Bonjour @altatof,
Pour venir de temps en temps sur le forum, il est assez facile d’identifier qui fait quoi. Bien que bénévoles, vous avez tous vos domaines de prédilection, c’est assez facile à identifier entre les contributeurs au core, les contributeurs de modules complémentaires, les spécialistes des questions de compta (opendsi) etc… Il y a un noyau dur (et tant mieux!) et c’est en allant sur github que l’on peut voir qui est réellement investi sur le projet.
Par contre, je ne suis pas en mesure de dire qui s’occupe des questions de sécurité, qui vous en conviendrez, ont une priorité intrinsèque.
Alors bien sur, les vrais problèmes de sécurité peuvent être remontés sur github, outre le fait que c’est en anglais et plutôt jargonneux, ce n’est pas très compliqué à faire. Mais encore une fois, pour l’utilisateur lambda ce n’est pas toujours facile de savoir ce qui relève du bug, ou de la faille de sécurité ou ce qui relève de la configuration. Et combien de vos utilisateurs lambdas connaissent github?
Même entre vous, les dev, vous vous apprenez mutuellement des choses : pas plus tard qu’hier, j’ai lu un dev dire à un autre que la constante MAIN_JE_SAIS_PLUS_QUOI n’était pas nécessaire et qu’il valait mieux cocher la case « faire la même chose » dans l’écran de configuration du module en question.
Enfin, je vois souvent passer des threads très fournis de réponses pour de nouvelles fonctionnalités le plus souvent via des modules externes, plus rarement du core, très intéressantes au demeurant car cela démontre la maturité et le dynamisme du projet. Mais il s’agit, la plupart du temps, de discussion de développeur à développeur, de eoxia à opendsi, de eldy à ksar, de defrance à ptibogxiv de PM17 à philazerty… (Tous ne sont peut être pas développeurs, mais tous sont des utilisateurs avisés du forum)
A mon sens donc, sur le forum les dev parlent aux dev et cela se vérifie, sur le site dolibarr.org - forums - sujets top -depuis toujours, vous retrouverez majoritairement les personnes que j’ai cité de mémoire 5 lignes plus haut. Peut etre suis-je le seul utilisateur à avoir ce ressenti, mais je ne pense pas.
D’ou je parle?
Avant de venir sur dolibarr, je ne connaissais pas le libre ou plutôt vaguement. Mon premier logiciel de compta était celui d’une grooooooôôsse boite américaine pas libre du tout et plutôt cher (Quickb…ks) qui malgré tout ce qu’on peut en penser, quickb**ks à très vite su prendre en compte l’expérience de leurs nouveaux utilisateurs français. Trois fois je suis allé, sur invitation (entre 2015 et 2018), à Paris à la journée dans un grand hôtel, rencontrer l’équipe, participer à des entretiens sur l’expérience utilisateur.
Ok, c’est incomparable en termes de moyens. Et ça tombe bien car vous avez entre les mains un outil bien supérieur à ce que j’ai connu avant, beaucoup plus complet et complexe parfois. De plus, il est tout à fait possible de faire la même chose sans forcément aller dans un grand hôtel, ni même se déplacer de chez soi/du bureau.
Il y a aussi chez moi une certaine expérience en tant que formateur (dans le sport) qui consiste justement à prendre en considération le point de vue de l’utilisateur en contexte, je vous épargne les théories des actions situées et du courant théorique et méthodologique du cours d’action même si Lucy Suchman à déjà abordé en 1987 le dialogue entre l’homme novice et la machine intelligente : c’est justement ça, le point de départ des actions situées.
Ce que je suggère
« Tout formulaire informatique est une maltraitance »
Dixit Benjamin Bayard, (FFDN) s’appelant lui même volontiers « le vieux c*n des internets », personnage forcément connu par un grand nombre d’entre vous.
Certains connaissent bien sur son exemple sur le ministre délégué au numérique d’une époque récente, Olivier Ô, bien embêté pour saisir les trois premiers caractères de son nom de famille dans un champ déroulant… (video thinkerview sur youtube pour les curieux)
Globalement, dolibarr manque de documentation, ce n’est un secret pour personne, vous en êtes tous déjà très conscients. Cela concerne la sécurité puisque c’est le sujet de ce thread, les modules core, les bonnes pratiques, les flux de travail, bref l’expérience utilisateur.
