Sso Pbem, Single Sing-on

Voila, je vous propose dans ce post un concept de projet non PBeM, qui permettrait de rassembler la communauté des PBeM autour d'un meme outil...
Je m'explique... La galère arrive souvent quand on joue à plusieur jeu d'oublier son mot de passe, etc.
J'ai donc pensé à un concept super sympa : le single sign-on pour PBeM. En fait, ce projet réside en un site central dans lequel TOUS les PBeM qui le désirent peuvent aller chercher les users.
L'architecture serait simple. Fini la gestion par chaque jeu de ses utilisateurs, fini les 36 mots de passe pour jouer à ces 49 PBeM par jour... le SSO PBeM permettrait de tout centraliser.
Principe : le gars qui veut jouer à un jeu s'inscrit dans ce jeu. Le moteur du jeu renvoie alors au SSO PBeM le nouvel utilisateur avec son mot de passe.
Le gars veut jouer, il tape son login et son mdp dans le jeu, qui va demander au SSO PBeM s'il a le droit de venir...
En cas d'oubli de mdp, c'est le SSO PBeM qui s'en chargerait.. et préviendrait par email du changement de mot de passe...
Pour ce qui est des paramètres personnels de chaque jeu (par exemple, l'option "Bourriner automatiquement la tronche des ennemis qui ont un caleçon vert"), ceci pourrait etre facilement résolu par un champ libre pour chaque jeu, dans lequel serait contenu de façon organisée et standard (par exemple séparateur "|" )... le moteur du jeu s'occupant de réaliser l'interpretation de ce champ.
Ceci compliquerait la tache des webtrucchose... (hein webmachin), mais permettrait de faciliter la vie des joueurs PBeM...
On pourrait aussi alléger les procédures d'enregistrement (login, mdp, confirm, date de naiss... ), là ce serait "votre id, votre mdp, merci zete enregistré pour mon jeu"
Dites moi si conceptuellement ca vous branche, ensuite, si j'obtiens des avis favorables, je pourrais aller plus loin pour parler ergonomie, sécurité, portabilité, etc. Mais pour l'instant, ne parlons pas de ce genre d'"obstacles", et réagissons sur ce concept...

Guile

Euh moi c'est contre et totalement. C'est ingérable réellement. En fait, que fais tu des jeux où il y a 40 champs dans la table membre ? Que fais tu des différents styles de jeu (un mec inscrits sur un jeu de type medieval ou un type futuriste n'aura pas le même nom), et puis, c'est pas vrai les joueur ne jouent pas à 40 pbem.

Et même si c'est le cas rien ne les empêche de choisir le même mot de passe.

Moi je ne suis pas pour, mais c'est un avis personnel.

Pour les jeu avec 40 champs dans la table user, tout pourrait tenir dans le champ "texte" précité... c'est sûr que ce serait plus difficile à mettre en place.
Pour ce qui est du RP du jeu, on peut toujours proposer une solution très simple, mais là, j'entre déjà dans les détails techniques : un login "surface" pour tout, et des pseudo pour chaque jeu.
Par exemple moi Guile (dans le SSO), je vais m'inscrire à Terre de Tréas avec comme pseudo "Emperor Philipo" et dans AFC je m'appelerai "Pourfendeur"...
En restant technique, j'imaginais une relation "Plusieurs jeu pour un joueur", qui permettrait ainsi de personnaliser bcp de chose... mais tout ca est très technique, et des remarques comme la tienne Tréas peuvent alimenter les specs d'un tel outil

Hum, ok je vois un peu ce que tu veux dire. Ben alors, j'attends, je suis pas convaincu mais attend à l'être.

Donc tiens moi au courant de ton projet et je te dirais ce que j'en pense (si tu veux je pourrai tester)

Bonne chance.

hum, si je comprend bien, les jeux affiliés à sso auront les pass et login de leurs membres sur sso. Bon, cela veut dire que les mecs qui gère sso peut avoir accés à tous les pass et login. Si c'est pas le cas explique moi en des termes non informaticien. Car si effectivement le ou les admins de sso y ont accés, pour moi c'est non.

