Сроки действия сессии: незамеченный барьер доступности в дизайне аутентификации — Smashing Magazine

10 min readAccessibility,
Design,
Usability,
UXПлохо продуманные тайм-ауты сессии — это больше, чем просто техническое неудобство. Они могут стать серьезными барьерами доступности, которые прерывают важные онлайн-задачи, особенно для людей с инвалидностью. Вот как внедрить продуманное управление сессией, чтобы повысить удобство использования, уменьшить разочарование и помочь создать более доступный и уважительный веб.Для веб-специалистов управление сессией — это баланс между пользовательским опытом, кибербезопасностью и расходом ресурсов. Для людей с инвалидностью это нечто большее — барьер на пути покупки цифровых билетов, пролистывания соцсетей или подачи заявки на кредит онлайн. Доступность тайм-аута сессии может стать разницей между плохим и хорошим днем для людей с инвалидностью.

Для многих привычно столкнуться с ситуацией, когда ты доходишь до середины важной формы, а затем тебя без церемоний выбрасывает обратно на экран входа. Такие инциденты способны вызывать раздражение и даже приводить к полному отказу от сайта. Выполнив немного работы на бэкенде, веб-специалисты могут гарантировать, что никому не придется испытывать это разочарование.

Почему тайм-ауты сессии непропорционально сильно затрагивают пользователей с инвалидностью

Значительная часть населения мира имеет когнитивные, моторные или нарушения зрения. По всему миру около 1,3 миллиарда людей имеют значительные инвалидности. Независимо от того, связаны ли их ограничения с моторикой, когнитивными функциями или зрением, это влияет на их способность легко взаимодействовать с технологиями. Все они могут непропорционально сильно страдать от тайм-аутов сессии, поэтому доступность тайм-аута сессии — критически важная проблема.

Тайм-ауты сессии недоступны для большой доли населения. По оценкам, 20% людей являются нейроотличными, то есть тайм-аут-барьеры затрагивают не только небольшую группу пользователей — они влияют на существенную часть аудитории любого сайта. В результате некоторые пользователи могут выглядеть неактивными, хотя на самом деле они не бездействуют. Строгие тайм-ауты создают ненужное давление.

Моторные нарушения и более медленные скорости ввода

Например, человек с церебральным параличом пытается купить билеты онлайн на предстоящий концерт. Из-за трудностей с координацией и мышечной скованности он может вводить данные медленнее, чем это сделал бы человек без инвалидности. Он выбирает дату, выбирает места и заполняет личную информацию. Прежде чем он успевает ввести данные своей кредитной карты, появляется всплывающее окно тайм-аута. Его разлогинили из-за «бездействия», и ему нужно заново начинать весь процесс.

Эта ситуация не является полностью гипотетической. Мэтью Кейн — правозащитник в сфере инвалидности, телеведущий и автор журнала The European. Он описывает усилия, необходимые для навигации по сайтам, будучи человеком с церебральным параличом. Он объясняет, что пользовательский интерфейс часто плохо спроектирован для адаптивных устройств, и что он переживает, что его оборудование может реагировать неправильно. После того как он внимательно проходит каждую страницу, его внезапно разлогинивают. В один момент один таймированный запрос может стереть часы работы — и это не просто вопрос неудобства. Одна неудачная попытка может задержать получение поддержки или привести к тому, что он пропустит приемы.

Моторные нарушения могут замедлять скорость ввода, из-за чего может казаться, что пользователь находится не за компьютером. Поэтому люди, испытывающие скованность, тремор рук, трудности с координацией, непроизвольные движения или мышечную слабость, непропорционально сильно страдают от тайм-аутов сессии. Согласно DWP Accessibility Manual, адаптивным технологиям может потребоваться несколько попыток, чтобы зарегистрировать ввод, что существенно замедляет пользователей. Даже если им показывают предупреждение, они могут не успеть среагировать достаточно быстро, чтобы доказать, что они все еще активны.

