ZEP-39 : Un espace pour les développeurs

a marqué ce sujet comme résolu.

Deux (trois) questions pour l'assistance:

  • Doit t-on pouvoir posséder plusieurs clés en même temps ? Par-exemple, je créé un ZdsGameAvatar et une autre superbe application. Doit t-on considérer qu'il est acceptable d'avoir pour la même clée pour les deux applications ou faut t-il en créé deux ? Dans le cas de deux clés on devrait avoir un espace pour créé un projet et par projet on demande des clés.

  • Que ce passe t-il lors de la désinscription du membre au niveau des clés ?

  • (Les cgu suffisent t-elle pour se protéger des applications peu recommandable ?)

Sinon un système de lot me parait pertinent pour cet zep, je propose :

  • lot-0: demande de une clée par membre, gestion de la désinscription, page statique pour la présentation des projets, lien vers la documentation.

  • lot-1: demande de clés automatique par projet.

  • lot-2: demande de figurer sur la page de manière automatique avec validation.

Édité par Hugo

Développeur d’application Android - Clé PGP

+0 -0
Auteur du sujet

Voilà des questions très pertinentes Hugo et je ne peux pas vraiment donner de réponses tout seul.

Doit t-on pouvoir posséder plusieurs clés en même temps ?

Je pensais que non mais ton argument est plutôt bon et je tenterais maintenant vers oui. Faudrait l'avis de plus de monde.

Que ce passe t-il lors de la désinscription du membre au niveau des clés ?

Les clés d'API sont attachées à un utilisateur donné, il faudrait donc les supprimer. Mais c'est une question qu'on pourrait déjà se poser actuellement puisque nous générons déjà des clés pour les utilisateurs et nous ne supprimons pas la clé quand l'utilisateur se désinscrit.

(Les cgu suffisent t-elle pour se protéger des applications peu recommandable ?)

Je ne suis pas compétent pour répondre à cette question mais j'ai pingé Arius. Par contre, tout comme la question précédente, c'est une question sur laquelle on pourrait déjà s'attarder puisque les clés sont déjà délivrés à nos utilisateurs.

Sinon un système de lot me parait pertinent pour cet zep, je propose :

J'ai pas compris ce qu'est un "lot".

+0 -0

Je ne sais pas si cela à déjà été abordé ici mais les serveurs de Zeste de Savoir sont assez "limités" en puissance et j'ai peur qu'une génération automatique des clés soient mal utilisé.

Il faudrait prévoir un quota de génération au niveau du site (pas des utilisateurs) ainsi que (mais c'est un détail) un système de captcha ou autre pour la génération des clés.

"C’est nuageux par ici"

+0 -0

Que ce passe t-il lors de la désinscription du membre au niveau des clés ?

Les clés d'API sont attachées à un utilisateur donné, il faudrait donc les supprimer. Mais c'est une question qu'on pourrait déjà se poser actuellement puisque nous générons déjà des clés pour les utilisateurs et nous ne supprimons pas la clé quand l'utilisateur se désinscrit.

J'ai créé un ticket pour "supprimer les clés lors de la désinscription"

J'ai pas compris ce qu'est un "lot".

C'était juste pour dire qu'au départ on a peut-être pas besoin de tout le système de validation on pourrait faire juste une page "statique" pour la présentation des projets.

Il faudrait prévoir un quota de génération au niveau du site (pas des utilisateurs) ainsi que (mais c'est un détail) un système de captcha ou autre pour la génération des clés

Ou plus simple un captcha activable sur demande mais je pense pas qu'on en es besoin honnêtement. Je sais pas si y'a des soucis au niveau sécurité, de la demande de génération de plein de clés.

Développeur d’application Android - Clé PGP

+0 -0

(Les cgu suffisent t-elle pour se protéger des applications peu recommandable ?)

Pas vraiment. Elles n'ont pas été écrites en tenant compte de l'éventualité d'applications tierces. Cela implique donc de se creuser les méninges pour se protéger un minimum de ce qui n'est pas recommandable (et donc de mettre à jour les cgu avec une section dédiée).

Édité par Arius

En soi, il n'y a rien de folichon, mais il faudrait voir quelles seraient les moyens de rétorsions en cas d'abus (révocation de la clé ? plus ?), quels genre d'abus auxquels vous pensez et modifier les CGU en conséquence.

A noter qu'il faudra prévenir l'ensemble des membres (soit via un article, un mail) des modifications. C'est obligatoire. ^^

Comme ça, je pense tout de suite à ces moyens de rétorsions en cas d'abus:

  • Révoquer la clé
  • Ban immédiat du membre
  • Porter plainte, si l'utilisation des données frauduleusement.

et aussi à ce genres d'abus sont:

  • Délibérément outrepasser les limites autorisé par l'api en terme de nombre de requête et de charge serveur
  • Publier et/ou revendre les informations tiré de l'Api
  • Essayer grâce à l'api de récupérer des informations personnelles
  • La classique, pas d'application à « caractère injurieux ou diffamatoire, pornographique, portent atteinte à la vie privée et/ou au droit à l’image d’autrui, incitent à la commission de crimes et délits, incitent à la consommation d’alcool, du tabac ou de médicament » '

Édité par Hugo

Développeur d’application Android - Clé PGP

+1 -0

Délibérément outrepasser les limites autorisé par l'api en terme de nombre de requête et de charge serveur

T'entends quoi par là ?

Javier

Je pensais à celui qui créé 5 comptes, et profite des quotas de chaque compte, juste pour nous emmerder. On peut appliquer la double sanction du coup.

Essayer grâce à l'api de récupérer des informations personnelles

Ouep, ça, ça va poser problème si un gars y arrive.... x)

De toute manière, personne n'y arrivera ^^ !

Édité par Hugo

Développeur d’application Android - Clé PGP

+0 -0
Auteur du sujet

Son status n'a pas changé par rapport à ce qui est renseigné comme tag ou dans le premier message de cette ZEP : "rédaction". Il n'y a donc aucun dev amorcé.

+0 -0

Pour faire avancer cette ZEP, quelques questions concernant le front :

  • Comment accède t-on à la page ?

  • Comment organise la page principale ? On a la doc de l'API, la génération automatique de clés, la liste des SDKs, la liste des projets. Il faudra que ce soit bien organisé…

Comment accède t-on à la page ?

Je verrais bien, tout simplement, un lien dans le footer, qui mène vers la page citée ci-dessus.

+2 -0

Comment accède t-on à la page ?

Je verrais bien, tout simplement, un lien dans le footer, qui mène vers la page citée ci-dessus.

+1

Comment organise la page principale ? On a la doc de l'API, la génération automatique de clés, la liste des SDKs, la liste des projets. Il faudra que ce soit bien organisé…

Je voyais comme ça, la page principale à la liste des projets puis des sdk, va pas en avoir 5000 projets au début, donc on peut tout mettre sur une page. Un lien avec la doc de l'api et un lien pour créer un projet.

Dans la page de création de projet, tu aurais un endroit pour généré les clefs secret de ton projet avec encore un lien vers la doc de l'api. Pourquoi pas un générateur de token oauth2 pour permettre les tests ?

Édité par Hugo

Développeur d’application Android - Clé PGP

+0 -0
Vous devez être connecté pour pouvoir poster un message.
Connexion

Pas encore inscrit ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte