Feature req : supprimer le mail de confirmation

[brunodegoyrans]

Un constat :
beaucoup de visiteurs ne parviennent pas à finaliser leur inscription,
ou n'arrivent pas à se reconnecter sur leur compte existant,
ou ne parviennent pas à récupérer leur mot de passe,
pour une même raison : le mail envoyé par SPIP finit dans les SPAMs, ou le visiteur a des difficultés d'utilisation de sa messagerie.

Le fait de pouvoir se connecter immédiatement avec un compte FB, GOOGLE, ... est un véritable avantage.

Mais je vois que magiclogin requière l'envoie d'un mail de demande de confirmation. Du coup, on revient sur la même problèmatique. Et le plugin perd quasiment tout intérêt selon moi.
Il me semble que la majorité des sites qui utilisent la possibilité de SSO FB, GG, ... ne requièrent pas de confirmation. Après tout, si le visiteur a réussi à se loguer avec son compte, pourquoi mettre une étape inutile en plus ?

Suggestion : que la demande de confirmation soit activable/désactivable dans la configuration du plugin.

[Cerdic]

Le mail de confirmation sert à valider l'adresse email fournie lors de l'inscription, car c'est le seul moyen qu'on a ensuite de contacter ou identifier l'utilisateur, puisque FB ou Google ne fournissent pas l'email associé au compte de la personne que l'on identifie via leurs apis.

Le fait que l'email arrive dans les spams vient ensuite de la gestion de l'envoi des emails par le site.
De ce côté là pas d'autre moyen que de passer par un service d'envoi des emails comme MailJet ou SparkPost, car la politique de gestion des serveurs mails est devenue très restricitve.

Et c'est la faute aux spammeurs, le SPAM représentant maintenant plus de 90% des emails reçus par un serveur de mail.

[brunodegoyrans]

Merci Cerdic.

L'adresse email est bien fournie par les API FB ou GG. On voit dans le code de magicplugin qu'elle est récupérée et présentée en préremplissage du formulaire de confirmation ; celui que je souhaiterai voir disparaître.
Du coup, je ne vois toujours pas l'intérêt de ce formulaire dans le cas d'un tout nouveau visiteur ?

Peut-être un intérêt éventuel pour demander son pseudo, mais c'est une info que l'on peut déterminer à partir du "Nom" fourni par FB/GG. Si cette info n'est pas fournie ou vide, on peut adopter la 1ère partie de l'email. Le visiteur peut ensuite modifier son pseudo dans son compte spip si il a envie.

En tous cas, il me semble important de supprimer cette étape de vérification par mail.
Cette étape survient quand un nouveau visiteur, qui s'est connecté pour la 1ère fois avec GG/FB, revient pour la 2ème fois. Donc la 2ème fois, le visiteur ne peut se connecter que s'il il a franchi l'étape de vérification par mail. Et on retombe dans la problèmatique des mails (SPAM, pb serveur, délais rédhibitoire pour la réception, visiteur qui ne comprend pas ce qu'on lui demande, complexification du process de connexion, ...) alors magiclogin est sensé simplifier la connexion.

Dans le cas d'un ancien auteur qui se connecte pour la 1ère fois avec FB/GG, on peut admettre un intérêt à cette étape de vérification. L'auteur veut-il vraiment se connecter avec son compte FB/GG ? mais bon, même si l'auteur a effectué involontairement (est-ce possible ?) le process de connection via GG/FB, quel est le problème ? Il peut toujours se déconnecter et se reconnecter via son compte SPIP.

Il y a peut-être quelque chose qui m'échappent ? J'essaye simplement de comprendre le process mis en place avant d'apporter des modifications au plugin.

[brunodegoyrans]

Dans le cas d'un tout nouveau visiteur, à partir du moment où le bug d'enregistrement du google_id est corrigé, il n'y a plus d'étape de vérification par email. Le visiteur est directement connecté à chaque fois qu'il clique sur le bouton GG.
Mais dans le cas d'une 1ère connexion, le formulaire de demande pseudo+email est présenté. Je souhaiterais faire sauter cette étape qui ne présente pas d'intérêt selon moi. On a les infos de la part de GG. Pas besoin de les demander.

Dans le cas d'un auteur existant, il y a l'étape de vérification par email, je m'interroge aussi sur l'intérêt de cette étape ?
A partir du moment où l'auteur a réussi à se connecter avec son compte social, c'est qu'il est bien le propriétaire de cette email et de ce compte social.
Si il a pu créer un compte SPIP auparavant avec cet email, c'est qu'il en est bien le propriétaire puisqu'il y a déjà eu l'étape de vérification par SPIP.
Donc je ne vois pas l'intérêt de vérifier une Nième fois ? J'ai bon ou pas ?

[Cerdic]

Les CGU de FaceBook (a minima et de mémoire) n'autorisent pas à récupérer les données issues de l'API pour les stocker dans notre propre base de données.

C'est le pourquoi de la page avec le formulaire d'inscription : on reste dans la limite des CGU car on n'utilise les données de l'API que pour pré-remplir le formulaire d'inscription, que l'utilisateur est libre de modifier et/ou d'enregistrer ou non.

L'étape de vérification de l'email elle est justifiée par le fait qu'on ne veut pas reposer notre sécurité sur celle du réseau social. De nombreux réseaux sont hackés, les bases de password/login circulent en clair sur le net, et donc le fait que l'utilisateur dispose du login sur le réseau social ne signifie pas automatiquement qu'il est bien l'utilisateur réel et légitime. Si on ne vérifie pas cela veut dire qu'un compte social corrompu permet de corrompre aussi le compte sur le site lié. Il y a déjà eu des précédents d'attaque de ce type.

Donc en effet, dans les deux cas on pourrait les bypasser, mais c'est une mauvaise pratique et une mauvaise idée amha. Si tu veux vraiment modifier le plugin dans ce sens cela doit rester une option cachée, activée par un define() et commenté clairement dans le code comme étant une pratique déconseillée (risquée ou interdite selon les CGU) activée donc aux risques et périls du webmestre du site.

[brunodegoyrans]

Merci Cédric, je commence à mieux cerner les enjeux et conséquences.

Dans un 1er temps, mettons de côté le non-respect des CGU de FB...

Donc le risque sécurité est uniquement dans le cas d'un compte SPIP existant auquel on associe son compte FB, c'est bien cela ?
Alors effectivement, si on n'accepte pas ce risque, il vaut mieux laisser l'étape de vérification par email.

Dans le cas d'un nouveau visiteur, le formulaire continue à me sembler inutile, à part pour la problèmatique des CGU. Cela dit, c'est bien ce qu'on fait : on récupère les infos avec les API FB, et on les enregistre en base SPIP. Le fait que le visiteur puisse intervenir, c'est un peu du pinaillage. Cela me fait penser à tous ces artifices imposés par le législateur (affichage cookie, case CGV à cocher, ...) et que plus personne le lit ou ne voit. Cela emm... tout le monde et cela ne protège personne. Mais le politicien, lui, a l'impression d'avoir fait le job.
Bon je m'éloigne du sujet.