Discussion :

[loic20h28]

Bonjour,

Je suis entrain de réaliser en local et pour mon plaisir un site marchand qui dans un premier temps vendrait des motos neufs.

Je souhaiterais avoir votre avis et vos conseils sur le fait d'installer une validation du compte après que l'utilisateur s'est inscrit c'est à dire l'utilisateur s'inscrit puis je pensait lui envoyer un mail pour lui signaler que son compte à bien été enregistré mais pour l'utiliser il faut qu'il le valide et pour cela il devra cliquer sur un lien se situant dans le mail où le valider directement sur le site.

Donc plusieurs questions sur ce sujet :
1) Que pensez-vous d'installer le système de validation de compte sur un site marchand ??
2) Dois-je le faire par mail où sur le site où les deux ??
3 Comment je pourrais faire par mail si je décide de le faire suite à vos réponse ??

Merci d'avance pour votre éclaircissement.

[keskidi]

Bonjour,

1) Que pensez-vous d'installer le système de validation de compte sur un site marchand ??

ça ne mange pas de pain, cela peut éviter certains moteurs de spams de venir polluer la base client, même si ça n'est pas forcement efficace, on peut toujours créer un mail pour l'occasion ou utiliser des adresses génériques qui seront traitées par un second passage.

2) Dois-je le faire par mail où sur le site où les deux ??

Un captcha est toujours le bienvenu, il est de plus en plus utile d'utiliser des captcha à question de type turing plutôt que des images, les nouveaux moyen de reconnaissance d'image étant de plus en plus poussé. Une combinaison javascript / langage serveur est également utile.
Maintenant, si tu utilises un paiement en ligne de type Paypal, tu peux aussi t'arranger pour stocker dans la base définitive les informations clients lorsque le paiement est validé. Il est rare que les emmerdeurs poussent le vice jusqu'à se payer une moto neuve - Evidemment, rien ne prouve qu'il paye avec sa carte, il vaut mieux avoir des délais de livraison un peu long, pour éviter de perdre une moto -

3 Comment je pourrais faire par mail si je décide de le faire suite à vos réponse ??

Il existe de multiples possibilités, envoyer un mail en php ne pose pas de problème en général (ça dépend surtout des hébergements), le principe est donc d'enregistrer les données dans la base d'y adjoindre un code UUID, d'envoyer un mail avec un lien vers une page particulière?ce code, si l'accès à cette page est réalisé avec le bon code, tu valides le compte client.
Tu peux aussi prévoir un délai, une tâche de fond qui fait le ménage dans tes clients non validés, ...

Quoi qu'il en soit, rien n'est sûr à 100%, on peut toujours naviguer avec une adresse IP masquée, de faux emails, et la carte bleue de la vieille qu'on vient d'enterrer dans sa cave, inutile donc de réaliser un développement de parano.

Il existe de nombreuses solutions e-commerce en open source, il est parfois plus simple de les adapter, je pense à Thelia par exemple.

[georgeduke]

Nous sommes en 2010... pensons à simplifier la vie de nos utilisateurs !

Je te conseille vivement de t'intéresser aux systèmes d'identification web tels que facebook, twitter, yahoo, OpenID, etc.

Ca contribuera à éviter la galère d'une création de compte par site

[keskidi]

Que des systèmes centralisés, avec recoupement d'informations ?
ça permettra de recevoir de la pub pour les autres sites de motos, intéressant pour un site de vente en ligne ...

[georgeduke]

Curieuse remarque qui fait penser que tu ne connais pas bien ce domaine. Il n'y a pas de recoupement d'information.

Il s'agit uniquement aux utilisateurs d'éviter de devoir créer x login, x mot de passes....

[loic20h28]

Bonjour,

Tout d'abord merci pour vos réponses.

Réponse à keskidi :

utiliser des adresses génériques qui seront traitées par un second passage.

Qu'entend tu par là car ce n'est pas très clair pour moi?

Un captcha est toujours le bienvenu, il est de plus en plus utile d'utiliser des captcha à question de type turing plutôt que des images, les nouveaux moyen de reconnaissance d'image étant de plus en plus poussé. Une combinaison javascript / langage serveur est également utile.

Tu me conseil donc de mettre un captcha en plus pour valider le compte lorsque c'est sur le site?

Maintenant, si tu utilises un paiement en ligne de type Paypal, tu peux aussi t'arranger pour stocker dans la base définitive les informations clients lorsque le paiement est validé. Il est rare que les emmerdeurs poussent le vice jusqu'à se payer une moto neuve - Evidemment, rien ne prouve qu'il paye avec sa carte, il vaut mieux avoir des délais de livraison un peu long, pour éviter de perdre une moto -

Je vais surement par la suite mettre paypal pour payer en ligne. A savoir que les utilisateurs doivent s'inscrire avant d'acheter et même de mettre un article(moto neuf) dans leur panier. Et surtout lorsqu'un utilisateur s'inscrit sur le site, il est impossible pour ce dernier d'utiliser une adresse mail déjà utiliser(lors d'une précédente inscription).

