Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Hard-code doesServerSupportLogoutDevices = true #310

Merged
merged 6 commits into from
Nov 30, 2022

Conversation

estellecomment
Copy link
Contributor

@estellecomment estellecomment commented Nov 18, 2022

@jdauphant
Copy link
Contributor

Blocked by #311
Linked to : "Authorization: Bearer undefined"

@estellecomment
Copy link
Contributor Author

Checkbox appears, and does change the password without logging out other sessions.
If you check it, it changes the password and logs out other sessions.

BUT when you click the link in email, you get to the confirmation page served by the backend. It still says it will disconnect all devices, even though it doesnt :

" Si vous êtes bien à l'origine de cette demande, prenez en compte les points suivants :

**Vous serez déconnecté de Tchap sur tous vos appareils à la fin de la procédure**
Si vous voulez pouvoir lire votre historique de messages, vous devez utiliser la fonctionnalité "exporter les clés" sur chacun de vos appareils
Si vous n'avez pas besoin de votre historique de messages, vous n'avez pas d'action à faire et vous pouvez continuer la procédure de réinitialisation de mot de passe

"

That's confusing. Maybe we can change this before releasing, to avoid more confusion ?

@estellecomment estellecomment marked this pull request as ready for review November 23, 2022 10:59
@odelcroi
Copy link
Member

odelcroi commented Nov 28, 2022

  • I would suggest to change the text of the confirmation page and email with, what you think @Caroline-lawson ?

Si vous l'avez explicitement demandé lors de la demande, vous serez déconnecté·e de Tchap sur tous vos appareils (ordinateur et mobile). Auquel cas pour conserver votre historique de messages, vous devez utiliser la fonctionnalité "exporter les clés" sur chacun de vos appareils.

En cas de doute, réalisez une nouvelle demande.

https://github.com/tchapgouv/tchap-infra/blob/master/ansible/roles/matrix-synapse-dinsic/files/res/password_reset.txt
https://github.com/tchapgouv/tchap-infra/blob/master/ansible/roles/matrix-synapse-dinsic/files/res/password_reset_confirmation.html
https://github.com/tchapgouv/tchap-infra/blob/master/ansible/roles/matrix-synapse-dinsic/files/res/password_reset.html

@odelcroi odelcroi closed this Nov 28, 2022
@odelcroi odelcroi reopened this Nov 28, 2022
@odelcroi
Copy link
Member

odelcroi commented Nov 29, 2022

To have in mind :
1 - iOs and Android doesn't display the checkbox, the default value is logoutAllDevices = true
2 - Web can display the checkbox, so users can set logoutAllDevices = false

Proposal :

  • We ease the reset password for web users by not displaying the checkbox and set logoutAllDevices = false by default
  • iOs and Android clients are not changed for the moment, they will be in the next release to match web client logic
  • Advanced users will still be able to disconnect sessions with the settings> security panel

The text will look like this :

Une demande de réinitialisation de mot de passe a été reçue pour votre compte Tchap. Vous pouvez ignorer ce message si ce n'est pas le cas.

Si vous avez effectué la demande depuis un ordinateur, veuillez cliquer sur le lien suivant : lien

Si vous avez effectué la demande depuis un mobile et vous voulez conserver vos messages :
1 - sauvegardez d'abord vos Clés Tchap pour pouvoir récupérer tous vos messages après le changement de mot de passe - sinon ils seront tous effacés lien faq
2 - veuillez cliquer sur le lien suivant : lien

Si pour des raisons de sécurité (perte d'un appareil par exemple), vous souhaitez déconnecter vos appareils, vous pouvez les déconnecter individuellement dans vos paramètres rubrique sécurité. lien faq

@odelcroi
Copy link
Member

odelcroi commented Nov 30, 2022


Counter Proposal of keeping the checkbox:

Capture d’écran 2022-11-30 à 15 20 22


Warning message if checkbox is true

Capture d’écran 2022-11-30 à 15 20 40

TEXT :
Bonjour,

Une demande de réinitialisation de mot de passe a été reçue pour votre compte Tchap.

Si vous n'êtes pas à l'origine de cette demande, vous pouvez ignorer cet email et contacter immédiatement le support : support@tchap.beta.gouv.fr

Sinon prenez bien en compte les points suivants :

  • Sauf si vous l'avez explicitement demandé, vos messages seront verrouillés et vous serez déconnecté de Tchap sur tous vos appareils à la fin de la procédure.
  • Avant de terminer la procédure, sauvegardez vos Clés Tchap pour pouvoir déverrouiller vos messages - sinon ils resteront verrouillés : https://tchap.beta.gouv.fr/faq#tcq07_002

Pour continuer, veuillez cliquer sur le lien suivant (ou le copier-coller dans un navigateur) pour confirmer la réinitialisation :
{{ link }}

Merci,
L'équipe Tchap

@mcalinghee mcalinghee merged commit a6fb4d9 into develop_tchap Nov 30, 2022
@Caroline-lawson
Copy link

Could we specify that "messages verrouillés" means "vous ne pourrez plus lire vos messages" ?

Users who haven't encountered the problem yet will not understand what "messages verrouillés" means.

It would be useful to have the wording "messages verrouillés" and the explanation "vous ne pourrez plus lire vos messages".

@jdauphant
Copy link
Contributor

Maybe we can take a look of documentation about similar apps.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Labels
None yet
Projects
None yet
Development

Successfully merging this pull request may close these issues.

5 participants