Verbose pour code boitier clefs

[janssens]

Aujourd'hui le cas ou 2 bénévoles sur 3 se sont inscrites après que le dernier code ai été généré. Sans changer la logique, adapter l'affichage :

• "Tu n'as pas accès au code parce que ...".
• "Sur ce créneau, voici les membres qui ont accès au code" Prévoir également un mail d'alerte admin quand un créneau vide se rempli le jour même (code alors non disponible pour le nouvel inscrit)

[museOnSite]

Je ne comprends pas pourquoi le code n'est pas disponible si tu t'inscris après sa génération ?

[janssens]

C'est un contrainte que j'ai souhaité ajouter pour plus de sécurité. Peut-être que ce n'est pas justifié et que personne ne sera jamais mal intentionné. Mais je me dis qu'on est plus de 1000 (tout bénéficiaire confondu) et que 1/1000 qui serait ou deviendrait malveillant est suffisant.

Mon principal souci et qu'on ne vérifie pas l'identité de nos membres. Donc, je peux m'inscrire avec le pseudo "Louis Mandrin", donner 1€ symbolique et devenir membre. Une fois membre, si le code est disponible pour tous sans cette condition, il suffit de guetter un créneau vide, de savoir que du coup l'épicerie sera fermée par les bénévoles d'avant. Une fois l'épicerie fermée, on s'inscrit, on a accès au code, on ouvre on prend tout, on se casse sans croiser un seul humain et donc de manière anonyme. En étant obligé de s'inscrire avant que le code soit généré pour y avoir accès, on ne peux pas profiter d'une occasion pour intercepter les clefs. Et le fait d'être inscrit à l'avance ne permet pas facilement de se retrouver seul sur un créneau (uniquement la chance, une fois toutes les 4 semaine) ni de ne croise personne (via le recouvrement, "tiens le bénévole suivant n'est pas là, je vais attendre, prévenir, ...").

[museOnSite]

C'est effectivement bien vu par contre je pense que c'est un peu trop overkill. Il faudrait vraiment que le mec connaisse cette faille. Je pense qu'il y a des centaines d'autres failles à exploiter avant d'en arriver là. Cette règle (entre autres) occasione des cas de bénévoles à la porte en ce moment.

[janssens]

SI tu vois d'autre faille, c'est cool de les identifier aussi :) peut-être pas sur github... haha

L'accés est impossible uniquement si toutes les personnes du créneau se sont inscrites après le changement de code, ceci n'arrive jamais ou presque jamais (créneau vide la veille à la fermeture).

Pour samedi, avec le message indiquant quel membre avait accès au code il n'y aurait pas eut de problème. Si tu penses vraiment qu'on doit fait péter ça, je veux que ce soit une décisition collective car c'est une faiblesse volontairement non traitée.

Une solution que je préférerai, c'est comme sur blablacar ou couchsurfing par exemple, c'est de marquer un membre comme "vérifié" si on a contrôlé son identité (via des papier officiel au bureau des membres). Un membre vérifié peu alors avoir accès au code plus simplement et par exemple n'importe quand, en demandant le code sur l'espace membre et en le recevant par email (double check d'identité).

[museOnSite]

Oui c'est sûr que cette décision doit être prise de manière démocratique. C'est d'ailleurs un point que je voulais remonter de manière générale. Nous 3 (Yoann, toi et moi) codons des choses sans les avoir spécifié complètement en gestion avant. Je pense qu'il faudrait améliorer cela.

Dans la philosophie je préfère l'autre solution que tu proposes, mais c'est sûr que c'est plus lourd.

Sinon on peut faire plus simple, les débutants (pas de créneau déjà réalisé) n'ont pas accès au code. Comme de toute façon ils ne peuvent pas s'inscrire tant qu'une autre personne n'est pas inscrite ça marche pas mal.

[janssens]

Oui, cela rejoint les problématiques évoqué sur MM, sur l'arbre de décision et le moyen d'identifier le publique concerné devant être parti prenante et/ou averti dans les prises de décisions choix. Ce travail est à mener. il nous manque.

Quand j'ai implémenté le boitier il n'y avait pas cette restriction sur l'inscription à un créneau vide. Aujourd'hui cela n'est en effet plus possible pour les nouveaux membres, c'est déjà plus sécurisant en effet. On peux donc envisager de lever la restriction sur l'ordre génération code / inscription créneau et discuter pour éventuellement programmer la solution plus complète proposée.

[janssens]

Je prends ce point.