social-network-anti-patterns-fr: Difference between revisions
([fr:sync'd with english version]) |
m (Replace <entry-title> with {{DISPLAYTITLE:}}) |
||
(5 intermediate revisions by one other user not shown) | |||
Line 1: | Line 1: | ||
{{ | {{DISPLAYTITLE:Anti-patterns des Réseaux Sociaux}} | ||
Alors que la [[social-network-portability-fr|portabilité du réseau social]] documente ce qu'il y a à produire pour mettre votre site sur le web social ouvert et soit un bon service orienté-utilisateur, il a été constaté que tout le monde ne suit pas de tels conseils et que certains optent à la place pour un ensemble de tactiques alternatives moins conviviales pour l'utilisateur. Cette page documente de tels [[anti-patterns-fr|anti-modèles]] d'implémentations de réseaux sociaux et fournit (malheureusement) de véritables exemples de tels sites si mal conçus. | |||
== Spammer vos contacts == | == Spammer vos contacts == | ||
Bon nombre de sites de réseaux sociaux vous demandent de <span id="Télécharger votre Carnet d'Adresses">télécharger votre carnet d'adresses</span>, ou de "Trouver Vos Amis", alors que la | Bon nombre de sites de réseaux sociaux vous demandent de <span id="Télécharger votre Carnet d'Adresses">télécharger votre carnet d'adresses</span>, ou de "Trouver Vos Amis", alors que la fonctionnalité ne consiste vraiment qu'à '''Spammer vos contacts'''. | ||
Ces sites semblent utiliser le téléchargement d'un carnet d'adresses comme une permission tacite/implicite de spammer tous vos amis avec des invitations, et vous font | Ces sites semblent utiliser le téléchargement d'un carnet d'adresses comme une permission tacite/implicite de spammer tous vos amis avec des invitations, et vous font passer pour un idiot. | ||
* [http://twitter.com/spiller2/statuses/811960394 Stephen Spillane s'est excusé le 2008-05-15] auprès de ses amis pour ce qui semble un spam involontaire du fait d'une invitation à un réseau social : <blockquote><p>"apologies to anyone who got an annoying invite from me to some stupid social network. The things men make me do"</p></blockquote> | |||
* [http://twitter.com/ | |||
Rendre les utilisateurs ennuyeux et stupides auprès de leurs amis n'est pas un bon design. | |||
Ce comportement de spamming est désormais si mauvais que les utilisateurs en sont venus à créer des comptes e-mail afin d'éviter le problème en toute connaissance de cause : | |||
* [http://twitter.com/lisamac/statuses/239777272 Lisa McMillan sur Twitter le 2007-08-31] <blockquote><p>"getting a special email account with no contacts for signing up to social networks. Then, I won't mind when they hijack my address book."</p></blockquote> | |||
Apparemment ce contact spam a au moins dans un cas pris la forme d'un spam de messagerie-instantanée (spim) qui est ensuite utilisé pour répandre un virus basé-sur-le-contact ! | |||
* [http://twitter.com/theinfonaut/status/1246859290 Leslie Chicoine sur Twitter le 2009-02-24] <blockquote><p>There's a contacts based virus going around, don't give your IM, Yahoo, Google Contacts etc. info to any website!</p></blockquote> | |||
Solution : supporter à la place la [[social-network-portability-fr|portabilité du réseau social]] et non pas le spam du carnet d'adresses. | |||
Pour en savoir plus sur la raison pour laquelle c'est un anti-pattern : | Pour en savoir plus sur la raison pour laquelle c'est un anti-pattern : | ||
* 2007-12-19 [http://factoryjoe.com/blog/2007/12/19/public-nuisance-1-importing-your-contacts/ Chris Messina: Public nuisance #1: Importing your contacts] | * 2007-12-19 [http://factoryjoe.com/blog/2007/12/19/public-nuisance-1-importing-your-contacts/ Chris Messina: Public nuisance #1: Importing your contacts] | ||
Voici quelques sites qui | Voici quelques sites qui pratiquent ça en ce moment : | ||
=== Invitations Bebo === | |||
Bebo semble avoir une interface utilisateur qui fait qu'il est trop facile pour les utilisateurs de spammer tout le monde sans le savoir dans son carnet d'adresses. | |||
L'évidence que les utilisateurs ont sans le vouloir envoyé des spams d'invitations à leurs contacts : | |||
Comme cela [http://twitter.com/walelia/statuses/771302864 fut remarqué par Valerie Noble le 2008-03-13] : <blockquote><p>"What the hell, I stupidly sent bebo invites to eveyone in my address book. Boo!"</p></blockquote> | |||
et [http://twitter.com/cksthree/statuses/773542421 l'utilisateur C.K. Sample III le 2008-03-18] : <blockquote><p>"signed up for bebo. sorry to everyone in my address book who got spammed by the sign up. I thought it would work more like twitter"</p></blockquote> | |||
L'évidence que les utilisateurs reçoivent des spams d'invitation Bebo : | |||
[http://twitter.com/frankensite/statuses/774020094 Brian Alvey remarque le 2008-03-19] : <blockquote><p>"Considering deleting the duplicate Bebo invitations I'm getting. Everyone has 3+ addresses for me. Another address book spam engine. Hurray!"</p></blockquote> | |||
Encore un problème en mai 2008 : | |||
[http://twitter.com/cmpayne/statuses/811938598 Cameron Payne was unpleasantly surprised on 2008-05-15]: <blockquote><p>"goddamn Bebo just invited *everyone* in my Yahoo address book. I don't think I told it to do that. WTF!? Beware!"</p></blockquote> | |||
=== Goodreads are your friends already on === | |||
Goodreads a aussi une interface utilisateur qui vous aiguille mal même pour les utilisateurs très connaisseurs pour spammer à votre insu tout votre carnet d'adresses. | |||
[http://flickr.com/photos/redcarpet/2619408018/in/photostream/ http://farm4.static.flickr.com/3114/2619408018_25c0147054.jpg] | |||
[http://www.mickipedia.com/ Micki Krimmell] a écrit à la fois un [http://www.mickipedia.com/?p=1174 billet de blog] et un [http://getsatisfaction.com/goodreads/topics/why_did_goodreads_trick_me_into_spamming_my_entire_address_book post sur GetSatisfaction] décrivant son expérience de se faire duper pour spammer tous ses amis. | |||
Un représentant de Goodreads a suivi sur à la fois le billet de blog de Micki et le post de Getsatisfaction, néanmoins, à la limite de ce qui est connu à cette heure, l'interface-utilisateur de Goodreads n'a pas été modifiée/améliorée pour être moins trompeuse. | |||
=== Quechup trouve vos amis sur === | === Quechup trouve vos amis sur === | ||
[http://www.flickr.com/photos/chrishambly/1302362704/ http://farm2.static.flickr.com/1339/1302362704_63d97a8930.jpg] | [http://www.flickr.com/photos/chrishambly/1302362704/ http://farm2.static.flickr.com/1339/1302362704_63d97a8930.jpg] | ||
Line 40: | Line 72: | ||
* Antipattern Mot de Passe | * Antipattern Mot de Passe | ||
Donner à n'importe quel site vos permissions d'identification pour un autre site ou service est une <strong>très mauvaise idée.</strong> Vous ne pouvez pas avoir confiance dans le fait que le site traitera vos informations d'authentification avec le soin approprié (par ex. Quechup utilise cet | Donner à n'importe quel site vos permissions d'identification pour un autre site ou service est une <strong>très mauvaise idée.</strong> Vous ne pouvez pas avoir confiance dans le fait que le site traitera vos informations d'authentification avec le soin approprié (par ex. Quechup utilise cet anti-modèle pour implémenter [[#Spammer_vos_contacts|l'anti-modèle du dessus spammer tout le monde dans votre carnet d'adresses]]). | ||
C'est aussi un très mauvais design d'interface utilisateur. Ces sites qui vous demandent votre login (que ce soit gmail ou d'autres services) sont en train d'enseigner une très mauvaise habitude aux utilisateurs, une habitude qui est voisine de ce dont dépendent les sites de phishing. | C'est aussi un très mauvais design d'interface utilisateur. Ces sites qui vous demandent votre login (que ce soit gmail ou d'autres services) sont en train d'enseigner une très mauvaise habitude aux utilisateurs, une habitude qui est voisine de ce dont dépendent les sites de phishing/hameçonnage. | ||
Ne demandez pas utilisateurs leurs login / mot de passe pour un autre site comme gMail, etc. | Ne demandez pas utilisateurs leurs login / mot de passe pour un autre site comme gMail, etc. | ||
Solution: | |||
* laisser tomber le support d'importation pour les sites qui n'offrent pas de listes d'amis hCard+XFN et/ou [[OAuth]]. | |||
** Noter que last.fm a laissé tomber le support de leur anti-modèle mot de passe dans le redesign récent (juin 2008)! | |||
* supporter [[social-network-portability-fr|portabilité du réseau social]]. | |||
* et si vous le devez, supportez les APIS propriétaires spécifiques aux sites qui s'appuient sur OAuth, par ex. Google Address Book API, Yahoo Address Book API. | |||
=== Billets === | |||
Lisez en plus à ce sujet : | Lisez en plus à ce sujet : | ||
* 2007-08-14 [http://www.brianoberkirch.com/2007/08/14/two-social-system-design-trends-that-should-really-really-stop-like-now/ Brian Oberkirch: Two social system design trends that should really, really stop. like now.] | * 2007-08-14 [http://www.brianoberkirch.com/2007/08/14/two-social-system-design-trends-that-should-really-really-stop-like-now/ Brian Oberkirch: Two social system design trends that should really, really stop. like now.] | ||
* 2007-10-11 [http://adactio.com/journal/1357 Jeremy Keith: The password anti-pattern] | * 2007-10-11 [http://adactio.com/journal/1357 Jeremy Keith: The password anti-pattern] | ||
