Hello,

Puisque certains d'entre vous ont commencés à s'emparer du débat concernant la sécurité autour de vos comptes, notamment pour éviter la suppression d'un compte par une personne malveillante, je vous invite à poursuivre ici votre débat et à accumuler toutes vos idées.
Le sujet m'intéresse et peut-être que ça permettra de mettre quelque chose en place.

A vous de jouer !

Un petit garde-fou assez simple à mettre en place, concernant les suppressions de compte, serait de modifier le comportement de la suppression. Quand un jd clique sur le bouton de suppression, que le compte soit rendu inactif pendant 15 jours, Si le jd a un changement d'avis, il peut annuler la suppression. Et si ça ne vient pas de lui, idem. A coupler avec un envoi de mail automatique pour notifier de la suppression du compte.

Après, pour la sécurité en elle-même... Vu le code foireux de DC... Il faudrait le refaire pour pouvoir ajouter une couche de sécurité fiable. Vouloir l'ajouter maintenant, sur du code bugué et branlant...

- Timer + Confirmation via Email (idée de Lorkah)
- MFA (ça doit bien être possible de créer son tenant Google non?)

Edit : Timer de 10minutes, mail de confirmation avec redirection "ce n'est pas vous? Changez votre mot de passe ici"

Pitié oui.
Ne serait-ce qu'un mail de confirmation ou un délai de 48h. Avec un rappel quand tu te CO genre une fenêtre ou une notification "votre compte sera supprimé dans...".

J'ai déjà vu ça le truc du délai sur un autre jeu nav et ça marchait bien, t'avais le timer " ce compte sera supprimé le xx septembre 2021 à xx heure " avec une pop qui te le rappelle avec chaque connexion. Puis le " cliquez ici pour annuler " ou un truc du genre.

Après, faire une authentification à double facteur... C'est faisable. Et même facile.
Suffit de stocker le numéro de portable de l'user à l'enregistrement et de passer par des serviecs pour envoyer des SMS qui soient compatibles avec NodeJs.
Comme Twilio pour les anglophones, ou OVH qui propose ça aussi.

Petite note annexe concernant la sécurisation de compte en dehors de la suppression : évitez s'il vous plait, les mails de confirmation réguliers pour vérifier si l'adresse est toujours bonne : certains ont créé leurs comptes il y a 10 ans + et n'ont plus accès à l'adresse email d'origine!

Les connexions à double facteur je trouve ça chiant mais c'est que mon avis.
C'est vrai que côté sécurité c'est mieux.

Y'a les coûts à prendre en compte je pense avec cette méthode.

Le mieux reste le freeze et la confirmation requise par email des modifications importante (mot de passe et email).

@Mr_N J'ai envoyé ce qu'il fallait normalement pour récupérer mon compte, si jamais tu peux me dire ce qu'il manque haha.. !

Ou alors on supprime la suppression de compte

Ou alors on supprime tout les comptes, comme ça plus personne peut le faire.

Ou alors pour supprimer le compte il faut faire un ticket à l'administration ?

Dans d'autre jeu pour supprimer le compte, il fallait ouvrir un ticket avec des modos/admin, comme ça, cela évite les rages deletes, et surtout l'administration pourra demander une confirmation ?

Ouai non, on va éviter de coder le jeu de sorte que les admins aient ENCORE plus de boulot après s'il vous plais.
On a déjà assez avec les customs, décorations de bâtiments pour les surcharger inutilement de mon point de vue.

Le timer avant la suppression est pas mal + mail envoyé à l'adresse mail. On peu aussi améliorer le truc en demandant un code de sécurité qu'on reçoit par SMS.

72H le timer, je vous jure que vous allez vous épargner la dose de rage delete en prime!

10 minutes c'est pas suffisant, si demain je décide de supprimer le compte de machin car je l'aime pas, j'attends 3h du matin.
Il est très peu probable que la personne ai 10 minutes de temps de réaction sur ce type de mails, encore moins à des heures farfelues

Le tout avec une validation de connexion sur l'email lorsqu'on arrive par une nouvelle IP!
Chiant ? Peut-être, mais quand jean-kévin vous aura piqué votre mot de passe, vous serez content qu'il aille pas lire vos RPQ sans aucune vérification.

@June Vous ne changez pas d'ip tout les 3 jours! j''espère..
@Dante pas sûr que ça soit compatible avec la RGPD ton idée.
@L-X Je pense pas que ce soit une bonne idée de restreindre la sécurité cause de quelques cas particuliers, au pire ceux qui perdent leurs vieux emails (et j'en fais parti) devraient contacter le staff pour régulariser la situation.

MFA + Validation pour les delete, c'est le strict minimum.

Aussi, pour renforcer un peu la chose il serait pas mal de partir sur un principe simple que devait faire l'ancien staff, c'est à dire un compte, plusieurs persos (un seul actif, je précise j'en vois déjà arriver)
Ne serait-ce que pour gérer le fait de ne pas avoir trouzmille comptes pour DC.

Tellement! Ca règlerait, du coup, le problème des adresses mail invalides et simplifierait - peut-être? - le contrôle des rerolls / multi...

Au moment de la connexion : Si ton IP n'est pas en whitelist et lié à ce compte = Mail de validation.

Si ton IP est toujours le même : Tu peux te co

Si ton IP change : Nouveau mail de confirmation pour autoriser l'IP.

(Le hackeur a donc besoin du mdp de ton compte, et du mdp de ton adresse e-mail déjà pour pouvoir faire ça, ça l'empêche déjà de foutre le zbeul dans ton compte s'il peut pas juste le supprimer. Système semblable à SWTOR par exemple).

En plus de l'idée de Lorkah ... Faut vraiment le vouloir pour se faire niquer le compte.

Timer pour moi de 72 heures oui pour revenir sur la confirmation du delete
Déjà ça aurait pu nous éviter plus d'un rage quit malheureux avec des gens agissant sur un coup de sang.
Harlinde, on pense à toi

Et je valide la remise à jour d'adresse mail en effet pour ceux ayant des vieux comptes.

Pas mal de chose intéressante. Je ferais mes courses plus tard. En attendant, je vais donner mon avis :

- La restriction d'accès par IP, je suis pas tellement chaud. Ça signifie que tu vas devoir te double authentifier dès que tu vas passer d'un ordi à un téléphone ou à l'ordinateur du boulot, sans compter que beaucoup d'entre nous ne sommes pas en IP fixe, donc à chaque fois que la box décide que tu changes d'IP tu te retrouves à devoir te réauthentifier. Pas très friendly !

- Un compte pour tous nos personnages : une idée excellente que je plussoie. Y a looongtemps ça a été envisagé et débuté, mais comme beaucoup de projet de cette époque là, c'est pas allez au bout. Peut-être un jour.

- Concernant la confirmation du delete, je pense qu'un simple mail ce sera suffisant. J'ai pas trop envie de m'embarquer dans des systèmes de MFA comme proposer plus haut : ça à l'air fun, ça à pas l'air si cher, mais à mettre en place ça à l'air compliquer (dommage parce que la classe de recevoir un SMS de Dreadcast de temps à autre ).

- Enfin concernant le délais avant suppression effective, j'aime bien l'idée également.

48-72h de timer + confirmation par mail c'est largement suffisant pour l'énorme majorité des cas à mon avis et ça doit pas être bien complexe à mettre en place.