Le 07/05/2020 à 00:08, Cerdic a écrit :

Le 6 mai 2020 à 21:05 +0200, nicod_ <ni...@lerebooteux.fr>, a écrit :
Si elle n'est pas définie, toutes les urls qui contiennent le hash du
document sont ok, donc il suffit de copier coller un lien vers un doc
depuis un espace restreint pour qu'il soit accessible par un visiteur
non connecté, ce qui est justement ce qu'on ne veut pas.

C’est bien ce qu’on veut, si, c’était la spec initiale.

Le problème c’est que chacun veut un truc un peu différent et à la fin ça finit par faire de la complexité et on sait plus vraiment ce que le plugin est censé faire ou pas… :(

Ça dépend de la spéc initiale, je te l'accorde :)

Le problème n'est pas que chacun veuille un truc différent, mais que la doc et les libellés des options du plugin ne sont pas très (ou plus très) précis sur ce qui est effectivement protégé ou pas.

Je cite : « les accès aux images et documents du site vont tous générer un accès à la base de données (pour savoir si les documents concernés peuvent être vus) »
On peut l'interpréter de plusieurs façons, non ?

Je pense que ça devrait être plus clair, et que l'utilisation de la constante ACCES_RESTREINT_FORCE_AUTORISE devrait être documenté, pour que les utilisateurs sachent exactement ce qui est protégé ou pas (avec la mise en garde de performances qui va bien).

Et en terme de clarté, l'option de plugin qui parle de créer des htpasswd serait peut être à réécrire, qu'en penses tu ?

J'ai essayé de suivre un peu ce qui se passe dans le code en fonction de ces deux options, mais c'est assez complexe, avec aussi l'intervention d'une autre meta (creer_htaccess) qui n'est déclarée nulle part...

--
nicod_
_______________________________________________
liste: https://listes.rezo.net/mailman/listinfo/spip-dev
doc: https://www.spip.net/
dev: https://core.spip.net/
irc://irc.freenode.net/spip

Répondre à