* 2008-01-04 [http://www.brianoberkirch.com/2008/01/04/this-antipattern-is-kryptonite-to-the-open-social-web/ Brian Oberkirch: this antipattern is kryptonite to the open social web] | * 2008-01-04 [http://www.brianoberkirch.com/2008/01/04/this-antipattern-is-kryptonite-to-the-open-social-web/ Brian Oberkirch: this antipattern is kryptonite to the open social web] | ||
* 2008-03-15 [http://adactio.com/journal/1421/ Jeremy Keith: Anti-pattern begone] (mentions Google announcement of their Contacts Data API) | |||
* 2008-06-04 [http://adactio.com/journal/1475/ Jeremy Keith: Making contact] (mentions the Yahoo announcement of the release of their Address Book API). | |||
* 2008-07-15 [http://getsatisfaction.com/pownce/topics/why_does_pownce_keep_killing_kittens_with_the_password_anti_pattern Jeremy Keith: Why does Pownce keep killing kittens with the password anti-pattern?] | |||
* 2008-09-23 [http://pownce.com/adactio/notes/3571554/ Jeremy Keith pownces Either the password anti-pattern goes or I do.] | |||
* 2008-09-25 [http://adactio.com/journal/1513/ Jeremy Keith: Anti-pattern recognition] | |||
=== Excuses et réponses=== | |||
* Quelques acteurs majeurs n'aident pas la cause. | |||
** Tout simplement parce que quelqu'un/quelque chose d'autre de plus important se porte mal, il n'y pas d'excuse pour vous de faire ainsi. | |||
* Nous suivons les pratiques communément admises | |||
** Tout simplement parce que beaucoup de gens se comportent mal, il n'y a pas d'excuse pour vous de faire aini. | |||
* Variante : Nous implémentons le même code que Facebook et Twitter aussi nous sommes allés pour les meilleures pratiques. | |||
** Implémenter le même code n'est pas une "best practice". Implémenter le même code dans ce cas est le plus petit dénominateur commun. | |||
* Nous ne sommes pas dans une position si forte pour laisser tomber le support. | |||
** Bien sûr que vous en êtes ! précisément pcq vous êtes petit. Vous avez moins à perdre. | |||
** Si vous prenez combat public avec un acteur majeur se comportant mal là-dessus, devinez qui gagne ? Si la presses le couvre comme le petit vs le gros... etc. | |||
* Notre croissance est plate ! | |||
** Exactement - cela ne la changera pas. Mais peut être qu'un peu de pub peut aider. | |||
* Nous pourrions implémenter les APIS de carnet d'adresses propriétaires basées sur OAuth, mais nous devraions investir le temps de développement pour faire Facebook, Yahoo et Google. | |||
** Désactiver le code d'anti-modèle du mot de passe dans l'intervalle. | |||
* L'inconvénient est que notre croissance est stagnante, nous avons besoin de produire des fonctionnalités qui rapportent, et ce n'est pas dans le haut de la liste des fonctionnalités qui pourront faire ça pour nous. | |||
** C'est l'argument coût/opportunité. Le même problème que de réparer les usines qui polluent vs construire de nouvelles usines. | |||
* Pourquoi les gens menacent de nous quitter ou pire ? | |||
** Sans pression de la communauté, les sociétés ne changent pas. | |||
* Je pense que nous avons gagné un peu le bénéfice du doute que nous ne sommes pas "l'industrie". | |||
** Avoir une interface "polluante" au quotidien veut dire pas de bénéfice du doute. | |||
==== Analogie avec la Pollution ==== | |||
L'anti-pattern mot de passe = enseigner aux gens à se polluer eux-mêmes. | |||
* Simplemnet parce que tous les autres polluent, ne veut pas dire que cela fait sens pour vous de faire ainsi. | |||
* Les usines polluantes ont besoin d'être réparées tout comme de nouvelles usines ont besoin d'être construites. | |||
* Sans pression/embarrassements des environementalistes, les sociétés qui polluent ne changent pas. | |||
* Pourquoi ne pas concentrer vos efforts sur les énormes pollueurs comme... au lieu de ma petite société ? | |||
** Parce que c'est plus facile de mettre la pression vers des types plus petits pour changer d'abord. Quelques tactiques ont fonctionné pour les écologistes. Alors, ils utiliseraient de plus petites victoires pour en gagner de plus grosses, jusqu'à ce qu'ils marquent suffisamment de victoires pour faire que les gros types paraissent *vraiment* mauvais. | |||
Voici quelques sites qui sont en train de faire ça en ce moment : | Voici quelques sites qui sont en train de faire ça en ce moment : | ||
=== Blipfm est meilleurs avec les amis === | |||
[http://www.flickr.com/photos/tantek/3199489045/ http://farm4.static.flickr.com/3389/3199489045_7169ea1a63.jpg] | |||
'''[http://blip.fm Blip.fm]''' - Sa fonctionnalité "Import Address Book" demande que vous entriez votre nom d'utilisateur et mot de passe pour vos fournisseurs d'email : yahoo, gmail, hotmail, aol, msn. | |||
