A la création de l'email, parler du marrainage et d'autres aspects pratiques (Introduire la doc)

Voilà, 2 pages “Mon compte” et “Communauté“. Sur ces maquettes, je n’ai pas modifié/rajouté de fonctionnalité à l’existant (même si ça me démange 😄), simplement réorganisé. Ça permet d’imaginer comment rajouter simplement des nouvelles pages ensuite :

Desktop : https://www.figma.com/proto/PwjUHlF7UIt0hywZP2CeJD/betagouv?node-id=330%3A32&scaling=min-zoom
Responsive : https://www.figma.com/proto/PwjUHlF7UIt0hywZP2CeJD/betagouv?node-id=415%3A139&scaling=scale-down

Table Events :

• id
• create_by_username
• action_code
• action_description
• action_on_username?
• creation_date

Préparation

• Lister les événements et donner un code à chaque évenement

Certains utilisateurs peuvent se rendre sur le secrétariat en suivant un lien - par exemple https://secretariat.beta.gouv.fr/users/prenom.nom - mais sont redirigés vers la page de login si ils ne sont pas connectés. Une fois connecté, la page /users s'affiche ensuite par défaut.

Au moment de la redirection vers le login, on pourrait garder leur url initiale dans un paramètre next https://secretariat.beta.gouv.fr/login?next=/users/prenom.nom et les y rediriger une fois connectés (ou plus précisément : leur fournir un lien de connexion qui pointe directement vers cette url)

Priorité : basse

On a essayé de créer l'adresse pour @lucas-bch de CartoBio.

On a créé sa fiche sur Github : https://github.com/betagouv/beta.gouv.fr/blob/6321a796cc69bda0bcd7fabc587d761c04604b24/content/_authors/lucas.bchini.md
Je me suis loggée sur le secrétariat sur https://secretariat.beta.gouv.fr/ avec mon compte sabine.safi - ça a marché.

L'autocomplete m'a bien proposé lucas.bchini.
Ça m'a amenée sur cette page :

@jdauphant sur Slack :
Il y a un bug dans l'app
On a une régression sur l'utilisateur sans compte email

Le Dockerfile se base sur l'image Node 8.16, qui n'est plus supporté depuis fin 2019. On pourra la mettre à jour avec une des versions actives (10.x, 12.x, 14.x)

Aujourd'hui, si le POST /onboarding échoue (par exemple à cause d'une fiche du même nom qui existe déjà), on est redirigé vers GET /onboarding sans l'information rentrée précédemment, ce qui provoque la perte des données dans le formulaire.

Il faut qu'on puisse passer ces informations (par exemple via req.flash) et qu'on les utilise pour pré-remplir les champs dans onboarding.ejs.

Malgré le release recent, request-promise est obsolète depuis le 11 février 2020 :
https://github.com/request/request-promise#deprecated

Matomo dispose des API nécessaires

Pouvoir délegué le domaine de sa startup

Définir des règles d'écriture du code en s'appuyant sur https://eslint.org/
Cela s'appliquera au fichiers .js, mais aussi au .ejs
Idéalement avoir un hook pre-commit pour éviter de commiter des erreurs de linting (que le CI détectera, et qu'il faudra corriger, etc)

Si j'ai choisi de bénéficier d'une redirection dans un premier temps mais que je souhaite évoluer vers un compte mail beta.gouv.fr "normal", ou bien si j'ai oublié mon mot de passe, je souhaite pouvoir demander une réinitialisation sécurisée de mon mot de passe.

Idée d'implémentation:

• créer une case à cocher "envoyer à mon adresse secondaire" à côté du bouton "Connexion par email"
• envoyer le lien d'authentification à l'adresse secondaire, ce qui permet de s'appuyer sur l'implémentation de #13

Alternative 1:

• créer une page et un formulaire spécifique "Réinitialiser mon mot de passe"
• dans ce formulaire demander l'identifiant beta.gouv.fr de la personne
• envoyer un lien à l'adresse secondaire correspondante contenant un jeton sécurisé
• sur présentation de ce jeton sécurisé, donner accès au formulaire de changement de mot de passe pour ce membre

Alternative 2:

• créer une page et un formulaire spécifique "Réinitialiser mon mot de passe"
• dans ce formulaire demander l'adresse mail secondaire de la personne
• envoyer un lien à cette adresse correspondante contenant un jeton sécurisé
• sur présentation de ce jeton sécurisé, donner accès au formulaire de changement de mot de passe pour l'identifiant beta.gouv.fr associé à cette adresse mail

Dans tous ces cas:

• pour les nouveaux membres, stocker dans une base de données les adresses mail secondaires
• attention, ceci implique également de modifier le comportement de la commande Slack /compte
• pour les membres existants, compléter ces informations manuellement

• Bouton sur la fiche utilisateur "Ce membre est parti" si la date de fin est dépassée
• à l'appui du bouton :
  • suppression du compte et redirection
  • redirection de l'email vers l'adresse "[email protected]"
  • retirer les droits sur github
• Proposer que l'utilisateur puisse supprimé son propre compte

https://www.npmjs.com/package/request-promise

Les cookies token et session n'ont pas une valeur pour l'attribut SameSite, d'où le warning sous Firefox :

Cookie “token” will be soon rejected because it has the “sameSite” attribute set to “none” or an invalid value, without the “secure” attribute. To know more about the “sameSite“ attribute, read https://developer.mozilla.org/docs/Web/HTTP/Headers/Set-Cookie/SameSite

D'après le site MDN : Cet alerte apparaît dans les cas où des cookies requièrent l'attribut SameSite=None et ne sont pas marqués Secure, étant donc refusés par le navigateur.