Ca c'est pas vraiment la question car les mots de passe peuvent être cryptés pour éviter ça et puis un site de ce type va pas s'amuser à faire ça.

Non, moi c'est le concept qui me paraît difficile à mettre en place sur de gros jeux.

Problème des mot de passe et confidentialité : dans mon jeu, je ne peux jamais connaitre les mots de passe de mes propres joueurs. Je me suis donné cette limite déontologique, et bcp le font (d'ailleurs, dans le forum phpBB, c'est comme ca je pense).
Comment cela est possible : tu prends ton mot de passe, et tu le transformes avec une fonction qu'on appelle md5 (désolé pour ce terme informatique). Le md5 est une transformation non réversible. C'est à dire qu'à partir d'un mot, tu peux trouver la transformation, mais qu'à partir de la transformation, tu ne peux pas trouver le mot d'origine (ou presque, mais il faudrait y mettre les moyens pour trouver...).
Cette technique je l'applique dans mon jeu en plein dév... et il est impossible pour moi de connaitre les mdp des joueurs... je peux à la limite les comparer et dire "vous avez très certainement le meme mot de passe, mais allez savoir lequel!"
Bref, encore une remarque qui ne freine pas forcément la création de l'outil. Il faut se mettre en tête que la technique est rarement le frein dans un projet, et que ce sont souvent les recommandations, et les besoins qui freinent ;-)
Ici ce sont des remarques qui méritent d'etre citées pour être mise au claire, et pour etre prise en compte.

Tréas, juste pour mon information, peux tu m'expliquer ton point de vue? Mes connaissances sont pas universelles, et donc je sais pas ce que tu entends par gros jeu.
Un gros jeu nécessiterait quoi ? (je pose cette question pour essayer d'y trouver une réponse, et une solution...)
pour moi le besoin serait "bcp de paramètres personnels"

oui mais tu peut le changer et mettre un autre pour t'introduire dans tous les jeux.

Meme avec le MD5() si tu veut changer le pass tu le change avec l'acces au DB.

Et vous penser que les MJs vont tous se reunir autour d'UN seul et meme site pour les login?
Désolé mais je ne laisse pas des informations comme mail, mdp et autre joyeusete de mes joueurs dans les mains de personnes que je ne connais pas et en qui je n'ai pas confiance (désolé, mais je ne fait pas facilement confiance)

Et puis, si vous avez des problèmes (serveur out) si vous vous faites hacker, si vous arreter, si il y a un crash disk. fini, tous les jeux affilié sont obligé de s'arreter car plus de connection user/pass.

Désolé, mais je trouve quand meme votre system, même partis d'une bonne intention, une très mauvaise idée.
La centralisation des informations est de base, toujours un danger pour les utilisateurs...

Enfin tenez nous au courant, mais meme si j'etait le dernier a gerer mes users seul, je le ferais pas. trop d'inconveniant et de risque.

Bonne chance.

@+

Ben ton système de champs avec | me paraît bizarre... Je vois pas bien comment ça va fonctionner. Pour des sites ayant 50 champs comme je disais (gros site) ça va être la galère.

Résumons un peu:

Techniquement: tous les jeux affiliés dépendront de SSO. Par conséquent il faut que l'hébergement de ce dernier soit sans faille et d'une excellente qualité. Cette assurance n'est possible qu'en y mettant des frais non négligeables pour le bienheureux mécène qui offrirait ce service... S'il est mécène...

Du point de vue sécurité: rassembler les informations utilisateurs quelque part ressemble un peu trop furieusement au système Passport de Microsoft. Il n'est pas besoin que je m'étale sur le sujet, on pourra reprocher aux européens d'être tatillons en ce qui concerne les libertés informatiques, mais j'estime que c'est à juste raison. De plus, les administrateurs de SSO devront pouvoir montrer patte blanche. Personnellement Guile, je ne t'en veux absolument pas, mais je ne t'ai encore jamais croisé dans le milieu du PBEM, difficile de placer une confiance telle que ton système l'exige. Il faudrait au moins que tu sois du calibre de Colyséo, ou bien que tu aies un solide statut (SARL, Association reconnue,...) pour pouvoir te targuer d'inspirer une telle confiance... Tu as encore du boulot de ce côté-là je pense