=== Facebook Connect === | |||
Selon [http://micro.ben-ward.co.uk/post/65425363/facebook-connect le billet de Ben Ward sur Facebook Connect], cette interface-utilisateur : | |||
[http://micro.ben-ward.co.uk/post/65425363/facebook-connect http://5.media.tumblr.com/5vUVOHNMPhm1sj7138AlwQXho1_400.png] | |||
semble encourager les utilisateurs à entrer leur adresse email et mot de passe dans quelque chose de ressemblant visuellement (mais facile à imiter) fenêtre pop up sur ''n'importe quel'' site. | |||
Par conséquent, tout ce qu'un site malicieux aurait à faire est de poser un bouton disant "Login with Facebook Connect", puis afficher un popup virtuel stylisé à l'identique, et l'utilisateur qui s'est vu emmené par l'IU Facebook Connect, entrera simplement son adresse email et son mot de passe. | |||
Il y a aussi une relance plus détaillée sur les visions de Ben à propos de l'IU Facebook Connect [http://ben-ward.co.uk/blog/oauth-flow/ sur son blog] — et des compléments pour la version alternative, elle utilise le iframe pur améliorer l'UX pour les utilisateurs qui sont déjà "connectés" sur Facebook. | |||
=== Facebook regarde si plus d'amis se sont joints === | === Facebook regarde si plus d'amis se sont joints === | ||
Line 59: | Line 148: | ||
'''[http://facebook.com Facebook]''' - La fonctionnalité "see if more friends have joined Facebook" vous fournit un menu popup pour saisir les mots de passe pour de nombreux sites. | '''[http://facebook.com Facebook]''' - La fonctionnalité "see if more friends have joined Facebook" vous fournit un menu popup pour saisir les mots de passe pour de nombreux sites. | ||
=== GetSatisfaction Twitter This widget === | |||
Comme le [http://twitter.com/adactio/status/1020708247 soulignait Jeremy Keith], le widget [http://getsatisfaction.com GetSatisfaction] "Twitter This" requête apparamment votre nom d'utilisateur et votre mot de passe. <strong>(écran demandé)</strong> | |||
Voir le fil de discussion sur GetSatisfaction "[http://getsatisfaction.com/getsatisfaction/topics/stop_asking_for_twitter_passwords Stop asking for Twitter passwords]" pour en savoir plus | |||
=== Nsyght importe votre profil et vos amis === | === Nsyght importe votre profil et vos amis === | ||
Line 65: | Line 159: | ||
'''[http://nsyght.com Nsyght]''' - Enregistrer un compte pour importer à partir de Digg, Pownce, Last.fm, et Twitter (le site est en apha publique) | '''[http://nsyght.com Nsyght]''' - Enregistrer un compte pour importer à partir de Digg, Pownce, Last.fm, et Twitter (le site est en apha publique) | ||
* Malheureusement la fonctionnalité "import from Digg, Pownce, Last.fm, and Twitter" s'appuie sur la saisie de votre nom d'utilisateur et mot de passe vers ces sites, ce qui est ironique parce que ces sites supportent les microformats et la [[social-network-portability-fr|portabilité du réseau social]] ! | * Malheureusement la fonctionnalité "import from Digg, Pownce, Last.fm, and Twitter" s'appuie sur la saisie de votre nom d'utilisateur et mot de passe vers ces sites, ce qui est ironique parce que ces sites supportent les microformats et la [[social-network-portability-fr|portabilité du réseau social]] ! | ||
=== Plaxo - cherche vos amis dans votre carnet d'adresses === | |||
[http://www.flickr.com/photos/manveru/3215481930/ http://farm4.static.flickr.com/3088/3215481930_979c0a7f61.jpg] | |||
'''[http://plaxo.com plaxo]''' - demande sous plusieurs formulaires les mots de passes de différents services email. | |||
=== Plinky - Find Your Friends === | |||
[http://www.flickr.com/photos/tantek/3218629483/ http://farm4.static.flickr.com/3335/3218629483_e40019cac9.jpg] | |||
'''[http://plinky.com Plinky]''''s "Find Your Friends" feature, which it presents to every newly signed up user, asks for your email address and password for a variety of services. | |||
As [http://twitter.com/dewitt/status/1145448221 DeWitt tweeted]: <blockquote><p>Google, Yahoo, and Microsoft all support browser-based delegated authorization apis for contacts. Plinky should use those apis.</p></blockquote> | |||
See also [http://friendfeed.com/e/6ff1f9ce-df01-4250-05de-c7009f31925f/Wow-Plinky-usernames-are-going-faster-than/ this thread by Jason Shellen (CEO of Plinky)] who says some hopeful things: <blockquote><p>DeWitt - You make a good point. I'll discuss it with the team Monday. In other news, we do support OAuth for posting to Blogger.</p></blockquote> | |||
=== Quechup quels amis l'utilisent déjà === | === Quechup quels amis l'utilisent déjà === | ||
Line 75: | Line 183: | ||
