-+ Sujets Admin
-+ Actions
- Retour à l'accueil
- Aller en bas de page
- Vers la FAQ
- Vers les EDCs
-+ Modérateurs
- Cérès
- Bételgeuse
-+ Statistiques
- 2 connectés au forum
- 40 connectés en jeu
- 144.145 sujets
- 3.415.102 messages
-+ Sujets MJ
-+ Derniers sujets
- Votre personnage en image
- ? concernant les scripts, etc
- Skins et scripts
- film a voir !
- Quand Dreadcast envahit l'IRL !
- Probleme scroll sur chrome
- JDR table autour de DC
- Demandes d'images et retouches
- Votre perso par IA !
- [MJ][Debug] Le topic des MJ D...
- Comparons nos s..
- Une peau si blanche
- Comment le joueriez-vous ?
- [ADMIN] Sanctions
- [JOURNAL] Le Panache Rebelle
Forum Général » Discussions sur Dreadcast
Sécurité du compte
Créé par Mr_N le 30 Juin 2021 à 15:04
Page 1/2 |
Visible par tout le monde
News — Infos !
Nom du sujet | |
Visibilité du sujet | |
Type de sujet | |
Type de sondage | Les joueurs n'ont droit qu'à une seule réponse |
Sondage ouvert | |
Montrer les résultats | |
Accessibilité du vote | Les joueurs tel que définis par la visibilité du sujet peuvent voter. |
Champs du sondage |
1
2
3
4
5
6
7
8
9
10
+ Ajouter un champ
- Retirer un champ
|
Poster
Mr_N
Posté le 30 Juin 2021 à 15:04
#1
Cauchemar
Administrateur
Voir mon EDC
Voir mon EDC
Hello,
Puisque certains d'entre vous ont commencés à s'emparer du débat concernant la sécurité autour de vos comptes, notamment pour éviter la suppression d'un compte par une personne malveillante, je vous invite à poursuivre ici votre débat et à accumuler toutes vos idées.
Le sujet m'intéresse et peut-être que ça permettra de mettre quelque chose en place.
A vous de jouer !
Puisque certains d'entre vous ont commencés à s'emparer du débat concernant la sécurité autour de vos comptes, notamment pour éviter la suppression d'un compte par une personne malveillante, je vous invite à poursuivre ici votre débat et à accumuler toutes vos idées.
Le sujet m'intéresse et peut-être que ça permettra de mettre quelque chose en place.
A vous de jouer !
Exa
Posté le 30 Juin 2021 à 15:11
#2
La Blanche
Compte Premium
Voir mon EDC
Voir mon EDC
Un petit garde-fou assez simple à mettre en place, concernant les suppressions de compte, serait de modifier le comportement de la suppression. Quand un jd clique sur le bouton de suppression, que le compte soit rendu inactif pendant 15 jours, Si le jd a un changement d'avis, il peut annuler la suppression. Et si ça ne vient pas de lui, idem. A coupler avec un envoi de mail automatique pour notifier de la suppression du compte.
Après, pour la sécurité en elle-même... Vu le code foireux de DC... Il faudrait le refaire pour pouvoir ajouter une couche de sécurité fiable. Vouloir l'ajouter maintenant, sur du code bugué et branlant...
Après, pour la sécurité en elle-même... Vu le code foireux de DC... Il faudrait le refaire pour pouvoir ajouter une couche de sécurité fiable. Vouloir l'ajouter maintenant, sur du code bugué et branlant...
Exa
Inconnu
Posté le 30 Juin 2021 à 15:19
#3
- Timer + Confirmation via Email (idée de Lorkah)
- MFA (ça doit bien être possible de créer son tenant Google non?)
Edit : Timer de 10minutes, mail de confirmation avec redirection "ce n'est pas vous? Changez votre mot de passe ici"
- MFA (ça doit bien être possible de créer son tenant Google non?)
Edit : Timer de 10minutes, mail de confirmation avec redirection "ce n'est pas vous? Changez votre mot de passe ici"
June
Posté le 30 Juin 2021 à 15:24
#4
Juliette
Compte Joueur
Voir mon EDC
Voir mon EDC
Pitié oui.
Ne serait-ce qu'un mail de confirmation ou un délai de 48h. Avec un rappel quand tu te CO genre une fenêtre ou une notification "votre compte sera supprimé dans...".
Ne serait-ce qu'un mail de confirmation ou un délai de 48h. Avec un rappel quand tu te CO genre une fenêtre ou une notification "votre compte sera supprimé dans...".