Côté pratique: la gestion pass/user du côté des MJ est plutôt simple à gérer. Je me vois mal me faire chier à rajouter une étape supplémentaire qui consisterait à un appel à un serveur distant lors du logging de mes joueurs. Moi personnellement, je trouve que ce serait plus compliqué qu'autre chose, surtout que j'aime bien avoir quelque chose de clean et généralement cela implique un processus se déroulant sur un seul serveur où l'on en maîtrise personnellement tous les tenants et les aboutissants.

Pour les joueurs: est-ce vraiment nécessaire? La plupart des jeux dissocient un personnage (avec un nom particulier, une race, un métier ou que sais-je encore) des informations de l'utilisateur (login / mot de passe). En tant que joueur, j'utiliserai toujours le même login/mot de passe sur tous les jeux auxquels je jouerai, par conséquent, cela rend ton système inutile, car il n'est pas si difficile de retenir un couple login/mot de passe...

Just my two cents...

Je dois avouer que c'est encore un truc qui peut sembler bien sur le papier mais qui en fait n'est pas des plus intéressant d'un point de vue purement technique, comme l'ont déjà un certain nombre de personnes.

Points positifs :
- gestion centralisée et unique du login/password pour tous les jeux => ça permet aux étourdis de ne pas avoir besoin de se souvenir des 25 couples

Points négatifs :
- pseudo unique pour tous les jeux => je me vois mal porter le doux pseudo de "Maurice le destructeur" dans un JDR, pseudo que j'utilise par ailleurs dans un autre PBEM dans lequel il est tout à fait adapté
- gestion centralisée du login/password => plantage du serveur = plantage de tous les PBEM, assez moyen comme système
- gestion centralisée du login/password => accès internet nécessaires donc, moyen en terme de performances par rapport à un accès local au serveur hébergeant le PBEM
- neutralité de l'hébergeur du système (j'entends par hébergeur le groupe qui gère l'application SSO) => comment s'assurer qu'ils sont bien neutres et intègres (cf le principe d'autorité de certification pour les connaisseurs) ?
- réactivité de l'hébergeur du système => comment être certain qu'en cas de problème de gestion (oubli du mot de passe par exemple à 3 heures du mat') je vais pouvoir jouer le lendemain ?
- validité des demandes de gestion => comment l'hébergeur du système peut-il s'assurer de la validité de la demande d'un joueur (d'un MJ). Comment s'assurer qu'il est bien celui qu'il prétend être (cf une nouvelle fois les principes de certification).

Voilà tout ce que j'ai trouvé pour ma part (sans trop fouiller toutefois).
Bref j'aurais tendance à dire que c'est encore un bon système sur le papier mais qu'il ne répond à aucun besoin réel et surtout à aucune des exigences que seraient en droit de demander un MJ de PBEM.
Qui plus est le principe même du fonctionnement de type SSO nécessite des conditions techniques à mettre en oeuvre qui vont plus loin qu'une simple authentification.
Ca n'est pas pour rien qu'il est déjà très difficile de mettre en place cette fonctionnalité SSO dans les sociétés de par la disparité des applications et les processus d'authentification adjacents (certificats entre autres).

Maintenant ce système pourrait avoir un éventuel intérêt sur un seul et unique serveur hébergeant plusieurs jeux mais ça ne ferait qu'enlever quelqu'uns des inconvénients et non pas rajouter des avantages.

perso je vois meme pas l'interet d'un tel systeme ...

en ce qui concerne mon jeu , le login n'est plus obligatoire une fois l'inscription etablie et une fois la premiere connection effectuée , il suffit alors de mettre la page en cour en favoris et meme si le joueur change de carte ou est victime d'un banissement , des scripts placés sur toutes les pages redirigent le joueur sur la bonne page.