ShareThis vous demande votre nom d'utilisateur et votre mot de passe vers les services d'email et sites de réseaux sociaux. | ShareThis vous demande votre nom d'utilisateur et votre mot de passe vers les services d'email et sites de réseaux sociaux. | ||
=== Twitter are your | === SlideShare formulaire enregistrement === | ||
Comme le [http://twitter.com/adactio/status/1020670561 soulignait Jeremy Keith], le [http://www.slideshare.net/signup formulaire d'enregistrement de SlideShare] vous demande (dans cet ordre) | |||
* Username | |||
* Email Address | |||
* Password | |||
* Confirm Password | |||
<strong>(screenshot needed)</strong> | |||
Du fait de la proximité des champs "Adresse email" et "mot de passe", il est facile de se tromper pour vous demander votre adresse email et mot de passe d'email. Peut-être est-ce vous demander votre mot de passe email ? Ou peut-être il vous demande ça plus tard dans le processus. Des screenshots aideraient. | |||
Voir le fil de discussion support GetSatisfaction "[http://getsatisfaction.com/slideshare/topics/asking_for_3rd_party_passwords Asking for 3rd party passwords]" pour en savoir plus. | |||
=== StockTwits login === | |||
[http://www.flickr.com/photos/factoryjoe/3061262427/ http://farm4.static.flickr.com/3010/3061262427_3775189375.jpg] | |||
StockTwits.com asks you to "Login" with your Twitter username and password. StockTwits is not run by Twitter, therefore they are asking you for your username and password to another site. | |||
=== Twitpic connexion sur twitter === | |||
[http://flickr.com/photos/ronin691/2368324013/ http://farm3.static.flickr.com/2166/2368324013_0a15d337c0.jpg] | |||
Twitpic vous demande de saisir votre nom d'utilisateur et mot de passe Twitter. Attention, Twitpic n'est pas le même site, et il n'est pas motorisé par les mêmes types et la même société. | |||
=== Twitter "est-ce que vos amis sont dessus" === | |||
[http://www.flickr.com/photos/ronin691/2110909518/ http://farm3.static.flickr.com/2179/2110909518_fde956c2ee.jpg] | [http://www.flickr.com/photos/ronin691/2110909518/ http://farm3.static.flickr.com/2179/2110909518_fde956c2ee.jpg] | ||
Line 82: | Line 212: | ||
Nous aurons besoin de les appeler pour supporter l'anti-pattern "mot de passe d'un tiers" | Nous aurons besoin de les appeler pour supporter l'anti-pattern "mot de passe d'un tiers" | ||
Au titre de co-auteurs de [[ | Au titre de co-auteurs de [[oauth-fr|Oauth]], SVP Twitter, implémentez et évangélisez cette voie (peut-être même sur cette page "are your friends on"), plutôt que cet anti-pattern. | ||
=== TwitterNotes === | |||
[http://flickr.com/photos/guspim/2138354357/ http://farm3.static.flickr.com/2221/2138354357_0c566fd62e.jpg] | |||
'''[http://twitternotes.com/ TwitterNotes]''' vous demande de vous connecter avec votre nom d'utilisateur et mot de passe : "login with your Twitter account". Ni le même site, ni la même société et ni les mêmes personnes qui font fonctionner la société. | |||
== S'inscrire pour nettoyer le profil == | == S'inscrire pour nettoyer le profil == |
Latest revision as of 16:33, 18 July 2020
Alors que la portabilité du réseau social documente ce qu'il y a à produire pour mettre votre site sur le web social ouvert et soit un bon service orienté-utilisateur, il a été constaté que tout le monde ne suit pas de tels conseils et que certains optent à la place pour un ensemble de tactiques alternatives moins conviviales pour l'utilisateur. Cette page documente de tels anti-modèles d'implémentations de réseaux sociaux et fournit (malheureusement) de véritables exemples de tels sites si mal conçus.
Spammer vos contacts
Bon nombre de sites de réseaux sociaux vous demandent de télécharger votre carnet d'adresses, ou de "Trouver Vos Amis", alors que la fonctionnalité ne consiste vraiment qu'à Spammer vos contacts.
Ces sites semblent utiliser le téléchargement d'un carnet d'adresses comme une permission tacite/implicite de spammer tous vos amis avec des invitations, et vous font passer pour un idiot.
- Stephen Spillane s'est excusé le 2008-05-15 auprès de ses amis pour ce qui semble un spam involontaire du fait d'une invitation à un réseau social :
"apologies to anyone who got an annoying invite from me to some stupid social network. The things men make me do"
Rendre les utilisateurs ennuyeux et stupides auprès de leurs amis n'est pas un bon design.
Ce comportement de spamming est désormais si mauvais que les utilisateurs en sont venus à créer des comptes e-mail afin d'éviter le problème en toute connaissance de cause :
- Lisa McMillan sur Twitter le 2007-08-31
"getting a special email account with no contacts for signing up to social networks. Then, I won't mind when they hijack my address book."
