<div dir="ltr">It's always reinvigorating seeing everyone. Thanks to all who could make it!<div><br></div><div>I wanted to recap what seemed like the priorities we ended with during our <a href="https://docs.google.com/a/mozilla.com/document/d/1rAJ9Sm2QPKZPOBleqTBEGevLExMPHQvTXngASr4n3IM/edit?usp=sharing">Friday planning meeting</a>.</div><div><br></div><div><b>First priority is to ship "signin confirmation".</b> We're close. This is the biggest impact we can make to improve security for our users. Let's secure them.</div><div><br></div><div>Afterwards:</div><div><ul><li><span style="line-height:1.5">Security</span></li><ul><li><span style="line-height:1.5">IP blocklist</span></li><li><span style="line-height:1.5">Send less sign-in confirmation emails based on IP history</span></li><ul><li><span style="line-height:1.5">Should reduce frustration for a <a href="https://sql.telemetry.mozilla.org/queries/526#878">majority of users</a></span></li></ul><li><span style="line-height:1.5">E-mail "captcha"</span></li><ul><li><span style="line-height:1.5">Provide UX and a link to override rate limiting</span></li><li>Uses sign-in confirmation, with altered copy</li></ul><li>Location data in sign-in confirmation email</li><ul><li>"Please confirm your sign-in attempt from Mountain View, USA"</li></ul><li>3rd-party security audit</li></ul><li><span style="line-height:1.5">UX</span><br></li><ul><li><span style="line-height:1.5">Measure more things</span></li><ul><li><span style="line-height:1.5">Big number / graph to see each week</span></li><ul><li><span style="line-height:1.5">Mean (median?) page load</span></li><li><span style="line-height:1.5">95th% page load</span></li></ul><li>Time "connecting" assets</li><ul><li>To know how much http2 would save</li></ul><li><span style="line-height:1.5">Time from firstrun to sigin form usable</span></li></ul><li>Conditionally load crypto</li><ul><li>Load while user is filling out form</li><li>Remove assertions entirely (!)</li><ul><li>requires coordination with oauth server to accept sessionTokens</li></ul></ul></ul><li><span style="line-height:1.5">OAuth for Context Graph</span><br></li><ul><li><span style="line-height:1.5">"Disconnect" an oauth token (devices and services)</span></li><li><span style="line-height:1.5">OAuth API for Sync</span></li></ul><li><span style="line-height:1.5">Quality</span><br></li><ul><li><span style="line-height:1.5">nodejs 4.0 LTS</span></li><ul><li><span style="line-height:1.5"><a href="https://github.com/nodejs/LTS#lts_schedule">0.10 EOL is October</a></span></li><li>All repos pass tests on 4.0</li><li>Docker makes this easier, but dockerization may take too long</li></ul><li>utf8mb4</li><ul><li>In place change</li><li>Since we've been truncating anyways, the change should Just Work<span style="color:rgb(51,51,51);font-family:"open sans","helvetica neue",helvetica,arial,sans-serif;font-size:14px;line-height:20px;background-color:rgb(249,249,249)">™</span></li><li><span style="color:rgb(51,51,51);font-family:"open sans","helvetica neue",helvetica,arial,sans-serif;font-size:14px;line-height:20px;background-color:rgb(249,249,249)">Stored procedures will need it separately</span></li></ul></ul></ul><div><font color="#333333" face="open sans, helvetica neue, helvetica, arial, sans-serif"><span style="font-size:14px;line-height:20px">Did I get everything? Did I properly describe everything? Is this really all for Q3? This looks like a lot, more likely for a "rest of the year" type thing.</span></font></div></div><div><font color="#333333" face="open sans, helvetica neue, helvetica, arial, sans-serif"><span style="font-size:14px;line-height:20px"><br></span></font></div><div><font color="#333333" face="open sans, helvetica neue, helvetica, arial, sans-serif"><span style="font-size:14px;line-height:20px">If this looks right, next step is </span><span style="line-height:20px">to make sure we have features in Aha!, and issues filed for each piece.</span></font></div></div>