Hello,

avec accès restreint 4.0.0, la protection des documents ne semble plus fonctionner.

Déjà, en activant "interdire la lecture" et "Créer les fichiers .htpasswd", on n'a pas le même résultat sur SPIP 3.2 et 3.3

En 3.2 ça crée un htaccess dans IMG :

RewriteEngine On
RewriteCond %{QUERY_STRING} ^(\d+/[\da-f]+)$
RewriteRule ^\w+/.*$ ../spip.php?action=api_docrestreint&arg=%1/$0 [skip=100] RewriteRule ^\w+/.*$ ../spip.php?action=api_docrestreint&arg=0/0/$0 [skip=100]

Avec ces règles, un appel à /IMG/pdf/patate.pdf est servi directement par Apache (la redirection ne s'applique pas).

En 3.3 ça crée des htaccess dans les sous répertoires de IMG :

# Deny all requests from Apache 2.4+.
<IfModule mod_authz_core.c>
  Require all denied
</IfModule>
# Deny all requests from Apache 2.0-2.2.
<IfModule !mod_authz_core.c>
  Deny from all
</IfModule>

Là au moins, tous les hits sont bloqués par défaut.

Mais dans les deux cas, les documents attachés à des articles ou des rubriques en accès restreints ne sont plus protégés.

Dans action_api_docrestreint_dist, $Document->status est toujours vide à l'arrivée, au lieu de 403.

Je poste ça là pour l'instant, j'essaie de continuer à suivre le code.

--
nicod_
_______________________________________________
liste: https://listes.rezo.net/mailman/listinfo/spip-dev
doc: https://www.spip.net/
dev: https://core.spip.net/
irc://irc.freenode.net/spip

Répondre à