+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : email confirmation d'inscription et envois de mot de passe en clair (/showthread.php?tid=5926)
RE: email confirmation d'inscription et envois de mot de passe en clair - php_addict - 27-01-2012
(27-01-2012, 03:44 PM)Sephi-Chan a écrit : Qu'est-ce que ça change ?
bah...donner son email a paypal ou facebook ne fait pas peur aux internautes, par contre pour un tout petit jeu de rien du tout ils auront tendance à avoir peur ou à mettre une fausse adresse email ou tout simplement se tromper pour les plus étourdits...
je ne doit pas être le seul à détester que mon login soit mon email (sauf pour des sites de confiances...)
RE: email confirmation d'inscription et envois de mot de passe en clair - Ter Rowan - 27-01-2012
a partir où on rentre l email pour créer son perso, je vois pas l'aspect sécurité perso ^^
mon approche est tout autre, je n'ai pas envie qu'on m'appelle "8 boulevard de toto" irl, y a pas de raison qu'on m'appelle toto@tutu.com sur le web
c'est juste une question d'esthétique, d'identité et de sémantique (un login ne représente pas une adresse)
et puis comme tu le dis, Sephi, si ça change rien, autant choisir un login différent. Rien n'empêche celui qui aime se logguer avec un email de créer un login "email"
a noter, même si c'est pas un jeu web, star war the old republi utilise le compte mail comme identifiant (et comme il me gave sérieux, pas tant pour l'email, même si j'ai pas apprécié plus que ça, mais pour sa vente forcée d'abonnement, et d'autres combines contraignantes pour rentabiliser plus vite, mais ceci est une autre histoire)
RE: email confirmation d'inscription et envois de mot de passe en clair - Sephi-Chan - 27-01-2012
(27-01-2012, 05:52 PM)Ter Rowan a écrit : mon approche est tout autre, je n'ai pas envie qu'on m'appelle "8 boulevard de toto" irl, y a pas de raison qu'on m'appelle toto@tutu.com sur le web
c'est juste une question d'esthétique, d'identité et de sémantique (un login ne représente pas une adresse)
Je comprends ce que tu veux dire, même si la comparaison n'est pas bonne dans la mesure où l'adresse email est un identifiant sur un domaine (je suis l'utilisateur tribes.romain sur le domaine Gmail).
(27-01-2012, 05:52 PM)Ter Rowan a écrit : et puis comme tu le dis, Sephi, si ça change rien, autant choisir un login différent. Rien n'empêche celui qui aime se logguer avec un email de créer un login "email"
En fait ça change pas mal de choses. Tu perds plein d'avantages en utilisant pas l'email.
- Quand on se connecte via une adresse email, les utilisateurs ne peuvent pas vraiment utiliser une adresse jetable.
- Tu as la certitude que l'adresse email est unique.
- Ça fait une information de moins à demander à l'utilisateur (sauf si tu ne demandais pas l'email en plus du nom de compte).
(27-01-2012, 05:52 PM)Ter Rowan a écrit : a noter, même si c'est pas un jeu web, star war the old republi utilise le compte mail comme identifiant
Oui, et Battle.net utilise l'email aussi. Playstation Network aussi. Google aussi. Facebook aussi. Et des tonnes d'autres services largement utilisés.
Au final, les gens sont habitués à cette pratique. Voilà pourquoi c'est le mode d'authentification que je recommande : il n'a pas de défaut particulier.
Pour conclure, je dirais qu'il vaut mieux demander aux utilisateurs de s'inscrire avec un email et un mot de passe. Ensuite on les connecte automatiquement et on ne leur envoie pas de mail de confirmation (l'utilisateur sait ce qu'il vient de faire) et encore moins avec le mot de passe en clair : s'il l'oublie, il demande de renvoyer un mot de passe à l'adresse email du compte (ça va plus vite que de fouiller ses archives).
Ce processus n'est pas intrusif et il me semble inutile pour moi d'être plus pénible que ça.
RE: email confirmation d'inscription et envois de mot de passe en clair - niahoo - 27-01-2012
Perso j'ai déjà regardé dans mes mails pour savoir aveq lequel je me suis inscrit sur un truc que je testais la ville. c'est pratique si tu mets le nom du jeu dans l'objet.
RE: email confirmation d'inscription et envois de mot de passe en clair - Dexyne - 27-01-2012
Au pire tu met un champ "login" dans le profil et si le joueur préfère un login il remplira ce champ.
Perso le mail ça me gêne pas trop, mais pour les sites tel que facebook, google, et autres du genre les sessions peuvent restés (tant que tu effaces pas tes cookies et compagnie) mais sur d'autres sites c'est pas le cas donc la re-rentrer à chaque fois c'est un peu plus pénible que 5 lettres pour un pseudo
.
RE: email confirmation d'inscription et envois de mot de passe en clair - Sephi-Chan - 27-01-2012
(27-01-2012, 11:01 PM)Dexyne a écrit : Au pire tu met un champ "login" dans le profil et si le joueur préfère un login il remplira ce champ.
Certains sites proposent un champ où tu peux renseigner ton nom d'utilisateur ou ton email. Et le système devine si tu tapes l'un ou l'autre. Ça implique bien sûr de s'assurer qu'un nom d'utilisateur ne peut pas avoir une tronche d'adresse email.
Je trouve que c'est une bonne solution : chacun fait ce qui lui plaît.
(27-01-2012, 11:01 PM)Dexyne a écrit : Perso le mail ça me gêne pas trop, mais pour les sites tel que facebook, google, et autres du genre les sessions peuvent restés (tant que tu effaces pas tes cookies et compagnie) mais sur d'autres sites c'est pas le cas donc la re-rentrer à chaque fois c'est un peu plus pénible que 5 lettres pour un pseudo
Ça c'est pour les sites mal faits.
Facebook a une très bonne approche à ce sujet. Quand tu ne demandes pas à rester connecté, la connexion expire au bout d'une certaine durée mais le formulaire de connexion renseigne le champ email (stocké dans un cookie permanent). Quand tu te déconnectes explicitement, ce cookie est supprimé.
Les gens habitués à utiliser des ordinateurs publics sont sensibilisés à ces problématiques, donc tu peux sans problème utiliser ce genre de mécanismes.
De mon côté, j'opte le plus souvent pour un cookie permanent et signé. Et je n'utilise jamais de sessions, seulement des cookies.
Je n'utilise pas non plus l'ID de l'utilisateur mais un persistence token une chaîne aléatoire et unique propre à chaque utilisateur. Ainsi, si je veux forcer la déconnexion d'un utilisateur, je change simplement sa colonne
persistence_token, comme ça son cookie ne correspond plus à rien et il est n'est plus connecté.