Ce systeme a fait ses preuves et il a l'avantage de bannir reellement un joueur ( le débat avait été soulevé il y a pas mal de temps sur l'ancien forum ... )

bref je vois mal comment un systeme aussi complexe soit t'il parviendra à s'adapter à tout les jeux , de plus ce systeme est finalement plus pénible à gerer pour les joueurs que le systeme de favoris intégré à leur navigateur qui est amha ultra simple et vraiment tres rapide et qui enleve dans mon cas le probleme du login.

Et puis cela ne va pas sans poser le probleme de la gestion des multicomptes ou doublons , c'est déja penible à gerer pour 500 joueurs alors imaginons pour tout les joueurs de pbem reunis au grand complet ...

Bref , étant donné les differentes technologies utilisées par les pbem actuellement , il me parait impossible de centraliser les identifications , ce projet n'est donc qu'une pure hérésie

Xaero , toujours partant pour motiver les troupes ^^

Heu, juste pour info, le principe SSO a pour but premier une authentification unique multi-applicative.
Dès lors que ce principe est adopté, il convient aux applications de s'adapter au fonctionnement SSO en place et non l'inverse, sinon ce n'est plus un principe SSO.

En s'appuyant sur ce type de fonctionnement on accepte de facto les modifications qu'il y aura à faire sur chacune des applications (ici chacun des PBEM).
Ce système doit donc être simple ("simple" authenticaition login/password) mais peut tout à fait être cumulé avec d'autres vérifications spécifiques et internes à chaque PBEM.
Dans la pratique la mise en place de ce système reviendrait à afficher une page login/password (ce que tout le monde fait plus ou moins) et à envoyer la vérification vers ce système centralisé au lieu de faire soi-même la vérification, ce qui n'a absolument rien d'insurmontable à mettre en place, il me semble.
Et rien n'empêche non plus une implémentation silencieuse de l'authentification pour reprendre ton fonctionnement par "favori".

Le principe n'a donc rien d'hérétique, loin de là.
Je dirais qu'à l'heure actuelle, les contraintes sont plus techniques (lenteur du système global) et conceptuelles (validité de l'authentification).
Mais il pourrait parfaitement être mis en place dans bon nombre de PBEM.

Une fois n'est pas coutume je partage l'avis de Khiguard sur la question

En effet, je préfère assumer seul la responsabilité de la confidentialité des infos délivrée par les joueurs. Au moins comme ça si je me fais hacker, c'est pour ma g..., et je n'aurai de pierre à jeter à personne...

Ceci dit c'est un avis perso, cela ne veut pas dire que le système ne saura pas séduire d'autres webmasters.

Le mieux à mon avis est de commencer à travailler dessus puis d'en proposer une bêta afin que chacun puisse se faire son propre avis sur l'utilité d'un tel outil pour son système.

Ceci dit l'idée a la vertu d'être à volonté fédératrice et je ne peux que saluer ce type d'initiative

Enfin seuls les imbéciles ne changent pas d'avis, mais cependant il faudra prouver la réelle utilité et sécurité de ton système pour y gagner des adhérants.

Alors, au boulot

Cordialement

Conceptuellement, ça ne me dérangerait pas plus que ça de laisser les login/pass à un système unique ( s'il est convenablement géré... par Ludimail par exemple ).

Cependant, ce n'est pas sans problème :
- ça oblige à maintenir quand même une table "joueur" puisqu'il est bien clair que chaque jeu a ses petites spécificités au niveau du formulaire d'inscription (du coup, ce n'est pas forcément plus simple à coder) ;
- si on veut que le login soit vraiment unique (pour tous les jeux), il faudrait différencer login et pseudo. Ce qui est tout à fait possible mais qui complique un peu l'affaire.
(...)

Cela dit, je trouve ça très intelligent. Il est stupide que tous les webmasters réinventent l'eau chaude pour chaque jeu. Car l'un dans l'autre, les besoins sont les mêmes :
- enregistrement/suppression d'un login
- enregistrement/modification d'une adresse mail
- enregistrement/modification d'un password (crypté en md5 si possible)
- possibilité de générer et de renvoyer un nouveau password à une adresse mail (en cas de perte)

Perso, je rajouterai d'autres fonctionnalités :
- validation de l'adresse mail à l'inscription en envoyant un code/lien de confirmation par mail
- surveillance régulière de la validité de l'adresse mail (sinon désactivation temporaire du compte)
- gestion de différents niveau d'accréditation (admin, joueur...)
- blacklistage
(...)

