Тайм-ауты сеанса: незамеченный барьер доступности в дизайне аутентификации — Smashing Magazine

10 min readAccessibility,
Design,
Usability,
UXПлохо продуманные тайм-ауты сеанса — это больше, чем просто техническое неудобство. Они могут стать серьезными барьерами доступности, которые прерывают важные действия в онлайн-сервисах, особенно у людей с инвалидностью. Вот как внедрить продуманное управление сеансами, чтобы улучшить удобство использования, уменьшить раздражение и помочь создать более доступный и уважительный веб.Для веб-специалистов управление сеансами — это баланс между пользовательским опытом, кибербезопасностью и расходом ресурсов. Для людей с инвалидностью это нечто большее — это барьер на пути покупки цифровых билетов, пролистывания социальных сетей или подачи заявки на кредит онлайн. Доступность тайм-аутов сеанса может стать разницей между плохим днем и хорошим днем для людей с инвалидностью.

Для многих привычна ситуация, когда ты доходишь до середины важной формы, а затем тебя без церемоний выбрасывает обратно на экран входа. Такие случаи приводят к раздражению и даже к полному отказу от сайта. Выполнив некоторую работу на бэкенде, веб-специалисты могут гарантировать, что никому не придется сталкиваться с таким разочарованием.

Почему тайм-ауты сеанса непропорционально сильно затрагивают пользователей с инвалидностью

Значительная часть населения мира имеет когнитивные, моторные или нарушения зрения. По всему миру около 1,3 миллиарда людей имеют существенные инвалидности. Независимо от того, есть ли у них моторные, когнитивные или зрительные нарушения, эти особенности влияют на их способность легко взаимодействовать с технологиями. Все они могут непропорционально сильно страдать от тайм-аутов сеанса, поэтому доступность тайм-аутов сеанса — критически важная проблема. Тайм-ауты сеанса недоступны для значительной доли населения. По оценкам, 20% людей являются нейроотличными (neurodivergent), то есть тайм-аут-барьеры затрагивают не только небольшую группу пользователей — они влияют на существенную часть аудитории любого сайта. В результате некоторые пользователи могут выглядеть неактивными, хотя на самом деле они активны. Строгие тайм-ауты создают неоправданное давление.

Моторные нарушения и более медленные скорости ввода

Например, человек с церебральным параличом пытается купить билеты онлайн на предстоящий концерт. Из-за трудностей с координацией и мышечной скованности он может вводить данные медленнее, чем это сделал бы человек без инвалидности. Он выбирает дату, выбирает места и заполняет персональную информацию. Прежде чем он успеет ввести данные своей кредитной карты, появляется всплывающее окно тайм-аута. Его «выкидывает» из учетной записи из-за «неактивности», и ему приходится начинать весь процесс заново.

Эта ситуация не является полностью гипотетической. Мэтью Кейн (Matthew Kayne) — защитник прав людей с инвалидностью, телеведущий и автор журнала The European. Он описывает усилия, необходимые для навигации по веб-сайтам, когда у человека церебральный паралич. Он объясняет, что пользовательский интерфейс часто плохо спроектирован для адаптивных устройств, и он переживает, что его оборудование может реагировать некорректно. Тщательно пройдя по каждой странице, он внезапно оказывается разлогинен. В один момент один таймированный запрос может стереть часы работы — и это не просто вопрос неудобства. Одна неудачная попытка может задержать получение помощи или привести к тому, что он пропустит назначенные встречи.

Моторные нарушения могут замедлять скорость ввода, из-за чего может казаться, что пользователь не находится за компьютером. Поэтому люди, которые испытывают скованность, тремор рук, трудности с координацией, непроизвольные движения или мышечную слабость, непропорционально сильно страдают от тайм-аутов сеанса. Согласно DWP Accessibility Manual, адаптивным технологиям может потребоваться несколько попыток, чтобы зарегистрировать ввод, что заметно замедляет пользователей. Даже если им показывают предупреждение, они могут не успеть среагировать достаточно быстро, чтобы доказать, что они все еще активны.