Apparemment ce contact spam a au moins dans un cas pris la forme d'un spam de messagerie-instantanée (spim) qui est ensuite utilisé pour répandre un virus basé-sur-le-contact !
- Leslie Chicoine sur Twitter le 2009-02-24
There's a contacts based virus going around, don't give your IM, Yahoo, Google Contacts etc. info to any website!
Solution : supporter à la place la portabilité du réseau social et non pas le spam du carnet d'adresses.
Pour en savoir plus sur la raison pour laquelle c'est un anti-pattern :
Voici quelques sites qui pratiquent ça en ce moment :
Invitations Bebo
Bebo semble avoir une interface utilisateur qui fait qu'il est trop facile pour les utilisateurs de spammer tout le monde sans le savoir dans son carnet d'adresses.
L'évidence que les utilisateurs ont sans le vouloir envoyé des spams d'invitations à leurs contacts :
Comme cela fut remarqué par Valerie Noble le 2008-03-13 :
"What the hell, I stupidly sent bebo invites to eveyone in my address book. Boo!"
et l'utilisateur C.K. Sample III le 2008-03-18 :
"signed up for bebo. sorry to everyone in my address book who got spammed by the sign up. I thought it would work more like twitter"
L'évidence que les utilisateurs reçoivent des spams d'invitation Bebo :
Brian Alvey remarque le 2008-03-19 :
"Considering deleting the duplicate Bebo invitations I'm getting. Everyone has 3+ addresses for me. Another address book spam engine. Hurray!"
Encore un problème en mai 2008 :
Cameron Payne was unpleasantly surprised on 2008-05-15:
"goddamn Bebo just invited *everyone* in my Yahoo address book. I don't think I told it to do that. WTF!? Beware!"
Goodreads are your friends already on
Goodreads a aussi une interface utilisateur qui vous aiguille mal même pour les utilisateurs très connaisseurs pour spammer à votre insu tout votre carnet d'adresses.
Micki Krimmell a écrit à la fois un billet de blog et un post sur GetSatisfaction décrivant son expérience de se faire duper pour spammer tous ses amis.
Un représentant de Goodreads a suivi sur à la fois le billet de blog de Micki et le post de Getsatisfaction, néanmoins, à la limite de ce qui est connu à cette heure, l'interface-utilisateur de Goodreads n'a pas été modifiée/améliorée pour être moins trompeuse.
Quechup trouve vos amis sur
Quechup a une fonctionnalité pour "find your friends" qui, même si elle dit "no contact present" spammera tous vos contacts dans votre carnet d'adresses et de ce fait ennuiera tous vos amis et vous mettra dans la gêne. Clairement, ce n'est pas simplement le fait de trouver vos amis à partir devotre carnet d'adresses, c'est inviter tout le monde dedans sur votre carnet d'adresses.
- 2007-07-31 BERT VAN WASSENHOVE: Quechup disaster
- 2007-09-02 Chris Hambly: Quechup And Mass Hysteria
- 2007-09-02 Mashable: Are You Getting Quechup Spammed?
- 2007-09-05 Brian Oberkirch: should google help us stop quechup spam?
Spock scanne mon carnet d'adresses
Saisissez votre login et mot de passe d'un autre site
Aussi connu comme :
- l'anti-modèle "Saisissez votre login email et mot de passe.
- Mot de Passe d'une Partie Tiers (3ppantipattern, tppantipattern)
- Antipattern Mot de Passe
Donner à n'importe quel site vos permissions d'identification pour un autre site ou service est une très mauvaise idée. Vous ne pouvez pas avoir confiance dans le fait que le site traitera vos informations d'authentification avec le soin approprié (par ex. Quechup utilise cet anti-modèle pour implémenter l'anti-modèle du dessus spammer tout le monde dans votre carnet d'adresses).
C'est aussi un très mauvais design d'interface utilisateur. Ces sites qui vous demandent votre login (que ce soit gmail ou d'autres services) sont en train d'enseigner une très mauvaise habitude aux utilisateurs, une habitude qui est voisine de ce dont dépendent les sites de phishing/hameçonnage.
Ne demandez pas utilisateurs leurs login / mot de passe pour un autre site comme gMail, etc.
Solution:
- laisser tomber le support d'importation pour les sites qui n'offrent pas de listes d'amis hCard+XFN et/ou OAuth.
- Noter que last.fm a laissé tomber le support de leur anti-modèle mot de passe dans le redesign récent (juin 2008)!
- supporter portabilité du réseau social.
- et si vous le devez, supportez les APIS propriétaires spécifiques aux sites qui s'appuient sur OAuth, par ex. Google Address Book API, Yahoo Address Book API.
Billets
Lisez en plus à ce sujet :
- 2007-08-14 Brian Oberkirch: Two social system design trends that should really, really stop. like now.