Freki
Posté le 30 Juin 2021 à 15:27
#5
Memento Mori
Compte Premium
Voir mon EDC
Voir mon EDC
J'ai déjà vu ça le truc du délai sur un autre jeu nav et ça marchait bien, t'avais le timer " ce compte sera supprimé le xx septembre 2021 à xx heure " avec une pop qui te le rappelle avec chaque connexion. Puis le " cliquez ici pour annuler " ou un truc du genre.
Exa
Posté le 30 Juin 2021 à 16:13
#6
La Blanche
Compte Premium
Voir mon EDC
Voir mon EDC
Après, faire une authentification à double facteur... C'est faisable. Et même facile.
Suffit de stocker le numéro de portable de l'user à l'enregistrement et de passer par des serviecs pour envoyer des SMS qui soient compatibles avec NodeJs.
Comme Twilio pour les anglophones, ou OVH qui propose ça aussi.
Suffit de stocker le numéro de portable de l'user à l'enregistrement et de passer par des serviecs pour envoyer des SMS qui soient compatibles avec NodeJs.
Comme Twilio pour les anglophones, ou OVH qui propose ça aussi.
Exa
L-X~19531
Posté le 30 Juin 2021 à 16:15
#7
Lady Chatterton
Compte Joueur
Voir mon EDC
Voir mon EDC
Petite note annexe concernant la sécurisation de compte en dehors de la suppression : évitez s'il vous plait, les mails de confirmation réguliers pour vérifier si l'adresse est toujours bonne : certains ont créé leurs comptes il y a 10 ans + et n'ont plus accès à l'adresse email d'origine!
June
Posté le 30 Juin 2021 à 16:38
#8
Juliette
Compte Joueur
Voir mon EDC
Voir mon EDC
Les connexions à double facteur je trouve ça chiant mais c'est que mon avis.
C'est vrai que côté sécurité c'est mieux.
C'est vrai que côté sécurité c'est mieux.
Charon~67438
Posté le 30 Juin 2021 à 16:59
#9
rm -rf /
Compte Joueur
Voir mon EDC
Voir mon EDC
Exa a écrit :
Après, faire une authentification à double facteur... C'est faisable. Et même facile.
Suffit de stocker le numéro de portable de l'user à l'enregistrement et de passer par des serviecs pour envoyer des SMS qui soient compatibles avec NodeJs.
Comme Twilio pour les anglophones, ou OVH qui propose ça aussi.
Après, faire une authentification à double facteur... C'est faisable. Et même facile.
Suffit de stocker le numéro de portable de l'user à l'enregistrement et de passer par des serviecs pour envoyer des SMS qui soient compatibles avec NodeJs.
Comme Twilio pour les anglophones, ou OVH qui propose ça aussi.
Y'a les coûts à prendre en compte je pense avec cette méthode.
Le mieux reste le freeze et la confirmation requise par email des modifications importante (mot de passe et email).
@Mr_N J'ai envoyé ce qu'il fallait normalement pour récupérer mon compte, si jamais tu peux me dire ce qu'il manque haha.. !
Full
Posté le 30 Juin 2021 à 17:10
#10
KorSkarn
Posté le 30 Juin 2021 à 17:48
#11
Rêveur Désabu.
Compte Joueur
Voir mon EDC
Voir mon EDC
Ou alors on supprime tout les comptes, comme ça plus personne peut le faire.
Dante~70729
Posté le 30 Juin 2021 à 17:52
#12
Bouc émissaire
Compte Joueur
Voir mon EDC
Voir mon EDC
Ou alors pour supprimer le compte il faut faire un ticket à l'administration ?
Dans d'autre jeu pour supprimer le compte, il fallait ouvrir un ticket avec des modos/admin, comme ça, cela évite les rages deletes, et surtout l'administration pourra demander une confirmation ?
Dans d'autre jeu pour supprimer le compte, il fallait ouvrir un ticket avec des modos/admin, comme ça, cela évite les rages deletes, et surtout l'administration pourra demander une confirmation ?
Ozkar~72858
Posté le 30 Juin 2021 à 18:06
#13
Klendatus
Compte Joueur
Voir mon EDC
Voir mon EDC
Ouai non, on va éviter de coder le jeu de sorte que les admins aient ENCORE plus de boulot après s'il vous plais.
On a déjà assez avec les customs, décorations de bâtiments pour les surcharger inutilement de mon point de vue.
Le timer avant la suppression est pas mal + mail envoyé à l'adresse mail. On peu aussi améliorer le truc en demandant un code de sécurité qu'on reçoit par SMS.
On a déjà assez avec les customs, décorations de bâtiments pour les surcharger inutilement de mon point de vue.
Le timer avant la suppression est pas mal + mail envoyé à l'adresse mail. On peu aussi améliorer le truc en demandant un code de sécurité qu'on reçoit par SMS.