Когнитивные нарушения и время на обработку

Тайм-ауты сеанса также могут создавать барьеры доступности для людей с различными когнитивными особенностями. Строгие тайм-ауты создают неоправданное давление, исходя из предположения, что все обрабатывают информацию с одинаковой скоростью. Пользователи могут выглядеть неактивными, хотя на самом деле они читают, обдумывают или выполняют обработку.

Когнитивные различия охватывают широкий спектр опыта, включая нейроотличия вроде аутизма и СДВГ (ADHD), развивающиеся инвалидности, например синдром Дауна, а также нарушения обучения, например дислексию. Многие люди рождаются с когнитивными особенностями. Более того, по оценкам, около 20% людей являются нейроотличными, то есть это большая часть аудитории любого сайта. Другие приобретают когнитивные нарушения позже в жизни — из-за черепно-мозговой травмы или состояний вроде деменции.

Людям с когнитивными нарушениями часто требуется больше времени, чтобы завершить онлайн-задачи — не потому, что у них есть какой-то дефицит, а потому что они обрабатывают информацию иначе. Дизайнерские решения, которые хорошо работают для нейротипичных пользователей, могут создавать ненужные препятствия для людей с СДВГ, дислексией, аутизмом или состояниями, связанными с памятью.

Невидимые тайм-ауты сеанса особенно проблемны для людей, которые сталкиваются с потерей памяти, различиями в обработке языка или «слепотой ко времени» (time blindness). Например, руководитель технологического направления Кейт Карратерс (Kate Carruthers), которая сама нейроотличная, говорит, что СДВГ повлиял на ее восприятие времени. У нее есть «слепота ко времени», и она не может надежно отслеживать, сколько времени прошло, поэтому оценки оказываются бесполезными.

Когда сайты требуют, чтобы пользователи оценивали, сколько времени осталось до истечения сеанса, они незаметно исключают людей — не только тех, у кого есть формальные диагнозы СДВГ, но и любого, кто по-другому воспринимает время или обрабатывает информацию в другом темпе.

Нарушения зрения и накладные расходы при навигации с помощью screen reader

Поскольку слепые или слабовидящие пользователи не могут визуально просканировать страницу, чтобы найти нужное, им приходится слушать ссылки, заголовки и поля форм — а это по своей природе более затратный по времени процесс. Более 43 миллионов человек во всем мире страдают слепотой, а у 295 миллионов есть нарушения зрения средней и тяжелой степени — это делает проблему доступности особенно значимой для любого сайта, ориентированного на глобальную аудиторию.

В результате сеансы этих пользователей могут истечь даже тогда, когда они активны. Живые таймеры и предупреждения за 30 секунд мало помогают, потому что они не рассчитаны на работу со screen reader.

Богдан Церовац (Bogdan Cerovac), веб-разработчик, увлеченный цифровой доступностью, столкнулся с этим на собственном опыте. Таймер обратного отсчета сообщал ему, сколько времени осталось до того, как его разлогинят из-за неактивности. В целом, по ощущениям, это работало нормально. Однако он описывает опыт со screen reader как ужасный: он уведомлял его об оставшемся времени каждую секунду. Он не мог нормально ориентироваться на странице, потому что его «засыпало» постоянными сообщениями о статусе.

Частые паттерны тайм-аута, которые не соответствуют требованиям доступности

Согласно Национальному институту стандартов и технологий (NIST), управление сеансами предпочтительнее постоянного сохранения учетных данных, что побуждало бы пользователей создавать обходные механизмы аутентификации, способные поставить под угрозу безопасность. Однако несколько распространенных паттернов тайм-аутов не соответствуют современным требованиям доступности для тайм-аутов сеанса.