- 2007-10-11 Jeremy Keith: The password anti-pattern
- 2008-01-04 Brian Oberkirch: this antipattern is kryptonite to the open social web
- 2008-03-15 Jeremy Keith: Anti-pattern begone (mentions Google announcement of their Contacts Data API)
- 2008-06-04 Jeremy Keith: Making contact (mentions the Yahoo announcement of the release of their Address Book API).
- 2008-07-15 Jeremy Keith: Why does Pownce keep killing kittens with the password anti-pattern?
- 2008-09-23 Jeremy Keith pownces Either the password anti-pattern goes or I do.
- 2008-09-25 Jeremy Keith: Anti-pattern recognition
Excuses et réponses
- Quelques acteurs majeurs n'aident pas la cause.
- Tout simplement parce que quelqu'un/quelque chose d'autre de plus important se porte mal, il n'y pas d'excuse pour vous de faire ainsi.
- Nous suivons les pratiques communément admises
- Tout simplement parce que beaucoup de gens se comportent mal, il n'y a pas d'excuse pour vous de faire aini.
- Variante : Nous implémentons le même code que Facebook et Twitter aussi nous sommes allés pour les meilleures pratiques.
- Implémenter le même code n'est pas une "best practice". Implémenter le même code dans ce cas est le plus petit dénominateur commun.
- Nous ne sommes pas dans une position si forte pour laisser tomber le support.
- Bien sûr que vous en êtes ! précisément pcq vous êtes petit. Vous avez moins à perdre.
- Si vous prenez combat public avec un acteur majeur se comportant mal là-dessus, devinez qui gagne ? Si la presses le couvre comme le petit vs le gros... etc.
- Notre croissance est plate !
- Exactement - cela ne la changera pas. Mais peut être qu'un peu de pub peut aider.
- Nous pourrions implémenter les APIS de carnet d'adresses propriétaires basées sur OAuth, mais nous devraions investir le temps de développement pour faire Facebook, Yahoo et Google.
- Désactiver le code d'anti-modèle du mot de passe dans l'intervalle.
- L'inconvénient est que notre croissance est stagnante, nous avons besoin de produire des fonctionnalités qui rapportent, et ce n'est pas dans le haut de la liste des fonctionnalités qui pourront faire ça pour nous.
- C'est l'argument coût/opportunité. Le même problème que de réparer les usines qui polluent vs construire de nouvelles usines.
- Pourquoi les gens menacent de nous quitter ou pire ?
- Sans pression de la communauté, les sociétés ne changent pas.
- Je pense que nous avons gagné un peu le bénéfice du doute que nous ne sommes pas "l'industrie".
- Avoir une interface "polluante" au quotidien veut dire pas de bénéfice du doute.
Analogie avec la Pollution
L'anti-pattern mot de passe = enseigner aux gens à se polluer eux-mêmes.
- Simplemnet parce que tous les autres polluent, ne veut pas dire que cela fait sens pour vous de faire ainsi.
- Les usines polluantes ont besoin d'être réparées tout comme de nouvelles usines ont besoin d'être construites.
- Sans pression/embarrassements des environementalistes, les sociétés qui polluent ne changent pas.
- Pourquoi ne pas concentrer vos efforts sur les énormes pollueurs comme... au lieu de ma petite société ?
- Parce que c'est plus facile de mettre la pression vers des types plus petits pour changer d'abord. Quelques tactiques ont fonctionné pour les écologistes. Alors, ils utiliseraient de plus petites victoires pour en gagner de plus grosses, jusqu'à ce qu'ils marquent suffisamment de victoires pour faire que les gros types paraissent *vraiment* mauvais.
Voici quelques sites qui sont en train de faire ça en ce moment :
Blipfm est meilleurs avec les amis
Blip.fm - Sa fonctionnalité "Import Address Book" demande que vous entriez votre nom d'utilisateur et mot de passe pour vos fournisseurs d'email : yahoo, gmail, hotmail, aol, msn.
Facebook Connect
Selon le billet de Ben Ward sur Facebook Connect, cette interface-utilisateur :
semble encourager les utilisateurs à entrer leur adresse email et mot de passe dans quelque chose de ressemblant visuellement (mais facile à imiter) fenêtre pop up sur n'importe quel site.
Par conséquent, tout ce qu'un site malicieux aurait à faire est de poser un bouton disant "Login with Facebook Connect", puis afficher un popup virtuel stylisé à l'identique, et l'utilisateur qui s'est vu emmené par l'IU Facebook Connect, entrera simplement son adresse email et son mot de passe.
Il y a aussi une relance plus détaillée sur les visions de Ben à propos de l'IU Facebook Connect sur son blog — et des compléments pour la version alternative, elle utilise le iframe pur améliorer l'UX pour les utilisateurs qui sont déjà "connectés" sur Facebook.
Facebook regarde si plus d'amis se sont joints
Facebook - La fonctionnalité "see if more friends have joined Facebook" vous fournit un menu popup pour saisir les mots de passe pour de nombreux sites.