-
Lorkah
Posté le 30 Juin 2021 à 19:07
#14
Lord Von-Storm
Compte Joueur
Voir mon EDC
Voir mon EDC
72H le timer, je vous jure que vous allez vous épargner la dose de rage delete en prime!
10 minutes c'est pas suffisant, si demain je décide de supprimer le compte de machin car je l'aime pas, j'attends 3h du matin.
Il est très peu probable que la personne ai 10 minutes de temps de réaction sur ce type de mails, encore moins à des heures farfelues
Le tout avec une validation de connexion sur l'email lorsqu'on arrive par une nouvelle IP!
Chiant ? Peut-être, mais quand jean-kévin vous aura piqué votre mot de passe, vous serez content qu'il aille pas lire vos RPQ sans aucune vérification.
@June Vous ne changez pas d'ip tout les 3 jours! j''espère..
@Dante pas sûr que ça soit compatible avec la RGPD ton idée.
@L-X Je pense pas que ce soit une bonne idée de restreindre la sécurité cause de quelques cas particuliers, au pire ceux qui perdent leurs vieux emails (et j'en fais parti) devraient contacter le staff pour régulariser la situation.
MFA + Validation pour les delete, c'est le strict minimum.
Aussi, pour renforcer un peu la chose il serait pas mal de partir sur un principe simple que devait faire l'ancien staff, c'est à dire un compte, plusieurs persos (un seul actif, je précise j'en vois déjà arriver)
Ne serait-ce que pour gérer le fait de ne pas avoir trouzmille comptes pour DC.
10 minutes c'est pas suffisant, si demain je décide de supprimer le compte de machin car je l'aime pas, j'attends 3h du matin.
Il est très peu probable que la personne ai 10 minutes de temps de réaction sur ce type de mails, encore moins à des heures farfelues
Le tout avec une validation de connexion sur l'email lorsqu'on arrive par une nouvelle IP!
Chiant ? Peut-être, mais quand jean-kévin vous aura piqué votre mot de passe, vous serez content qu'il aille pas lire vos RPQ sans aucune vérification.
@June Vous ne changez pas d'ip tout les 3 jours! j''espère..
@Dante pas sûr que ça soit compatible avec la RGPD ton idée.
@L-X Je pense pas que ce soit une bonne idée de restreindre la sécurité cause de quelques cas particuliers, au pire ceux qui perdent leurs vieux emails (et j'en fais parti) devraient contacter le staff pour régulariser la situation.
MFA + Validation pour les delete, c'est le strict minimum.
Aussi, pour renforcer un peu la chose il serait pas mal de partir sur un principe simple que devait faire l'ancien staff, c'est à dire un compte, plusieurs persos (un seul actif, je précise j'en vois déjà arriver)
Ne serait-ce que pour gérer le fait de ne pas avoir trouzmille comptes pour DC.
L-X~19531
Posté le 30 Juin 2021 à 19:17
#15
Lady Chatterton
Compte Joueur
Voir mon EDC
Voir mon EDC
Lorkah a écrit :
(...)
Aussi, pour renforcer un peu la chose il serait pas mal de partir sur un principe simple que devait faire l'ancien staff, c'est à dire un compte, plusieurs persos (un seul actif, je précise j'en vois déjà arriver)
Ne serait-ce que pour gérer le fait de ne pas avoir trouzmille comptes pour DC.
(...)
Aussi, pour renforcer un peu la chose il serait pas mal de partir sur un principe simple que devait faire l'ancien staff, c'est à dire un compte, plusieurs persos (un seul actif, je précise j'en vois déjà arriver)
Ne serait-ce que pour gérer le fait de ne pas avoir trouzmille comptes pour DC.
Tellement! Ca règlerait, du coup, le problème des adresses mail invalides et simplifierait - peut-être? - le contrôle des rerolls / multi...
Yang
Posté le 30 Juin 2021 à 21:00
#16
Crit Machine
Compte Premium
Voir mon EDC
Voir mon EDC
Au moment de la connexion : Si ton IP n'est pas en whitelist et lié à ce compte = Mail de validation.
Si ton IP est toujours le même : Tu peux te co
Si ton IP change : Nouveau mail de confirmation pour autoriser l'IP.
(Le hackeur a donc besoin du mdp de ton compte, et du mdp de ton adresse e-mail déjà pour pouvoir faire ça, ça l'empêche déjà de foutre le zbeul dans ton compte s'il peut pas juste le supprimer. Système semblable à SWTOR par exemple).
En plus de l'idée de Lorkah ... Faut vraiment le vouloir pour se faire niquer le compte.
Si ton IP est toujours le même : Tu peux te co
Si ton IP change : Nouveau mail de confirmation pour autoriser l'IP.