Une manière de conciler le protectionnisme de certains MJ et la proposition intelligente qui a ouvert cette discussion serait peut-être qu'on arrive un pondre un module PHP (par exemple), suffisament souple (et qu'on pourrait donc facilement adapter à chaque jeu) pour gérer cette problématique. Ce module serait bien sur disponible sous une license libre adapté (LGPL) permettant un usage dans un ensemble non libre. La seule obligation serait de faire remonter les modifications apportées au module d'authentification "spécial PBEM" sous la même license.

J'estime que ce serait qqch d'excellent qu'on arrive un peu à ne pas réinventer chacun l'eau chaude de notre côté (bcp d'énergie et d'efforts dépensés en pure perte).

Des avis ?

--
The Fab

http://www.esub2.com
http://www.openesub.org

heu, reinventer l'eau chaude prend a peut pres 5 minute a programmer.
Faut pas non plus exagerer.

A la rigueur, si le system etait gerer par une grosse boite ca pourrais etre interressant pour certain. (pas pour moi, je garde mes idées)

Mais je maintient qu'il y a trop de probleme technique qui peuvent survenir et bloquer l'acces au jeux faisant partie de ce service.

Et puis, certain voudrais se supstituer a m$ en regroupant un banque d'information unique

@+

plus on en parle , plus je trouve l'idée incensé ... surtout pour des jeux ...

encore pour un groupement de sites qui s'occupe de codes sources dans differents programmes , c'est interessant car ils ont plusieurs langages et un site par langage , l'inscription sur le site principal est donc valide pour tout les autres sites et cela evite de faire une inscription pour chaque langage

mais dans le cas d'un jeu de role , honnetement je trouve ca idiot , quelle perte de temps , il y aurait ptet plus important pour aider et soutenir la communauté du pbem francais que de sortir des trucs dans ce genre qui ne vont servir à rien.

> heu, reinventer l'eau chaude prend a peut pres 5 minute a programmer.

De deux choses l'une :
- soit tu es un gros barbu, un grand dieu de la programmation et tu as 10 paires de mains ;
- soit ta gestion des authentifications ne répond pas au mini cahier des charges que j'ai donné plus (authentification sur plusieurs niveaux d'accréditation, regénération et renvoie d'un mot de passe perdu, validation de l'adresse mail (avec un envoi préalable de confirmation), validation épisodique de l'adresse mail....)

Sinon, je pense que je me suis mal exprimé. Je ne suis pas pour le système initialement proposé. Cependant, je suis à 300% pour qu'on mette au point quelques classes PHP de ce genre sous une license libre adaptée. Chaque PBEM intègrerait alors ces classes au sein de son propre code source.

Il n'est donc pas question de centralisation mais de mise en commun de morceaux de développement.

Ouaif ouaif ouaif, c'est pas gagner tout cela. Pour ce qui me concerne, je ne voit pas l'utiliter d'un tel site, les info sont très bien sur notre site, je ne vois pas pourquoi je prendrais la peine de passer par un intermédiaire...que je ne connais pas de surcrois

et puis quelle insulte ^^

mon processus d'identification moi je le trouve au point , il me permet de gerer les doublons , les inactifs , les profils des joueurs ( pour la date de connection ) ...

j'ai meme inclut un compteur de connecté temps reel qui s'appuie sur ce systeme d'identification ...

ca c'est le truc qui sert uniquement à se faire pirater son compte ..
allez je prends le truc classique : le mot de passe de la messagerie est trouvé et le gonze a accé aux e-mails de ses victimes ...
supposons qu'un mail du jeu arrive dans la boite , il le lit , obtiens l'adresse , se rends sur le jeu , et hô surprise , un formulaire de demande de pass , hop on active tout ca , 1 minute aprés , on le gonze a un autre pass appartenant à sa victime et peut tres bien lui supprimer son perso ( par exemple ^^ )

Moi je code pas un truc comme ca , tout simplement parce que ca n'arrive pratiquement jamais d'oublier son pass , les navigateurs incluent une sauvegarde du pass d'ailleur ...