Nous avons deux options :

1. Marquer les cookies "secure" quand on utilise https en utilisant config.secure (pour pouvoir continuer à développer en http)
   Par exemple avec le cookie session:
   app.use(session({ cookie: { maxAge: 300000, secure: config.secure } }));

2. Ajouter une politique sameSite lax ou strict.
   Les cookies ne seront envoyés qu'avec les requêtes effectuées sur le domaine de même niveau, et ne seront pas envoyées sur les requêtes vers des sites tiers.
   app.use(session({ cookie: { maxAge: 300000, sameSite: 'strict' ou 'lax' } }));

Des avis ?

Ajouter un serveur OAuth pour permettre de se connecter à d'autres services (par exemple les pads mais aussi la future app de compta et je cherchais un outil OAuth pour rendre accessible les archives de Slack)

On n'est pas si souvent recruteur, il est facile de désapprendre le process.
Séparer la gestion du compte de la création d'un compte et ajouter des éléments contextuels sont des actions qui pourraient simplifier le parcours.

Proposition ici :
https://www.figma.com/proto/PwjUHlF7UIt0hywZP2CeJD/betagouv?node-id=14%3A14&viewport=-77%2C522%2C0.25&scaling=scale-down-width

Pour avoir un meilleur niveau de sécurité, je souhaite pouvoir changer mon mot de passe (par exemple si j'ai choisi il y a longtemps un mot de passe de faible entropie, ou un mot de passe réutilisé qui a été compromis). Le mode opératoire actuel n'est pas satisfaisant, car je dois demander à un administrateur de beta.gouv de le faire et ne suis pas autonome.

On a surement besoins d'une base de donnée pour faire ça

Les fichiers Evolventa-Bold.ttf et SourceSansPro-Regular.otf sont référencés dans template.min.css et non trouvés.

GEThttps://secretariat.beta.gouv.fr/static/css/fonts/Evolventa/Evolventa-Bold.ttf
[HTTP/2 404 Not Found 25ms]

GEThttps://secretariat.beta.gouv.fr/static/css/fonts/Source%20Sans%20Pro/SourceSansPro-Regular.otf
[HTTP/2 404 Not Found 24ms]

En cas d'erreur expérience actuelle :

Vérifier à l'ouverture de la page sur la date de fin

Proposition (Par Anne-So)

• 1. La nouvelle recrue de la communauté clique sur un bouton “Créer un compte”
• 2. Il remplit un formulaire (nom, prénom, date de début et de fin de mission, email pro ou perso...)
• 3. Ça fait une PR sur Github pour créer la fiche (grosse valeur ajoutée car c’est une manipulation très fastidieuse pour tous les non devs de la communauté)
• 4. Ça créé l’email
• 5. Ça assigne un marrain ou une parraine (#391)

C'est plus convainquant au niveau sécurité.

La procédure est ici : https://doc.scalingo.com/platform/app/regions-migration

https://ejs.co/

• plus proche du HTML
• moins "magique" que Mustache
• marche nativement avec Express

Aujourd'hui, les champs date sont des champs texte classiques avec une regexp pour enforcer le format yyyy-mm-dd. Deux améliorations sont nécessaires :

1- Utiliser un date-picker.
L'utilisation du est la solution la plus simple, mais le support n'est pas très complet (notamment Safari). Si on prend cette direction il faudra prévoir un fallback. À noter que la date de départ pourrait être pré-remplie avec la date d'aujourd'hui.

2- Validation de la date
En front et en back on doit s'assurer que les dates soient des dates valides et que la date de fin soit après la date de début.

• Supprimer Circle CI
• Voir pourquoi Circle CI n'est pas lancé sur les PR externe

• Suppression de la création de redirection pour les externes
• Suppression de la création d'une redirection en même temps que le compte

Constat

Beaucoup de personnes dans la communauté n'ont pas de lien avec quelqu'un de la communauté en dehors de leur équipe.
Quand il cherche un.e marrain.ne c'est compliqué à trouver.

Solution

• On peut faire la demande d'un.e marrain.ne dans l'app
• L'app tire au sort dans la communauté une personne présente depuis + de 6 mois
• La personne tiré au sort reçois un email, elle a 24h pour accepter l'invitation (Il y a 2 liens : Oui ou Non )
• Si au bout de 24h la personne n'a pas accepté ou si elle refuse avant 24h, on tire au sort une nouvelle personne
• Si une personne accepte, on met en relation

Si j'essai de créé 2 fois le compte le message d'erreur ne s'affiche pas

Log :

2020-07-24T22:51:41.050981+00:00 app[web.1]: Error: Vous n'avez pas le droits de créer le compte email de l'utilisateur
2020-07-24T22:51:41.050992+00:00 app[web.1]:     at module.exports.postEmail (/app/controllers/usersController.js:84:13)
2020-07-24T22:51:41.050993+00:00 app[web.1]:     at runNextTicks (internal/process/task_queues.js:62:5)
2020-07-24T22:51:41.050993+00:00 app[web.1]:     at processImmediate (internal/timers.js:429:9)

Solution :
Remplacer req.flash('error', err); par req.flash('error', err.message);

On ne devrait pas pouvoir faire de création de compte pour cette personne