(Le hackeur a donc besoin du mdp de ton compte, et du mdp de ton adresse e-mail déjà pour pouvoir faire ça, ça l'empêche déjà de foutre le zbeul dans ton compte s'il peut pas juste le supprimer. Système semblable à SWTOR par exemple).
En plus de l'idée de Lorkah ... Faut vraiment le vouloir pour se faire niquer le compte.
Cosmos
Posté le 30 Juin 2021 à 22:24
#17
NetKeeper
Compte Premium
Voir mon EDC
Voir mon EDC
Dia a écrit :
- Timer + Confirmation via Email (idée de Lorkah)
- MFA (ça doit bien être possible de créer son tenant Google non?)
Edit : Timer de 10minutes, mail de confirmation avec redirection "ce n'est pas vous? Changez votre mot de passe ici"
- Timer + Confirmation via Email (idée de Lorkah)
- MFA (ça doit bien être possible de créer son tenant Google non?)
Edit : Timer de 10minutes, mail de confirmation avec redirection "ce n'est pas vous? Changez votre mot de passe ici"
Timer pour moi de 72 heures oui pour revenir sur la confirmation du delete
Déjà ça aurait pu nous éviter plus d'un rage quit malheureux avec des gens agissant sur un coup de sang.
Harlinde, on pense à toi
Et je valide la remise à jour d'adresse mail en effet pour ceux ayant des vieux comptes.
Mr_N
Posté le 30 Juin 2021 à 23:46
#18
Cauchemar
Administrateur
Voir mon EDC
Voir mon EDC
Pas mal de chose intéressante. Je ferais mes courses plus tard. En attendant, je vais donner mon avis :
- La restriction d'accès par IP, je suis pas tellement chaud. Ça signifie que tu vas devoir te double authentifier dès que tu vas passer d'un ordi à un téléphone ou à l'ordinateur du boulot, sans compter que beaucoup d'entre nous ne sommes pas en IP fixe, donc à chaque fois que la box décide que tu changes d'IP tu te retrouves à devoir te réauthentifier. Pas très friendly !
- Un compte pour tous nos personnages : une idée excellente que je plussoie. Y a looongtemps ça a été envisagé et débuté, mais comme beaucoup de projet de cette époque là, c'est pas allez au bout. Peut-être un jour.
- Concernant la confirmation du delete, je pense qu'un simple mail ce sera suffisant. J'ai pas trop envie de m'embarquer dans des systèmes de MFA comme proposer plus haut : ça à l'air fun, ça à pas l'air si cher, mais à mettre en place ça à l'air compliquer (dommage parce que la classe de recevoir un SMS de Dreadcast de temps à autre ).
- Enfin concernant le délais avant suppression effective, j'aime bien l'idée également.
- La restriction d'accès par IP, je suis pas tellement chaud. Ça signifie que tu vas devoir te double authentifier dès que tu vas passer d'un ordi à un téléphone ou à l'ordinateur du boulot, sans compter que beaucoup d'entre nous ne sommes pas en IP fixe, donc à chaque fois que la box décide que tu changes d'IP tu te retrouves à devoir te réauthentifier. Pas très friendly !
- Un compte pour tous nos personnages : une idée excellente que je plussoie. Y a looongtemps ça a été envisagé et débuté, mais comme beaucoup de projet de cette époque là, c'est pas allez au bout. Peut-être un jour.
- Concernant la confirmation du delete, je pense qu'un simple mail ce sera suffisant. J'ai pas trop envie de m'embarquer dans des systèmes de MFA comme proposer plus haut : ça à l'air fun, ça à pas l'air si cher, mais à mettre en place ça à l'air compliquer (dommage parce que la classe de recevoir un SMS de Dreadcast de temps à autre ).
- Enfin concernant le délais avant suppression effective, j'aime bien l'idée également.
Azénor~71941
Posté le 01 Juillet 2021 à 01:14
#19
-
Compte Joueur
Voir mon EDC
Voir mon EDC
48-72h de timer + confirmation par mail c'est largement suffisant pour l'énorme majorité des cas à mon avis et ça doit pas être bien complexe à mettre en place.
Inconnu
Posté le 01 Juillet 2021 à 06:50
#20
KorSkarn a écrit :
Ou alors on supprime tout les joueurs, comme ça plus personne peut le faire.
Ou alors on supprime tout les joueurs, comme ça plus personne peut le faire.
Mode basse connexion Vous êtes en mode basse connexion
© 2007-2024 Dreadcast - Un jeu JDR Dev - CNIL n°1266332
Dreadcast | Contact | CGU et CGV | Modération
© 2007-2024 Dreadcast - Un jeu JDR Dev - CNIL n°1266332
Dreadcast | Contact | CGU et CGV | Modération