Когнитивные нарушения и время на обработку

Тайм-ауты сессии также могут создавать барьеры доступности для людей с различными когнитивными особенностями. Строгие тайм-ауты создают ненужное давление, исходя из предположения, что все обрабатывают информацию с одинаковой скоростью. Пользователи могут выглядеть неактивными, хотя на самом деле они читают, думают или выполняют обработку.

Когнитивные различия охватывают широкий спектр опыта, включая нейроразнообразие вроде аутизма и СДВГ, а также нарушения развития, например синдром Дауна, и нарушения обучения, например дислексию. Многие люди рождаются с когнитивными особенностями. Фактически, по оценкам, 20% людей являются нейроотличными, и это составляет значительную часть аудитории любого сайта. Другие приобретают когнитивные инвалидности позже в жизни — вследствие травматического повреждения мозга или состояний вроде деменции.

Людям с когнитивными инвалидностями часто требуется больше времени, чтобы завершить онлайн-задачи — не потому, что у них есть какой-то дефицит, а потому что они обрабатывают информацию иначе. Дизайнерские решения, которые хорошо работают для нейротипичных пользователей, могут создавать ненужные препятствия для людей с СДВГ, дислексией, аутизмом или состояниями, связанными с памятью.

Невидимые тайм-ауты сессии особенно проблематичны для людей, которые сталкиваются с потерей памяти, различиями в обработке языка или «слепотой ко времени». Например, лидер в сфере нейроразнообразных технологий Кейт Карратерс говорит, что СДВГ повлиял на ее восприятие времени. У нее «слепота ко времени», и она не может надежно отслеживать, сколько времени прошло, поэтому оценки оказываются бесполезными.

Когда сайты полагаются на то, что пользователи оценивают оставшееся время до истечения сессии, они незаметно исключают людей — не только тех, у кого есть формальные диагнозы СДВГ, но и любого, кто по-другому воспринимает время или обрабатывает информацию в ином темпе.

“

Нарушения зрения и накладные расходы при навигации с помощью экранных дикторов

Поскольку слепые или слабовидящие пользователи не могут визуально просканировать страницу, чтобы найти нужное, они вынуждены слушать ссылки, заголовки и поля форм — а это по своей природе занимает больше времени. Более 43 миллионов человек по всему миру имеют слепоту, в то время как у 295 миллионов — умеренные или тяжелые нарушения зрения, что делает это значимой проблемой доступности для любого сайта, ориентированного на глобальную аудиторию.

В результате сессии этих пользователей могут истечь даже тогда, когда они активны. Таймеры в реальном времени и предупреждения за 30 секунд мало помогают, потому что они не создавались с учетом экранных дикторов.

Богдан Церовац, веб-разработчик, увлеченный цифровой доступностью, столкнулся с этим на собственном опыте. Таймер обратного отсчета сообщал ему, сколько времени осталось до того, как его разлогинят из-за бездействия. В целом, по всем признакам, это работало нормально. Однако он описывает опыт с экранным диктором как ужасный: диктор сообщал ему оставшееся время каждую секунду. Он не мог нормально ориентироваться на странице, потому что его постоянно «засыпали» сообщениями о статусе.

Частые сценарии тайм-аута, которые не соответствуют требованиям доступности

Согласно Национальному институту стандартов и технологий (NIST), управление сессией предпочтительнее постоянного хранения учетных данных, что могло бы побудить пользователей создавать обходные пути аутентификации, способные угрожать безопасности. Однако несколько распространенных паттернов тайм-аута не соответствуют современным требованиям к доступности тайм-аутов сессии.