> ca c'est le truc qui sert uniquement à se faire pirater son compte ..
> allez je prends le truc classique : le mot de passe de la messagerie est trouvé et le gonze a accé aux
e-mails de ses victimes ...
> supposons qu'un mail du jeu arrive dans la boite , il le lit , obtiens l'adresse , se rends sur le jeu , et hô
> surprise , un formulaire de demande de pass , hop on active tout ca , 1 minute aprés , on le gonze a
> un autre pass appartenant à sa victime et peut tres bien lui supprimer son perso ( par exemple ^^ )

Comme c'est foireux

C'est typiquement le cas qui a 10 fois moins de chance d'arriver qu'un pauvre gars qui a perdu son password (honnêtement). Et c'est justement parceque les browsers intègrent une sauvegarde des login/pass qu'on a des chances de les perdre (changement de PC, réinstallation... => adieu la sauvegarde du browser => ah merde c'était quoi déjà le pass ?).

Et puis quand tu t'es fait hacké ton compte mail, le gars il en a rien à foutre de supprimer ton pseudo à un obscur jeu sur le net. Tu as bien plus de chance de te faire hacker le pass du jeu (par un autre joueur indélicat pas exemple).

Enfin bon...

[globalement, je ne vise personne en particulier]
Mes quelques passages ces derniers jours sur ces forums ne me laissent pas une grande impression. Visiblement, tout le monde a le meilleur jeu du monde, les meilleurs choix techniques et il faut surtout pas partager/mettre en commun... Parceque sinon ça gacherait... Vous avez raison. Faisons de l'amateurisme chacun de notre côté

Et pas la peine de me flammer, je retourne à des activités plus constructives...

@ un de ces jours

Tu n'as pas encore vu neosnake , personellement , c'est ce qui a donné un charme incroyable à ce forum , d'ailleur je note qu'il polluposte actuellement les forum de Lam ^^

Franchement moi je donne mon avis , et j'ai tjrs été tres franc dans mes avis , mais ca ne concerne pas forcement l'ensemble des usagers de ce forum qui sont sans doutes plus modérés , moi je suis encore jeune et con

Tsss, certainement pas, si j'avais le meilleur jeu du monde je gallèrerais moins, seulement on propose un service, qui pour moi me parrait louche, donc c'est non.
Pour l'ambiance sur le forum c'est qu'un impression...

non je suis pas un pro et sombre destin est programmer a l'amateur, je ne le fait pas comme je ferais un site payant.
C'est mon métier mais je me considere pas aussi fort que tu ne le pense.
Mais depuis le temps que je fait des script, j'ai tout une bibliotheque de script et quand j'en ai besoin je fait un copier coller. d'ou les 5 min.
et puis n'exagere pas, faire un script comme tu dis ne prend pas 2 jour ou sinon si tu pert autant de temps sur un petit truc comme ca, tu doit pas avancer des masses.
Mon script? il verifie les mail, autentiie, envoie de mail en htm (possibilite de fichier attaché). verifie les pseudo unique et les mails uniques. le reste je m'en passe

tu te trompe de site, ici on est la pour parler des pbem, pas de programmation (on me l'a deja fait remarquer). donc tu parle au mauvais endroit, si tu cherche un script gratuis, va sur php script.
Dernierement j'ai proposer de faire un script pour carte dynamiqe du genre A&F si tu veut participer ca montrera un peu ta motivation. Car la a par decrier les MJ ici present, on ne vois rien...

Le milieux de pbem EST un milieux d'amateur. de pationner. La plus part des gens ici n'on jamais vu de cahier de charge ni ne savent faire de LDA.
Personne n'a dis qu'il etait le meilleur ni son jeu d'ailleur. Si tu veut voir des gens qui te traiteront d'amateur je peut te donner des adresse de MJ totalement amateur qui se prennent pour des pro parce qu'il on reussi a faire marcher 3 lignes de php
ici c'est resonable par rapport tu trouve pas??
aller ne fait pas ta mijorée

@+