# Истечение сеансов: незамеченный барьер доступности в дизайне аутентификации — Smashing Magazine

10 min readAccessibility,

Design,
Usability,
UX

Плохо продуманные тайм-ауты сеанса — это больше, чем просто техническое неудобство. Они могут стать серьезными барьерами доступности, которые прерывают важные онлайн-задачи, особенно у людей с инвалидностью. Вот как внедрить внимательное управление сеансами, чтобы улучшить удобство использования, уменьшить разочарование и помочь создать более доступный и уважительный веб.

Для веб-профессионалов управление сеансами — это баланс между пользовательским опытом, кибербезопасностью и расходом ресурсов. Для людей с инвалидностью это нечто большее — это барьер для покупки цифровых билетов, для прокрутки в социальных сетях или для подачи заявки на кредит онлайн. Доступность тайм-аута сеанса может стать разницей между плохим и хорошим днем для людей с инвалидностью.

Для многих типичная ситуация — дойти до середины важной формы и затем без предупреждения быть выброшенным обратно на экран входа. Такие инциденты могут приводить к раздражению и даже к полному отказу от сайта. Выполнив немного работы на бэкенде, веб-профессионалы могут гарантировать, что никому не придется испытывать это разочарование.

Почему тайм-ауты сеанса непропорционально сильно затрагивают пользователей с инвалидностью

Значительная часть населения мира имеет когнитивные, моторные или нарушения зрения. По всему миру около 1,3 миллиарда людей имеют значительные инвалидности. Независимо от того, связаны ли их ограничения с моторикой, когнитивными особенностями или зрением, эти инвалидности влияют на способность легко взаимодействовать с технологиями. Все они могут непропорционально сильно страдать от тайм-аутов сеанса, поэтому доступность тайм-аута сеанса — критически важная тема.

Тайм-ауты сеанса недоступны для большой доли населения. По оценкам, 20% людей являются нейроотличными, то есть тайм-аут-барьеры затрагивают не только небольшую группу пользователей — они влияют на существенную часть аудитории любого сайта. В результате некоторые пользователи могут выглядеть неактивными, хотя на самом деле они не бездействуют. Строгие тайм-ауты создают излишнее давление.

Моторные нарушения и более медленные скорости ввода

Например, человек с церебральным параличом пытается купить билеты онлайн на предстоящий концерт. Из-за трудностей с координацией и мышечной скованности он может вводить свои данные медленнее, чем это сделал бы человек без инвалидности. Он выбирает дату, выбирает места и заполняет личную информацию. Прежде чем он успеет ввести данные своей кредитной карты, появляется всплывающее окно с тайм-аутом. Его разлогинили из-за «неактивности», и ему приходится начинать весь процесс заново.

Эта ситуация не является полностью гипотетической. Мэтью Кейни — правозащитник в сфере инвалидности, телеведущий и автор журнала The European. Он описывает усилия, необходимые для навигации по сайтам, будучи человеком с церебральным параличом. Он объясняет, что пользовательский интерфейс часто плохо спроектирован для адаптивных устройств, и что его оборудование может реагировать некорректно. После аккуратной навигации по каждой странице его внезапно разлогинивают. В один момент один таймированный запрос может стереть часы работы, и это не просто вопрос неудобства. Одна неудачная попытка может задержать получение поддержки или привести к тому, что ему придется пропустить встречи.

Моторные нарушения могут замедлять скорость ввода, из-за чего может казаться, что пользователь находится не за компьютером. Поэтому люди, сталкивающиеся со скованностью, дрожанием рук, проблемами координации, непроизвольными движениями или мышечной слабостью, непропорционально сильно страдают от тайм-аутов сеанса. Согласно DWP Accessibility Manual, может потребоваться несколько попыток, чтобы адаптивные технологии зарегистрировали ввод, что существенно замедляет пользователей. Даже если они получают предупреждение, они могут не успеть среагировать достаточно быстро, чтобы доказать, что они все еще активны.