Источник изображения: princekwame. (Большой превью)

Тихие тайм-ауты и недостаточные предупреждения

Многие сайты либо не дают никакого предупреждения перед тем, как разлогинить пользователя, либо показывают краткое всплывающее окно на считанные секунды, которое появляется слишком поздно, чтобы им можно было воспользоваться. Для пользователей, которые навигируют с помощью screen reader, такие предупреждения могут не быть объявлены вовремя. Для людей с моторными нарушениями 30-секундного обратного отсчета может быть недостаточно, чтобы успеть отреагировать.

Давайте рассмотрим страницу DS-260 Консульского электронного заявочного центра (Consular Electronic Application Center), которую используют для подачи заявления на получение или продление виз США для неиммигрантов. Если заявка простаивает примерно 20 минут, система разлогинивает пользователя без предупреждения. Страница FAQ дает только приблизительную оценку времени. Работа человека сохраняется только тогда, когда он завершает страницу, поэтому он может потерять значительный прогресс.

Сеансы, которые нельзя продлить

Внезапное сообщение «Срок действия сеанса истек» раздражает даже людей без инвалидности. Если нет опции продолжить работу, пользователи вынуждены снова входить в систему и начинать все заново — это приводит к потере времени и энергии.

Потеря данных формы при истечении

Если сайт автоматически не сохраняет прогресс, посетители потеряют все, когда сеанс истечет. Для человека с инвалидностью это не просто пустая трата времени. Это может сделать его день невыносимо тяжелее. Представьте, что вы потратили час на обращение в сервис, подачу заявки на работу или заказ на покупку — а затем весь прогресс полностью стирается почти без предупреждения или вообще без него.

Паттерны дизайна, которые сочетают безопасность и доступность

Непоследовательные периоды тайм-аута и отсутствие предупреждений приводят к внезапной, неожиданной потере всей несохраненной работы. Для длинных и сложных форм, таких как DS-260, плохой пользовательский опыт особенно болезненно воспринимается. В сравнении с этим подача заявления на получение пенсионного кредита в Великобритании (UK) отличается высокой доступностью. Там предупреждают пользователей минимум за две минуты и дают возможность продлить сеанс. Это соответствует уровню AA критериев успешности WCAG 2.2, что указывает на доступность.

Источник изображения: Experience League. (Большой превью)Люди с инвалидностью непропорционально сильно страдают от непредвиденных последствий плохого управления сеансами. К счастью, недоступность тайм-аутов сеанса — не вопрос неизбежного факта. С несколькими небольшими изменениями веб-специалисты могут существенно повысить доступность своего сайта.

Системы заблаговременного предупреждения и возможность продления

Сайты должны четко указывать, что существует ограничение по времени, и какова его длительность, прежде чем начнется сеанс. Например, если кто-то заполняет банковскую форму, первая страница должна существовать исключительно для того, чтобы сообщить ему, что у формы есть лимит в 60 минут. Живой счетчик, который регулярно обновляется, может помочь им отслеживать, сколько времени осталось. Также пользователям следует сообщать, могут ли они изменить длительность тайм-аута сеанса.

Тайм-ауты по активности vs. абсолютные тайм-ауты

Тайм-аут по активности разлогинивает пользователей из-за неактивности, а абсолютный тайм-аут разлогинивает независимо от активности. Для офиса 24-часовой абсолютный таймер может иметь смысл, поскольку сотрудникам нужно входить в систему только тогда, когда они приходят на работу. Пока пользователи знают, когда истечет их сеанс, второй вариант более доступен, чем первый.

Автосохранение и сохранение прогресса

Cookies, localStorage и sessionStorage — это временные механизмы хранения на стороне клиента, которые позволяют веб-приложениям сохранять данные на время одного сеанса в браузере. Это мощные, легковесные инструменты. Веб-разработчики могут использовать их, чтобы автоматически сохранять прогресс пользователей через частые интервалы, гарантируя восстановление данных после повторной аутентификации.

Таким образом, даже если сеанс кого-то истечет случайно, его не накажут. Как только пользователь снова войдет в систему, он сможет завершить ввод данных своей кредитной карты или продолжить с того места, где остановился, при заполнении онлайн-формы.