GetSatisfaction Twitter This widget
Comme le soulignait Jeremy Keith, le widget GetSatisfaction "Twitter This" requête apparamment votre nom d'utilisateur et votre mot de passe. (écran demandé)
Voir le fil de discussion sur GetSatisfaction "Stop asking for Twitter passwords" pour en savoir plus
Nsyght importe votre profil et vos amis
Nsyght - Enregistrer un compte pour importer à partir de Digg, Pownce, Last.fm, et Twitter (le site est en apha publique)
- Malheureusement la fonctionnalité "import from Digg, Pownce, Last.fm, and Twitter" s'appuie sur la saisie de votre nom d'utilisateur et mot de passe vers ces sites, ce qui est ironique parce que ces sites supportent les microformats et la portabilité du réseau social !
Plaxo - cherche vos amis dans votre carnet d'adresses
plaxo - demande sous plusieurs formulaires les mots de passes de différents services email.
Plinky - Find Your Friends
Plinky's "Find Your Friends" feature, which it presents to every newly signed up user, asks for your email address and password for a variety of services.
As DeWitt tweeted:
Google, Yahoo, and Microsoft all support browser-based delegated authorization apis for contacts. Plinky should use those apis.
See also this thread by Jason Shellen (CEO of Plinky) who says some hopeful things:
DeWitt - You make a good point. I'll discuss it with the team Monday. In other news, we do support OAuth for posting to Blogger.
Quechup quels amis l'utilisent déjà
ShareThis vous demande votre nom d'utilisateur et votre mot de passe vers les services d'email et sites de réseaux sociaux.
Comme le soulignait Jeremy Keith, le formulaire d'enregistrement de SlideShare vous demande (dans cet ordre)
- Username
- Email Address
- Password
- Confirm Password
(screenshot needed)
Du fait de la proximité des champs "Adresse email" et "mot de passe", il est facile de se tromper pour vous demander votre adresse email et mot de passe d'email. Peut-être est-ce vous demander votre mot de passe email ? Ou peut-être il vous demande ça plus tard dans le processus. Des screenshots aideraient.
Voir le fil de discussion support GetSatisfaction "Asking for 3rd party passwords" pour en savoir plus.
StockTwits login
StockTwits.com asks you to "Login" with your Twitter username and password. StockTwits is not run by Twitter, therefore they are asking you for your username and password to another site.
Twitpic connexion sur twitter
Twitpic vous demande de saisir votre nom d'utilisateur et mot de passe Twitter. Attention, Twitpic n'est pas le même site, et il n'est pas motorisé par les mêmes types et la même société.
Twitter "est-ce que vos amis sont dessus"
Twitter est un service que beaucoup d'utilisateurs (y compris bon nombre de microformateurs) aiment, adorent et louent constamment. En outre ils implémentent les microformats (par ex. les profils utilisateurs supportant hCard et les listes d'amis supportant hCard et XFN)!
Nous aurons besoin de les appeler pour supporter l'anti-pattern "mot de passe d'un tiers"
Au titre de co-auteurs de Oauth, SVP Twitter, implémentez et évangélisez cette voie (peut-être même sur cette page "are your friends on"), plutôt que cet anti-pattern.
TwitterNotes
TwitterNotes vous demande de vous connecter avec votre nom d'utilisateur et mot de passe : "login with your Twitter account". Ni le même site, ni la même société et ni les mêmes personnes qui font fonctionner la société.
S'inscrire pour nettoyer le profil
Quelques sites de réseaux sociaux créent des profils publics pour vous sans que vous n'ayez quelque contact avec eux. S'il y a des erreurs, ils vous invitent à vous y inscrire afin de les corriger. Ceci ressemble à du blackmail : rejoignez notre service ou sinon nous continuerons à publier de l'information inexacte à votre propos et par conséquent nous spammerons les résultats de recherche web à votre propos avec de la désinformation.
Spock inscription pour nettoyer
- 2007-08-15 Wired News: Astonishing! Spock Thinks You're a Pedophile
- 2007-12-16 Full Circle Associates: Please, don’t invite me to Spock
- 2007-12-16 Jim Benson: It May Be the Evil Spock (et An Initial Response to Spock)
Un Réseau Social Unifié
Plusieurs sociétés sont en train d'essayer de construire "le réseau social unifié" (pour les régir tous) où elles posséderont/contrôleront le réseau social, et vous aurez "l'autorisation" de construire des applications au sommet de leur plateforme propriétaire. L'exemple le plus récent en la matière est peut-être Facebook.
C'est une mauvaise idée pour la même raison que vous ne voyez pas "un service universel de blogging".
D'autres exemples de types suivant ce chemin :
- Socialstream - un projet sponsorisé par Google chez CMU. Citation-clé: "a unified social network that, as a service, provides social data to many other applications". Voir aussi les références dans cet article de Forbes : Google's Secret Society.
- ...
L'espoir est que ces services verront la dimension potentielle de fournir des profils utilisateurs et des réseaux sociaux ouverts à travers la portabilité du réseau social et fourniront de ce fait la syndication de telles données, comme le font les services populaires de blogging.