Источник изображения: princekwame. (Большой предпросмотр)

Тихие тайм-ауты и недостаточные предупреждения

Многие сайты либо вообще не предупреждают перед тем, как разлогинить пользователя, либо показывают краткое всплывающее окно на несколько секунд, которое появляется слишком поздно, чтобы с ним можно было что-то сделать. Для пользователей, которые навигируют с помощью экранного диктора, такие предупреждения могут не быть озвучены вовремя. Для людей с моторными нарушениями таймер обратного отсчета на 30 секунд может не дать достаточно времени, чтобы успеть отреагировать.

Давайте рассмотрим страницу DS-260 Центра электронных консульских приложений (Consular Electronic Application Center), которая используется для подачи заявления на получение или продление виз США для неиммигрантов. Если заявка простаивает примерно 20 минут, система разлогинивает пользователя без предупреждения. Страница FAQ дает только приблизительную оценку времени. Работа человека сохраняется лишь тогда, когда он завершает страницу, поэтому он может потерять значительный прогресс.

Сессии, которые нельзя продлить

Внезапное сообщение «сессия истекла» раздражает даже тех, у кого нет инвалидности. Если нет возможности продолжить, пользователи вынуждены снова входить в систему и начинать работу заново, тратя время и энергию.

Потеря данных формы при истечении срока

Если сайт не сохраняет прогресс автоматически, при истечении сессии посетители потеряют всё. Для человека с инвалидностью это не просто пустая трата времени. Это может сделать его день неизмеримо тяжелее. Представьте, что вы потратили час на запрос услуги, подачу заявления на работу или заказ в виде purchase order — и вдруг весь прогресс полностью стирается, при этом предупреждение было минимальным или почти отсутствовало.

Паттерны дизайна, которые сочетают безопасность и доступность

Несогласованные периоды тайм-аута и отсутствие предупреждений приводят к внезапной, неожиданной потере всей несохраненной работы. Для длинных сложных форм — например, DS-260 — плохой пользовательский опыт чрезвычайно разочаровывает. В сравнении с этим подача заявления на pension credit в Великобритании отличается высокой доступностью. Там предупреждают пользователей минимум за две минуты и дают возможность продлить сессию. Это соответствует уровню AA критериев успеха WCAG 2.2, что указывает на доступность.

Источник изображения: Experience League. (Большой предпросмотр)

Люди с инвалидностью непропорционально сильно страдают от непредвиденных последствий плохо продуманного управления сессиями. К счастью, недоступность тайм-аутов сессии — не неизбежный факт. С помощью нескольких небольших изменений веб-специалисты могут заметно повысить доступность своих сайтов.

Системы предупреждений заранее и возможность продления

Сайты должны четко указывать наличие временного ограничения и его длительность до начала сессии. Например, если человек заполняет банковскую форму, первая страница должна существовать исключительно для того, чтобы сообщить ему, что у формы есть лимит в 60 минут. Живой счетчик, который регулярно обновляется, поможет отслеживать, сколько времени осталось. Также пользователям следует сообщать, могут ли они изменить длительность тайм-аута сессии.

Тайм-ауты: на основе активности vs. абсолютные

Тайм-аут на основе активности разлогинивает пользователя из-за бездействия, а абсолютный тайм-аут разлогинивает независимо от активности. Для офиса абсолютный таймер на 24 часа может иметь смысл, поскольку сотрудникам нужно входить в систему только тогда, когда они приходят на работу. Пока пользователи знают, когда истечет их сессия, второй вариант более доступен, чем первый.

Автосохранение и сохранение прогресса

Cookies, localStorage и sessionStorage — это временные механизмы хранения на стороне клиента, которые позволяют веб-приложениям сохранять данные в течение одной сессии браузера. Это мощные, легковесные инструменты. Веб-разработчики могут использовать их, чтобы автоматически сохранять прогресс пользователей через частые интервалы, гарантируя восстановление данных после повторной аутентификации.

Таким образом, даже если чья-то сессия истечет случайно, его не будут наказывать. После того как он снова войдет в систему, он сможет завершить ввод данных своей кредитной карты или продолжить с того места, на котором остановился, при заполнении онлайн-формы.

