Améliorer la sécurité et la robustesse de la suppression de compte

Bonjour tout le monde,

Déjà, un peu de contexte : Zeste de Savoir a une fonction de suppression de compte accessible directement aux utilisateurs, ce qui est une excellente chose. C’est une suppression immédiate et définitive, sans confirmation autre qu’une popup (par mail, par exemple). Bon, on ne peut pas supprimer son compte par mégarde, parce qu’il faut déjà trouver l’option, cliquer sur le gros bouton rouge, et cliquer sur une confirmation.

Cependant pour moi le fonctionnement actuel a deux défauts :

1. Un problème de sécurité : quiconque a accès au compte peut le supprimer, sans besoin d’aucune information ou action supplémentaire.
2. En cas de suppression suite à un coup de sang (aussi appelé ragequit), impossible d’annuler la suppression du compte : tout est définitivement perdu (on peut réattribuer les contenus au nouveau compte – ça a déjà été fait – mais les messages et commentaires sont toujours anonymisés, je pars du principe qu’on ne va pas jouer avec les sauvegardes pour ça).

Une idée pour corriger ça serait d’ajouter une temporisation à la suppression : pendant X temps (une semaine ? Un mois  ?) le compte supprimé s’affiche comme le compte anonyme, mais reste récupérable. Un automatisme lance le processus actuel dès que ce délais est terminé.

Est-ce que ça vous parait intéressant ? Compatible avec les valeurs de ZdS ?

Deux remarques en plus :

• On ne peut pas mettre d’option « supprimer immédiatement » pour qui le voudrait, parce que dans les deux cas suscités il suffirait de cocher l’option pour revenir au problème d’origine.
• Dans tous les cas, il me semble intéressant de rajouter une sécurité (re-saisie du mot de passe…) sur les éléments suivants de modification du compte :
  • Modification de l’adresse mail
  • Suppression du compte

PS : je n’ai pas étudié la difficulté technique de ces idées.

Il avait été question de mettre un mot de passe à ces éléments, non ?

je pense que ajouter de la sécurité pour ces actions est une bonne idée.
En revanche, je ne pense pas qu’il soit nécessaire de dépenser de l’énergie pour les ragequit

Moi je suis tout à fait d’accord avec les propositions. Voire même une confirmation par mail pour la suppression ?

Effet de bord, temporiser la suppression permet d’être sûr que ce soit la personne qui l’a demandée, il est tout à fait possible qu’une personne malveillante ait accès au mot de passe de quelqu’un (par exemple, enregistré dans le navigateur).

Cela n’implique rien sur les priorités de développement.

L’état de ce que j’avais tenté de faire :

https://github.com/zestedesavoir/zds-site/pull/5373

Suite à la discution ici.

Juste pour rappel, état de la discutions en août 2016 à ce sujet.

https://github.com/zestedesavoir/zds-site/issues/3766

J’avais bien pensé à quel point ça pouvait être compliqué, du couo je pensais plus à la suppression de compte, pour le coup

Oui pardon, je suis allé trop loin dans la réflexion sans expliquer.

La confirmation par e-mail de la suppression n’a pas d’intérêt si quelqu’un peu changer l’e-mail sans confirmation comme c’est le cas actuellement. Si on met en place la confirmation par e-mail de la suppression du compte c’est pour protéger de quelqu’un qui accès au compte sans avoir accès à l’adresse e-mail (sinon, ça n’a pas d’intérêt). Du coup, il faudrait régler ce problème avant.
Je pense que rajouter une confirmation du mot de passe sur l’interface de changement d’e-mail devrait suffire (ça protège de quelqu’un qui à accès au compte sans avoir le mot de passe).

C’est ce que j’avais codé mais on m’a demandé un refactoring qui dépassait mes compétences.
Sans ce refactring ben c’est prêt.