Когнитивные нарушения и время на обработку

Тайм-ауты сеанса также могут создавать барьеры доступности для людей с разными типами когнитивных особенностей. Строгие тайм-ауты создают излишнее давление, исходя из предположения, что все обрабатывают информацию с одинаковой скоростью. Пользователи могут выглядеть неактивными, хотя в действительности они читают, обдумывают или обрабатывают информацию.

Когнитивные различия охватывают широкий спектр опыта, включая нейроотличия вроде аутизма и СДВГ, а также нарушения развития, например синдром Дауна, и нарушения обучения, например дислексию. Многие люди рождаются с когнитивными различиями. Более того, по оценкам, 20% людей являются нейроотличными — это большая доля аудитории любого сайта. Другие приобретают когнитивные инвалидности позже в жизни из-за травматических повреждений головного мозга или состояний вроде деменции.

Людям с когнитивными инвалидностями часто требуется больше времени, чтобы завершить онлайн-задачи — не потому, что у них есть какой-то дефицит, а потому что они обрабатывают информацию иначе. Дизайнерские решения, которые хорошо работают для нейротипичных пользователей, могут создавать ненужные препятствия для людей с СДВГ, дислексией, аутизмом или состояниями, связанными с памятью.

Невидимые тайм-ауты сеанса особенно проблемны для людей, которые сталкиваются с потерей памяти, различиями в обработке языка или «слепотой ко времени». Например, лидер в сфере нейроотличных технологий Кейт Карратерс говорит, что СДВГ повлиял на ее восприятие времени. У нее есть «слепота ко времени», и она не может надежно отслеживать, сколько времени прошло, поэтому оценки становятся бесполезными.

Когда сайты полагаются на то, что пользователи оценивают оставшееся время до истечения сеанса, они незаметно исключают людей — не только тех, у кого есть формальные диагнозы СДВГ, но и всех, кто по-другому воспринимает время или обрабатывает информацию в другом темпе.

Нарушения зрения и накладные расходы на навигацию с помощью экранных дикторов

Поскольку слепые пользователи или пользователи с нарушениями зрения не могут визуально просканировать страницу, чтобы найти нужное, им приходится слушать ссылки, заголовки и поля форм — а это по своей природе занимает больше времени. Более 43 миллионов человек во всем мире сталкиваются со слепотой, в то время как у 295 миллионов есть нарушения зрения от умеренных до тяжелых, что делает это значимой проблемой доступности для любого сайта, ориентированного на глобальную аудиторию.

В результате сеансы этих пользователей могут истечь даже тогда, когда они активны. Живые таймеры и предупреждения за 30 секунд почти не помогают, потому что они не созданы с учетом экранных дикторов.

Богдан Церовац, веб-разработчик, увлеченный цифровой доступностью, столкнулся с этим на собственном опыте. Таймер обратного отсчета показывал ему, сколько времени осталось до того, как его разлогинят из-за неактивности. По всем признакам, все работало нормально. Однако он описывает опыт с экранным диктором как ужасный: тот сообщал ему оставшееся время каждую секунду. Он не мог нормально ориентироваться на странице, потому что его «засыпали» постоянными сообщениями о статусе.

Типичные схемы тайм-аутов, которые не соответствуют требованиям доступности

Согласно Национальному институту стандартов и технологий (NIST), управление сеансами предпочтительнее постоянного сохранения учетных данных, что побуждало бы пользователей создавать обходные пути аутентификации, способные угрожать безопасности. Однако несколько распространенных схем тайм-аутов не соответствуют современным требованиям к доступности тайм-аутов сеанса.