Тестирование и соображения по соответствию WCAG

Руководство по доступности веб-контента (Web Content Accessibility Guidelines, WCAG) — это набор международно принятых стандартов доступности интернета, опубликованных W3C. Оно выступает в роли арбитра доступности тайм-аутов сеанса. Веб-разработчикам следует уделить особое внимание руководству 2.9.2, которое описывает лучшие практики для достаточного времени.

Механизм, позволяющий настраивать тайм-аут, должен продлевать лимит времени до истечения сеанса или позволять полностью отключить его. Для первого варианта должно появляться диалоговое окно с вопросом пользователям, нужно ли им больше времени, чтобы они могли продолжить одним кликом. WC3 отмечает, что существуют исключения.

Например, когда сайт проводит прямую продажу билетов, пользователи могут удерживать билеты в своей корзине только в течение 10 минут, чтобы дать другим возможность купить ограниченный запас. Либо тайм-ауты сеанса могут быть необходимы на общих компьютерах. Если бы библиотекари разрешили всем оставаться залогиненными вместо того, чтобы автоматически разлогинивать их на ночь, это создало бы риски для безопасности.

Некоторые процессы вообще не должны иметь ограничение по времени. При просмотре социальных сетей, чтении новостной статьи или поиске товаров на сайте электронной коммерции нет причин, чтобы сеанс истекал в произвольный промежуток времени. Между тем, в таймированном экзамене это может быть необходимо. Однако в этом случае администраторы могут продлевать лимиты времени для студентов с инвалидностью.

Когда веб-разработчики делают управление сеансами доступным, они не обслуживают небольшую группу людей. Данные Pew Research Center показывают, что 62% взрослых с инвалидностью имеют компьютер. 72% имеют высокоскоростной домашний интернет. Эти цифры статистически не отличаются от доли недисаблед- (без инвалидности) взрослых, которые говорят, что у них есть то же самое.

Преодоление барьера доступности тайм-аута сеанса

WCAG предоставляет дополнительные ресурсы, которые веб-разработчики могут изучить, чтобы лучше понять доступность управления сеансами:
WCAG SC 2.2.1 Timing Adjustable
WCAG SC 2.2.5 Re-authenticating
WCAG SC 2.2.6 Timeouts

Помимо следования этим рекомендациям, существует множество материалов от ведущих образовательных учреждений, организаций, занимающихся открытыми веб-технологиями, и государственных агентств. Они дают отличную отправную точку для тех, у кого есть промежуточные знания в веб-разработке.

Веб-специалистам стоит рассмотреть следующие ресурсы, чтобы узнать больше об инструментах и техниках, которые можно использовать, чтобы сделать управление сеансами более доступным:
Техника продления сеанса от Harvard University
DWP Accessibility Manual: How to test session timeouts
Window: свойство sessionStorage

Доступность тайм-аутов сеанса — это не только передовая практика отрасли, но и этический стандарт разработки веба.

«Те, кто расставляет приоритеты в этом, заинтересуют более широкую аудиторию, улучшат удобство использования и привлекут больше посетителей сайта и более длительные сессии. Главный вывод таков: сайт с недоступными тайм-аутами сеанса отправляет понятный сигнал, что он не ценит время или усилия пользователя — и это создает значительные барьеры для людей с инвалидностью. Однако эту проблему можно решить. Сделав несколько простых изменений, например предоставляя предупреждения о продлении сеанса и автоматически сохраняя прогресс, веб-разработчики могут построить более внимательный, доступный и уважительный интернет для всех».

Дополнительное чтение на SmashingMag

«What Does It Really Mean For A Site To Be Keyboard Navigable», Eleanor Hecks
«Designing For Neurodiversity», Vitaly Friedman
«What I Wish Someone Told Me When I Was Getting Into ARIA», Eric Bailey
«A Designer’s Accessibility Advocacy Toolkit», Yichan Wang

(yk)