Des choses qui vont dans le bon sens fleurissent à gauche à droite, comme cette série de vidéos très bien faite sur dolibarr, tellement bien faites qu’elles complètent désormais les articles du wiki il me semble. C’est bien avec cette série de vidéo que j’ai fini par comprendre que les « extrafields » c’était bête comme chou! MAIS… Elles n’existent que depuis un an, ce qui est peu par rapport à la longévité de dolibarr.
Je veux bien contribuer, mais en fait c’est ce que je fais déjà à l’instant même, je suis sur que plein de gens sont prêts à contribuer, mais c’est à vous les développeurs de créer le cadre le moins « maltraitant » possible et pour cela c’est aussi à vous d’aller à la pêche aux expériences utilisateurs.
Cela fait deux ans que je passe 5h par jour sur dolibarr, j’ai pas encore tout compris. En deux ans, a bidouiller sur les projets, les taches, les temps consommés, je viens juste de réaliser (ces jours ci) que je pouvais créer une intervention depuis un temps consommé en cochant une case d’action globale en face d’une ligne de temps consommés. Alors peut être que c’est nouveau en V16? Mais Peut être que ça a toujours été là, bien caché tant qu’on a pas coché une seule case…
Hier soir, je me suis dit que c’était beaucoup plus pertinent de n’utiliser les modèles de factures récurrentes UNIQUEMENT pour les contrats/abonnements, dans le sens ou X services sur un temps donné, = X factures souvent identiques et donc que la récurrence était paramétrable en fonction de la durée et récurrence des services de ce même contrat.
Bref, c’est ce que dans mon jargon a moi on appelle de « l’utilisabilité en contexte », soit l’outil est une prothèse, soit il est transparent, il devient incarné. Dolibarr n’est pas transparent pour l’utilisateur même si je sais que je ne trouverai pas mieux ailleurs. (Et comme dit plus haut, un logiciel quel qu’il soit sera toujours une prothèse, ou une maltraitance selon les termes de B.bayard, mais plus ou moins grande. L’ergonomie ne concerne pas que les objets matériels en somme.)
Pour en revenir à la sécurité, ma réponse c’est documentez! documentez!
exemple :
PHP disable_functions =
Vous devriez désactiver les fonctions PHP: pcntl_alarm, pcntl_fork, blah blah…
Pour vous c’est une infobulle qui dit
« ajoutez ce qui suit à la fin de votre fichier php.ini et faites un sudo systemctl restart phpd »
Pour l’utilisateur qui débute son auto-hébergement cela peut-être des heures de recherche web, pour un dev, c’est … une ligne dans un fichier, non? (oui, ok, multiplié par x infobulles, … )
un tel petit guide de paramétrage existe par exemple sur le module compta avancé… Un exemple ailleurs, libreoffice ouvre sur un « le saviez vous? »
Que dire de plus? Comme beaucoup de monde, je ne pose jamais de questions quand j’ai déjà la réponse et les devs c’est vous, vous connaissez la solution et si vous ne la connaissez pas encore, vous êtes aussi des spécialistes de l’intelligence collective.
Pour conclure, dolibarr est le meilleur outil que je connaisse à ce jour, et va le rester car je n’ai pas envie d’aller voir ailleurs. les fonctionnalités sont suffisantes voire trop importantes pour une grande majorité d’utilisateurs (ma main à couper!).
ET oui, je suis prêt à m’investir, comme vous, quand je peux (compétences : J’ai appris a comprendre un mot sur trois sur une ligne de code, par la force des choses, mais je suis incapable d’écrire la moindre ligne moi-même. ) et quand j’ai le temps (bénévolat)
Par conséquent, sur un forum ou les développeurs semblent parler aux développeurs je ne sais pas quelle est ma place aujourd’hui, mais je peux imaginer celle que les developpeurs ouvriront aux utilisateurs demain.