Источник изображения: princekwame. (Большой превью)

Тихие тайм-ауты и недостаточные предупреждения

Многие сайты либо не показывают предупреждение перед разлогином, либо выводят краткое всплывающее окно на несколько секунд, которое появляется слишком поздно, чтобы им можно было воспользоваться. Для пользователей, которые навигируют с помощью экранного диктора, эти предупреждения могут не быть озвучены вовремя. Для людей с моторными нарушениями таймер обратного отсчета на 30 секунд может не дать достаточно времени, чтобы успеть отреагировать.

Давайте рассмотрим страницу DS-260 Центра электронных консульских заявлений (Consular Electronic Application Center), которую используют для подачи заявления на получение или продление виз США для неиммигрантов. Если заявка простаивает около 20 минут, система разлогинит пользователя без предупреждения. Страница FAQ дает только приблизительную оценку времени. Работа человека сохраняется только тогда, когда он завершает страницу, поэтому он может потерять значительный прогресс.

Сеансы без возможности продления

Внезапное сообщение «Срок действия сеанса истек» раздражает даже людей без инвалидности. Если нет опции продолжить, пользователи вынуждены снова входить в систему и начинать работу заново, тратя время и энергию впустую.

Потеря данных формы при истечении срока

Если сайт автоматически не сохраняет прогресс, посетители потеряют все, когда сеанс истечет. Для людей с инвалидностью это не просто пустая трата времени. Это может сделать их день неизмеримо сложнее. Представьте: вы потратили час на запрос услуги, подачу заявки на работу или на покупку по заказу, и в итоге весь прогресс полностью стирается почти без предупреждения или вовсе без него.

Паттерны дизайна, которые балансируют безопасность и доступность

Непоследовательные периоды тайм-аута и отсутствие предупреждений приводят к внезапной и неожиданной потере всей несохраненной работы. Для длинных и сложных форм — например, DS-260 — плохой пользовательский опыт особенно болезненный. В сравнении с этим заявка в Великобритании на пенсионный кредит (pension credit) — очень доступна. Она предупреждает пользователей как минимум за две минуты и позволяет продлить сеанс. Она соответствует уровню AA критериев успешности WCAG 2.2, что указывает на ее доступность.

Источник изображения: Experience League. (Большой превью)

Люди с инвалидностью непропорционально сильно страдают от непредвиденных последствий плохого управления сеансами. К счастью, недоступность тайм-аутов сеанса — это не «неизбежный факт». С несколькими небольшими изменениями веб-профессионалы могут существенно улучшить доступность своего сайта.

Системы предварительных предупреждений и возможность продления

Сайты должны четко указывать наличие и длительность лимита времени до начала сеанса. Например, если человек заполняет банковскую форму, первая страница должна существовать исключительно для того, чтобы сообщить ему, что у формы есть лимит в 60 минут. Живой счетчик, который регулярно обновляется, может помочь им отслеживать, сколько времени осталось. Также пользователям нужно сообщить, могут ли они изменить длительность тайм-аута сеанса.

Тайм-ауты на основе активности vs. абсолютные тайм-ауты

Тайм-аут на основе активности разлогинивает пользователя из-за неактивности, а абсолютный тайм-аут разлогинивает независимо от активности. Для офиса абсолютный таймер на 24 часа может иметь смысл, поскольку сотрудники должны входить в систему только тогда, когда приходят на работу. Пока пользователи знают, когда истечет их сеанс, второй вариант более доступен, чем первый.

Автосохранение и сохранение прогресса

Cookies, localStorage и sessionStorage — это временные механизмы хранения на стороне клиента, которые позволяют веб-приложениям сохранять данные на время одной сессии браузера. Это мощные и легковесные инструменты. Веб-разработчики могут использовать их, чтобы автоматически сохранять прогресс пользователей через частые интервалы, гарантируя восстановление данных после повторной аутентификации.

Таким образом, даже если сеанс человека истечет случайно, его не будут наказывать. После повторного входа он сможет завершить ввод данных кредитной карты или продолжить с того места, где остановился, при заполнении онлайн-формы.

