FB, GOOGLE, ... est un véritable avantage.
Mais je vois que magiclogin requière l'envoie d'un mail de demande de confirmation. Du coup, on revient sur la même problèmatique. Et le plugin perd quasiment tout intérêt selon moi.
Il me semble que la majorité des sites qui utilisent la possibilité de SSO FB, GG, ... ne requièrent pas de confirmation. Après tout, si le visiteur a réussi à se loguer avec son compte, pourquoi mettre une étape inutile en plus ?
Suggestion : que la demande de confirmation soit activable/désactivable dans la configuration du plugin.
The text was updated successfully, but these errors were encountered: