Page de login pour site externe simplifié

[leedo]

Bonjour,

Je suis confronté a un problème avec la messagerie. Dans le cas où
l'utilisateur accède au site sans passer par l'annuaire, et qu'il ne
s'est pas connecté récemment, il a besoin de passer par hordes avant
de revenir sur la messagerie.
Cela provoque une rupture dans la navigation de l'utilisateur, qui ne
peut pas être réduite, car il sera forcément redirigé vers l’accueil
sans utilisation de solution "lourde", et peu fiable, comme surveiller
les pages qu'il fréquente, et le rediriger après la connexion sur la
dernière visiter.

L'idée serait donc de proposer une page de connexion similaire à celle
qui existe actuellement, mais destiné à être contenu dans une iframe.
Ainsi, le site externe pourras ouvrir une simple fenêtre de connexion,
intégrer de la manière qu'il souhaite, et l'utilisateur auras tout de
même le formulaire avec le disclaimer habituel, et la certitude de se
connecter de manière normal.

Cette page "lite" comprendrais juste le div du disclaimer, et tout son
contenu. On enlève juste la barre de menu, le fond, le pied de page,
tout ce qui fait que l'on est "dans hordes", pour juste laisser ce qui
fait que l'on a une page de connexion et un avertissement.

En espérant que cela soit possible.

--
leedo,
Bricoleuse du désert.

[Jay Anvers]

Hello leedo,
Je ne sais pas si j'ai tout bien compris, c'est pas très clair. Ce que tu veux c'est garder en mémoire la dernière page visitée avant de demander la reconnexion, par le joueur pour qui la session est expirée, via hordes et revenir sur cette dernière page.
1) si session expirée, comment s'assurer qu'on a affaire au bon joueur dans le cas d'un ordi partagé ?
2) il existe pas une fonction ou une class http (comme HttpMessage en php) qui permet ça ?

Ce sont bien sur des question et piste au cas où la réponse attendue serait négative.

Bon courage.
DKH.

[ludovic coues]

Le cas typique serait que le joueur visite une page qui ne réclame pas
de connexion, le profil d'un autre joueur par exemple, puis veuille se
connecter.
En demandant la page d'annuaire de l'application, on part du principe
que le joueur est déjà connecté à hordes. On a donc affaire au bon
joueur, vu qu'il auras pris soin de se déconnecter avant de quitter un
ordinateur publique.

Après, si on est obligé de rediriger vers une page de hordes complète,
ce n'est pas une contrainte technique insurmontable. Il suffit de
stocker à chaque changement de page la nouvelle cible, et de modifier
la redirection après login en fonction. L'idée est vraiment de pouvoir
améliorer l'expérience de l'utilisateur, en évitant de l’amener à
sortir du site.

[fred26]

Tu peut garder la derni�re visit�e dans la session et ensuite redirig�
le visiteur vers elle une fois reconnect� au site.

Fred

[TheFireNight Hordien]

moi je comprend pas trop en quoi il est gênant de demander au visiteur de se connecter via l'annuaire en lui donnant le lien direct :/

beaucoup de dev's font ça : http://loups-garhordes.alwaysdata.net/ (mon propre site par exemple)

[ludovic coues]

Je vous remercierais de bien vouloir ne pas vous préoccuper de la
couleur que sera le guidon de mon vélo.

Oui, je suis d'accord qu'il n'est pas génant de demander à
l'utilisateur de passer par l'annuaire. D'ailleurs, c'est une sécurité
en plus, l'utilisateur vois bien qu'il passe par hordes, qu'il se
feras pas voler ses informations, etc...
Cependant, comme dit plus haut, cela casse le flux de navigation. Je
suis sur le profil d'un joueur, j'aimerais lui écrire. Damn', pas
connecté, obligé d'aller sur hordes avant de revenir.
Alors qu'avec la possibilité d'incruster l'info via une iframe,
l’utilisateur reste sur le site, pas de souci de redirection, il ne
perd pas le formulaire dans lequel il a déjà écrit la moitié de son
pamphlet de 42.000 caractères.

L'idée est donc de proposer des solutions supplémentaires, du choix,
de la flexibilité. Solution simple, je redirige le joueur vers la page
de login. Solution élégantes, j'incruste la page de login, et
l'utilisateur peut se connecter sans changer de page.
On appel ça des requêtes asynchrones, pour ne pas employer ajax là où
il n'a pas sa place.

[Jay Anvers]

L'explication est plus claire. Si je me souviens bien, il n'y a pas de frame sur cette page pour que ça soit joli comme tu le souhaites. Pour les autres, ce qu'il veut c'est une frame façon ajax comme sur facebook pour connecter le joueur via hordes sans sortir de la page de son site.
J'ai rien là sur moi pour t'aider, donc bon courage encore une fois.

[TheFireNight Hordien]

aprés, il y a un problème de sécurité, cela autoriserais les dev's a demander le mot de passe hordes directement sur leur site. si c'est une frame ou non, l'utilisateur lambda n'en sait rien, il ne sait probablement même pas ce que ça veut dire.

à partir de là, rien n'empêche un dev de demander un MDP hordes et de l'enregistrer dans sa propre BDD en faisant passer son formulaire pour le formulaire officiel, quittes à envoyer les informations saisies sur le site officiel...
 



> Subject: Re: [mt_hordes] Page de login pour site externe simplifié
> From: darkal...@gmail.com
> Date: Sun, 30 Jan 2011 16:23:03 +0100
> To: mt_h...@googlegroups.com

[ludovic coues]

Justement, non, pas de demande de mot de passe. Si le joueur n'est pas
connecté à hordes.fr, il ne peux pas accéder aux pages de redirection
de l'annuaire (ça sera surement plus clair que page de login). Donc
charger la page dans une iframe devrait marquer une joli message
d'erreur, et certainement pas proposer au joueur de s'enregistrer.

[Marion Duprey]

Pourquoi ne pas simplement enregistrer l'info en cookie et/ou session ?

[Somberlord]

J'ai l'impression de lire un dialogue de sourds...la demande pour l'iframe concerne justement le cas où le joueur n'as plus le cookie de connection au site, mais y est allé sans passer par l'annuaire. Donc pour ne pas interrompre sa navigation, leedo voudrait simplement pouvoir appeller un simple iframe, qui amènerait à la page de redirection de l'annuaire, ou une page d'erreur si on est pas connecté à hordes.

Et je dois avouer que ca me parait une bonne idée.

[Raphaël Quinet]

TheFireNight n'a pas tort quand il dit que ça poserait un problème de
sécurité. En effet, il deviendrait possible pour n'importe quelle
page web de dissimuler un formulaire de connexion à l'un ou l'autre
site externe. Par exemple : iframe minuscule qui apparaît comme étant
un bouton sur la page web qu'on visite mais qui en réalité est un
morceau du bouton du formulaire de connexion. Les protections
anti-XSS de la plupart des navigateurs empêchent les scripts de
contrôler le contenu des iframes externes, mais il serait quand même
possible de connecter un utilisateur à n'importe quel site externe
sans qu'il s'en rende compte. Je ne pense pas que ce soit
souhaitable.

Il me semble que la solution actuelle n'est pas mauvaise : une page
bien visible (pas cachée dans une iframe) permet à l'utilisateur de
bien voir qu'il va se connecter.

Pour que l'utilisateur puisse se connecter à un site en minimisant la
rupture dans la navigation, la meilleure solution me semble être
d'utiliser un cookie temporaire (différent du cookie de session que
certains sites utilisent) : ce cookie serait créé au moment de la
redirection de l'utilisateur vers hordes.fr. Une fois l'utilisateur
connecté, ce cookie serait lu puis effacé et servirait à le rediriger
vers la page qu'il venait de quitter. Ça ne casse pas trop la
navigation : par exemple, on clique pour envoyer un message à
quelqu'un, on est redirigé temporairement vers hordes.fr, puis une
fois qu'on est connecté on se retrouve directement sur la page d'envoi
de message.

-Raphaël (Bugzilla)

[Exagone (ledragonducoin)]

Bug a toujours une bonne réponse ... Enregistre la clé des joueurs, et
utilise la méthode cookie de Bug, sauf que je vois mal comment
enregistrer en direct la page actuelle du joueur, si il reste 3 heures
sur la même page. Ajax ?

[ludovic coues]

Pourquoi enregistrer la clé ? o.O
Il suffit de coller à chaque chargement de page un cookie avec la page
en question, et à la connexion du joueur, je le redirige vers la
dernière page visité, si cela fait moins de X heures.

Mais c'est tout de suite moins classe que la possibilité d'avoir le
formulaire de connexion présent sur l'annuaire dans la page. Quoi que
plus sur d'après l'argumentation fournis. J'ai un peu de mal à voir
l'intérêt de faire croire à l'utilisateur qu'il se connecte, mais de
mettre à jour un autre site, mais c'est bien une possibilité d'abus.

[TheFireNight Hordien]

 Dans ce sens là, aucun, mais il est possible de conserver le pseudo et le mot de passe du joueur (et là on voit tout de suite plus facilement les dérives possible ;) )

[ludovic coues]

Comment on pourrait stocker le mot de passe ?
Je vais résumé de façon clair ce que je propose.

1/ le site externe appel la page hordes.fr/lite/connect/$id_du_site
2a/ le joueur est connecté, il a le disclaimer le prévenant qu'il va
se connecter sur site XYZ

2b/ le joueur n'est pas connecté, il a un messages d'erreur dans le
même thème que le disclaimer, lui indiquant de se connecter à hordes.

That's all folks !

[TheFireNight Hordien]

 tout simplement en falsifiant la page intégrée...

peu de joueurs vont aller vérifier que l'intégration vient bien du site hordes...

> From: cou...@gmail.com
> Date: Wed, 9 Feb 2011 19:12:02 +0100
> Subject: Re: [mt_hordes] Re: Page de login pour site externe simplifié
> To: mt_h...@googlegroups.com
>

[Thomas COLENO]

J'ai l'impression que TFN n'a toujours pas compris qu'il n'y a pas de demande de login/mdp sur la page appelée par l'iframe...

Cela dit, les arguments de bugzilla restent intéressants, même s'il n'y a pas de problème de sécurité, il reste toujours celui de la vie privée.
D'un autre côté, on peut imaginer qu'il faille utiliser la clef api du site (connue du seul développeur) pour pouvoir appeler l'iframe.

[ludovic coues]

Je reformule:

2b/ le joueur n'est pas connecté.
Il a un messages d'erreur dans le même thème que le disclaimer.
Il doit aller sur le site hordes.fr par lui même, et se connecter là bas.

L'iframe à seulement pour but de connecter le joueur à un site
externe. Certainement pas de le connecter si ce n'est pas le cas.

Pour l'appel de l'iframe réclamant la clé privé, c'est une bonne idée,
mais je ne vois pas de moyen d'appeler justement l'iframe, sans rendre
la clé publique.

[TheFireNight Hordien]

mais dans ce cas, pourquoi ne pas mettre un simple cookie d'une durée infinie ?

le joueur se connecte à ton site
      1) il a un cookie contenant une clé API :
            1-a) la clé est valide : c'est parfait, on conserve
            1-b) la clé est invalide : tu l'invites à se connecter depuis le site (voire le banni, je suis pas sûr qu'un joueur ait un moyen de changer son API)
      2) il n'a pas de cookie : tu l'invites à se connecter depuis le site

au final, le résultat est le même, avec le risque en moins que des développeurs tordus abuse de l'intégration

 



> From: cou...@gmail.com
> Date: Wed, 9 Feb 2011 19:23:45 +0100
> Subject: Re: [mt_hordes] Re: Page de login pour site externe simplifié
> To: mt_h...@googlegroups.com
>

[ludovic coues]

> tu l'invites à se connecter depuis le site

Donc tu n'as rien compris à la proposition, qui est de ne pas avoir
besoin de passer par hordes. Et je ne m'étendrais pas sur l'idée de
bannir le joueur si il prête son ordi à un copain, si il change de clé
api en désactivant temporairement les sites externes, etc...

[TheFireNight Hordien]

 si, ça j'ai compris... mais je ne comprend pas bien l'idée de devoir créer tout un système qui ne servirait au final que trés rarement et pour gagner quelque secondes

quand au fait de désactiver les sites externes, je n'avais pas pensé à cette option

> From: cou...@gmail.com
> Date: Wed, 9 Feb 2011 20:35:45 +0100
> Subject: Re: [mt_hordes] Re: Page de login pour site externe simplifié
> To: mt_h...@googlegroups.com
>

[ludovic coues]

> gagner quelque secondes

Même si ça faisait perdre quelque seconde, le point n'est pas là. Le
but est de fournir l'expérience la plus fluide possible à
l'utilisateur.

Actuellement, soit il revient sur son onglet hordes pour ouvrir le
site externe, soit il l'ouvre en suivant le lien fournis, créant
potentiellement une deuxième fenêtre hordes et/ou site externe, soit
il laisse tomber, et va faire autre chose.

Avec cette proposition, il clic sur 2 bouton, ne change pas de site,
n'ouvre pas de fenêtre/onglet, le monde est beau, les oiseaux
chantent. L'idée est de proposer une expérience de navigation plus
fluide.
C'est comme poser un dictionnaire sur son bureau, pour ne pas avoir
besoin d'aller le chercher sur l'étagère à l'autre bout de la pièce.

[deepnight]

Bonsoir,

D'une manière générale, les sites externes doivent être appelés via l'annuaire.
La raison principale est que cela évite toute confusion du style
"suis-je revenu sur le site officiel ?" (et donc limite les risques de
phishing). De plus, comme expliqué à la sortie de Hordes, il n'est pas
dit que les clés API ne soient pas régénérées périodiquement,
justement pour empêcher tout stockage de clé. Le passage via
l'annuaire serait alors indispensable.

En terme d'expérience utilisateur, ce n'est certes pas optimum, mais
ce n'est pas non plus totalement incompréhensible.

Gardez à l'esprit que le seul chemin de navigation que nous proposons est :
Annuaire -> disclaimer -> site externe

-deepnight (Hordes.fr)

[ludovic coues]

L'idée est juste d'avoir la possibilité de mettre une copie d'une page
de l'annuaire dans un site.

Cependant, je comprend tout a fait le risque de phishing, et je peut
tout a fait me contenter de cet argument.