Il existe de nombreuses solutions e-commerce en open source, il est parfois plus simple de les adapter, je pense à Thelia par exemple.

Les solutions toutes faites ne m'intérrésse pas car comme déjà dit ce site je le réalise pour mon plaisir(il sera toujours en local) et pour évoluer dans mes connaissance.

Réponse à georgeduke :

Je te conseille vivement de t'intéresser aux systèmes d'identification web tels que facebook, twitter, yahoo, OpenID, etc.

Ca contribuera à éviter la galère d'une création de compte par site

Je n'est pas facebook.... donc je voit pas trop ce que tu veux dire par l'identifications web comme ces sites?
Qu'entend tu également par la création de compte par site?

Cordialement

[vic]

Hello,

moi j'irai plutôt dans l'autre sens que keskidi et je te conseillerais de mettre le moins d'obstacles possible à tes clients. Je n'ai plus les statistiques en tête mais un nombre significatif de clients potentiels abandonnent leur projet d'achat si l'inscription est trop compliquée.

Donc l'inscription simple sans vérification est le plus standard. L'idéal selon moi est même de pouvoir acheter sans s'inscrire du tout. On met ses articles dans son panier, on entre son adresse (qui sera mémorisée dans un cookie pour le prochain passage), on paie et c'est terminé. L'inscription doit pouvoir rester possible si le client veut un suivi. Pour des motos c'est un gros achat donc c'est peut-être plus rassurant d'avoir un compte.

Ne met surtout pas un captcha, personne ne le fait et la plupart du temps ils sont illisibles, tu risques de perdre des clients.

Le spam n'est pas réellement un problème pour un site de vente, à moins que tu aies des commentaires sur tes pages produit, et si jamais tu as du spam tu pourras toujours aviser à ce moment là. Et mieux vaut devoir faire une manip pour supprimer un message que perdre une vente, surtout si c'est une moto

[georgeduke]

Réponse à georgeduke :
Je n'est pas facebook.... donc je voit pas trop ce que tu veux dire par l'identifications web comme ces sites?
Qu'entend tu également par la création de compte par site?
Cordialement

Je suppose qu'actuellement tu dois toi-même être inscrit à différents sites web. A chaque fois, tu es passé par un formulaire d'inscription et tu as du choisir au minimum un mot de passe.
L'idée est de centraliser ton identité chez un fournisseur d'identité et ensuite tout site peut implémenter cet appel au fournisseur d'identité.

Ça évite aussi que chaque site doive redévelopper cette gestion de l'authentification qui est délicate d'un point de vue sécurité.

Même si c'est peut être un peu trop nouveau pour toi d'implémenter cela, tu trouveras un article bien fait pour avoir une idée de ce principe qui commence à être bien adopté : http://fr.wikipedia.org/wiki/Authentification_unique

[keskidi]

Bonjour,

Qu'entend tu par là car ce n'est pas très clair pour moi?

Afin de pouvoir polluer les bases de données dans le seul but de faire de la publicité pour le site x ou y, un certain nombre de moteurs existent sur la toile qui soumettent les formulaires d'inscription, de forum, ...
La plupart du temps, dans une base de données client, l'email est un identifiant unique, afin de pouvoir soumettre plusieurs fois le formulaire ces moteurs utilisent des adresses mail catchall nimportequoi@daube.org qui reçoit le courriel de confirmation, en faisant le lien entre l'adresse du courrier reçu et la soumission du formulaire, il est alors aisé de lancer le lien de validation, le moteur est donc inscrit dans ta base et ce autant de fois par seconde qu'il est possible de le faire, si un jour tu en as assez de devoir supprimer 500 comptes par jour, tu passeras peut être à une solution différente.

Tu me conseil donc de mettre un captcha en plus pour valider le compte lorsque c'est sur le site?

En plus, pas forcément, comme il existe plein de sites qui proposent des adresses mails temporaires ou la possibilités de créer des alias le temps de l'inscription, la vérification d'une adresse à un instant donnée, n'est pas une preuve que c'est une adresse correcte.
Cependant, un captcha réduit de manière drastique le nombre de soumission robotisé, comme le dit vic, les captchas graphiques sont parfois plus difficiles à reconnaitre par un humain que par les très bons programmes de reconnaissance que l'on trouve désormais chez les hackers. Par contre une questions bête du style : Combien font 3 fois deux ? ou Quel est la couleur du cheval blanc d'Henri IV ? Suffit à bloquer la plupart des programmes (pour le moment).