Тестирование и соображения соответствия WCAG

Руководство по доступности веб-контента (WCAG) — это набор международно признанных стандартов доступности интернета, опубликованный W3C. Оно выступает в роли арбитра для доступности тайм-аутов сессии. Веб-разработчикам следует уделить особое внимание руководящему принципу 2.9.2, который описывает лучшие практики для достаточного времени.

Механизм, позволяющий настраивать тайм-аут, должен продлевать лимит до истечения сессии или позволять полностью отключить его. Для первого варианта должно появляться диалоговое окно с вопросом пользователям, нужно ли им больше времени, чтобы они могли продолжить одним кликом. В WC3 отмечается, что существуют исключения.

Например, когда сайт проводит живую продажу билетов, пользователи могут удерживать билеты в своей корзине только 10 минут, чтобы дать другим шанс купить ограниченный инвентарь. Либо тайм-ауты сессии могут быть необходимы на общих компьютерах. Если бы библиотекари позволяли всем оставаться залогиненными вместо того, чтобы автоматически разлогинивать их на ночь, они рисковали бы проблемами с безопасностью.

Некоторые процессы вообще не должны иметь тайм-лимитов. При просмотре социальных сетей, чтении новостной статьи или поиске товаров на сайте электронной коммерции нет причин, чтобы сессия истекала в произвольный промежуток времени. Между тем, в ходе таймированного экзамена это может быть необходимо. Однако в таком случае администраторы могут продлевать лимиты для студентов с инвалидностью.

Когда веб-разработчики делают управление сессией доступным, они не обслуживают маленькую группу. Данные Pew Research Center показывают, что 62% взрослых людей с инвалидностью имеют компьютер. 72% имеют высокоскоростной домашний интернет. Эти цифры статистически не отличаются от доли недисабледных взрослых, которые говорят, что у них есть то же самое.

Как преодолеть барьер доступности тайм-аута сессии

WCAG предоставляет дополнительные ресурсы, которые веб-разработчики могут изучить, чтобы лучше понять доступность управления сессией:
WCAG SC 2.2.1 Timing Adjustable
WCAG SC 2.2.5 Re-authenticating
WCAG SC 2.2.6 Timeouts

Помимо следования этим рекомендациям, существует множество информации от ведущих образовательных учреждений, организаций, занимающихся открытыми веб-технологиями, и государственных агентств. Они дают отличную отправную точку для тех, у кого есть промежуточный уровень знаний в веб-разработке.

Веб-специалистам стоит рассмотреть следующие ресурсы, чтобы узнать больше о инструментах и техниках, которые можно использовать, чтобы сделать управление сессией более доступным:
Техника продления сессии от Harvard University
DWP Accessibility Manual: Как тестировать тайм-ауты сессии
Window: свойство sessionStorage

Доступность тайм-аутов сессии — это не только передовая практика отрасли, но и этический стандарт веб-разработки.

«Те, кто уделяет этому приоритет, привлечет более широкую аудиторию, улучшит удобство использования и привлечет больше посетителей сайта и более длительные сессии.

Главный вывод таков: сайт с недоступными тайм-аутами сессии отправляет понятный сигнал о том, что он не ценит ни время, ни усилия пользователя — а это создает значительные барьеры для людей с инвалидностью. Однако это решаемая проблема. С помощью нескольких простых изменений — например, предупреждений о продлении сессии и автосохранения прогресса — веб-разработчики могут создать более внимательный, доступный и уважительный интернет для всех».

Дополнительное чтение на SmashingMag

«Что это на самом деле значит для сайта — быть доступным для навигации с клавиатуры», Элеонор Хекс
«Проектирование для нейроразнообразия», Витали Фридман
«Что я хотел бы, чтобы кто-то сказал мне, когда я только начинал разбираться в ARIA», Эрик Бейли
«Набор инструментов для адвокации доступности дизайнера», Юичан Ван

(yk)