Тестирование и соображения соответствия WCAG

Руководство по доступности веб-контента (WCAG) — это набор международно признанных стандартов доступности для интернета, опубликованных W3C. Оно выступает арбитром в вопросе доступности тайм-аутов сеанса. Веб-разработчикам следует уделить особое внимание пункту 2.9.2, который описывает лучшие практики для достаточного времени.

Механизм, позволяющий регулировать тайм-аут, должен продлевать лимит времени до истечения сеанса или позволять полностью отключить его. Для первого варианта должно появляться диалоговое окно с вопросом, нужно ли пользователю больше времени, чтобы он мог продолжить одним кликом. В WC3 отмечается, что исключения существуют.

Например, когда сайт проводит живую продажу билетов, пользователи могут удерживать билеты в своей корзине только 10 минут, чтобы дать другим возможность купить ограниченный ассортимент. В качестве альтернативы тайм-ауты сеанса могут быть необходимы на общих компьютерах. Если бы библиотекари разрешали всем оставаться залогиненными вместо того, чтобы автоматически разлогинивать их на ночь, это создало бы риски для безопасности.

Некоторые процессы вообще не должны иметь ограничений по времени. При просмотре социальных сетей, чтении новостной статьи или поиске товаров на сайте электронной коммерции нет причин, чтобы сеанс истекал в произвольный временной промежуток. Между тем, в таймированном экзамене это может быть необходимо. Однако в таком случае администраторы могут продлевать лимиты времени для студентов с инвалидностью.

Когда веб-разработчики делают управление сеансами доступным, они не ориентируются на маленькую группу. Данные Pew Research Center показывают, что 62% взрослых с инвалидностью имеют компьютер. 72% имеют высокоскоростной домашний интернет. Эти цифры статистически не отличаются от доли недисаблед- взрослых, которые говорят то же самое.

Преодоление барьера доступности тайм-аута сеанса

WCAG предоставляет дополнительные ресурсы, которые веб-разработчики могут изучить, чтобы лучше понять доступность управления сеансами:

• WCAG SC 2.2.1 Timing Adjustable
• WCAG SC 2.2.5 Re-authenticating
• WCAG SC 2.2.6 Timeouts

Помимо следования этим рекомендациям, существует множество информации от ведущих образовательных учреждений, организаций, занимающихся открытыми веб-технологиями, и государственных агентств. Они дают отличную отправную точку для тех, у кого есть промежуточные знания в веб-разработке.

Веб-профессионалам стоит рассмотреть следующие ресурсы, чтобы узнать больше об инструментах и техниках, которые можно использовать для повышения доступности управления сеансами:

• Техника продления сеанса от Harvard University
• DWP Accessibility Manual: How to test session timeouts
• Свойство Window: sessionStorage

Доступность тайм-аутов сеанса — это не только лучшая практика отрасли, но и этический стандарт веб-разработки.

«Те, кто расставляет это приоритетом, привлечет более широкую аудиторию, улучшит удобство использования и получит больше посетителей сайта и более длинные сессии.

Главный вывод таков: сайт с недоступными тайм-аутами сеанса отправляет понятный сигнал, что он не ценит время и усилия пользователя — а это создает существенные барьеры для людей с инвалидностью. Но эту проблему можно решить. Всего несколько простых изменений — например, предоставление предупреждений о продлении сеанса и автосохранение прогресса — помогут веб-разработчикам создать более внимательный, доступный и уважительный интернет для всех.

Дополнительное чтение на Smashing Magazine

• «Что это на самом деле означает для сайта — быть доступным для навигации с клавиатуры», Eleanor Hecks
• «Проектирование для нейроразнообразия», Vitaly Friedman
• «Что я хотел бы, чтобы кто-то сказал мне, когда я только начинал работать с ARIA», Eric Bailey
• «Набор инструментов для адвокации доступности дизайнера», Yichan Wang

(yk)