Je vais surement par la suite mettre paypal pour payer en ligne.

Lorsque Paypal reçoit un paiement, il peut envoyer au site web le NIP qui contient les informations relatives à la réussite ou à l'échec de la transaction, ça peut aussi permettre de valider ton compte client.

Et surtout lorsqu'un utilisateur s'inscrit sur le site, il est impossible pour ce dernier d'utiliser une adresse mail déjà utiliser

index unique => Echec de l'inscription dans la base de donnée

Les solutions toutes faites ne m'intérrésse pas car comme déjà dit ce site je le réalise pour mon plaisir(il sera toujours en local) et pour évoluer dans mes connaissance.

Certes, mais on peut aussi apprendre en regardant comment les autres ont fait pour passer cette difficulté et "tiens, je ne connaissais pas cette instruction, c'est génial ..."
A partir du moment où tu peux avoir les sources d'une applications, tu peux aussi t'en inspirer sur certain point.

Réponse à georgeduke :
Curieuse remarque qui fait penser que tu ne connais pas bien ce domaine. Il n'y a pas de recoupement d'information.
Il s'agit uniquement aux utilisateurs d'éviter de devoir créer x login, x mot de passes....

??? et comment fait bidule ID pour valider ton accès au site machin ?
J'ai un toto qui veut s'inscrire sur mon site qui vend des préservatifs, peux tu me confirmer qu'il est ok ?
Pas de problème - bon alors toto, il achète aussi des préservatifs ... je le note
Tu penses réellement que les régies publicitaires google, facebook, yahoo, te proposent des services gratuits sans avoir de retombées ?
D'autre part, que feras tu demain si bidule subit un crash (boursier, disque, électrique, hacking, ... ) qui te fait perdre toutes tes données ?
- La journée sans google - Plus de map, plus de mail, plus de ...

En résumé : Pour la sécurité par rapport à la personne qui s'inscrit, il est impossible d'avoir la preuve que machin est bien machin, il n'est donc pas très utile de complexifier énormément.
Par contre, il peut très vite devenir problématique d'avoir de fausses inscriptions à la pelle par des moteurs car tu te retrouves avec ta base de données qui augmente régulièrement avec des données qui ne font que te pourrir la vie, pour éviter ça, le captcha est une bonne solution.

[loic20h28]

Bonjour,

Réponse à vic :

Donc l'inscription simple sans vérification est le plus standard. L'idéal selon moi est même de pouvoir acheter sans s'inscrire du tout. On met ses articles dans son panier, on entre son adresse (qui sera mémorisée dans un cookie pour le prochain passage), on paie et c'est terminé. L'inscription doit pouvoir rester possible si le client veut un suivi. Pour des motos c'est un gros achat donc c'est peut-être plus rassurant d'avoir un compte.

Je suis d'accord avec toi sur le fait que c'est plus simple lorsqu'il n'y à pas besoin de s'inscrire mais pour un achat de moto personnellement je préférerais m'inscrire et je trouve que ça rassure et que c'est plus professionnel.

Le spam n'est pas réellement un problème pour un site de vente, à moins que tu aies des commentaires sur tes pages produit, et si jamais tu as du spam tu pourras toujours aviser à ce moment là. Et mieux vaut devoir faire une manip pour supprimer un message que perdre une vente, surtout si c'est une moto

Dans l'avenir je compte faire en sorte que les membres du sites puissent laisser des commentaires sur les articles mais je voit pas trop en quoi il y aura du spam??


Réponse à georgeduke :

Je suppose qu'actuellement tu dois toi-même être inscrit à différents sites web. A chaque fois, tu es passé par un formulaire d'inscription et tu as du choisir au minimum un mot de passe.
L'idée est de centraliser ton identité chez un fournisseur d'identité et ensuite tout site peut implémenter cet appel au fournisseur d'identité.

Ça évite aussi que chaque site doive redévelopper cette gestion de l'authentification qui est délicate d'un point de vue sécurité.

Même si c'est peut être un peu trop nouveau pour toi d'implémenter cela, tu trouveras un article bien fait pour avoir une idée de ce principe qui commence à être bien adopté : http://fr.wikipedia.org/wiki/Authentification_unique

Ok merci pour toutes ces explications mais vu que c'est un site qui restera en local je pense laisser comme cela mais ceci est très intéressant.


Réponse à keskidi:

Certes, mais on peut aussi apprendre en regardant comment les autres ont fait pour passer cette difficulté et "tiens, je ne connaissais pas cette instruction, c'est génial ..."
A partir du moment où tu peux avoir les sources d'une applications, tu peux aussi t'en inspirer sur certain point.

Ce n'est pas faux


En tout cas merci à tous de prendre de votre temps pour me répondre.

Cordialement.