Franck a rédigé 4 years ago et marcimat a validé 4 years ago

«avec tendresse depuis 2001»

Fix #3691 : envoyer un faux alea sur le formulaire de login aussi pour eviter la detection des login valides - complete r1758

Le cnx doit être de la même forme dans tous les cas de retour, avec ou sans le login trouvé dans le formulaire de login. Clos https://core.spip.net/issues/3690 (Stéph R).

Fixer operators_spaces : espace de part et d'autre des opérateurs binaires (règle SPIP sur les - + * / etc...)

doivraient être en minuscule.

- encoding (utf8)
- eof_ending (saut le ligne en fin de fichier)
- elseif (pas else if)
- function_call_space (espaces sur fonctions)
- function_declaration (pareil)
- function_typehint_space (pareil)

passage du copyright en 2015

Report de r20488 : report de [20483] : si un login n'existe pas, plutot que de piocher les infos sur un autre login (au risque de fournir la photo d'un auteur sans lien lorsqu'on se trompe dans son email), inventer une reponse credible a base de secret_du_site(), de la date du jour, et du login

Proposer un define _AUTORISER_AUTH_FAIBLE permettant de demander à SPIP de ne pas crypter les mots de passe envoyé lorsqu'il n'a pas trouvé de login à quelqu'un. Cela permet de rétablir le comportement d'avant SPIP 3.

Le fonctionnement est le suivant : lorsqu'on veut se connecter à X (un service tiers) en utilisant le formulaire de login de SPIP, SPIP regarde si le login entré dans le formulaire existe dans sa base spip_auteurs. Si c'est le cas, il regarde la source d'identification de l'auteur (colonne source de spip_auteurs) : si c'est SPIP, il crypte (en javascript) le mot de passe saisi avant de le poster. Si c'est une autre source d'authentification, il ne fait rien lui même (le mot de passe est laissé tel quel, mais des javascripts peuvent être appliqués par les plugins de ce système d'authentification).

Là où le bas blessait, c'est lorsque spip_auteurs n'a pas encore connaissance du login cherchant à se connecteur en utilisant une autre source d'authentification, parce que c'est sa première utilisation : SPIP crypte alors toujours le mot de passe avec son alea. On ne peut pas, dans ce cas, s'authentifier sur la source distante.

Ce define, activé par exemple dans auth_X_retrouver_login() permet d'éviter le cryptage du passe de SPIP par défaut lorsqu'un login est introuvable. Une première identification à un service tiers, permet alors  de créer l'auteur dans sa base de données avec source=xxx (xxx étant le nom du système d'authentification).

Je profite de cette écriture massive pour normaliser quelque chose de trompeur lorsqu'on compare deux versions, savoir l'usage de " ou ' dans le premier argument de define et defined. Comme les chaînes entre apostrophes sont plus rapidement analysées que celles entre guillemets, je choisis l'apostrophe.

Dépot obtenu avec le script Shell:
{{{
a=$(find . -name "*.php" |grep -v extensions/ | grep -v /config/ | grep -v index.php | grep -v public.php | grep -v prive.php )
echo -n "Fichiers: "
echo $a|wc -w
for i in $a
do
sed -f ~/Sites/spip/spip.sed $i > /tmp/f.php
if diff -q $i /tmp/f.php
then 
    :
else
       diff $i /tmp/f.php
#     echo $i;   php /tmp/f.php
#    mv /tmp/f.php $i
fi
done
}}}
et le script Sed:
{{{
s/Copyright (c) 2001-20../Copyright (c) 2001-2011/
s,\(if [(]!*\)*\(defined* *[(]\)"\([^"]*\)"\(.*\);[[:space:]]*[#/]*.*$,\1\2'\3'\4;,
}}}

Complément à [15849]: sécuriser un peu plus en amont pour éviter Warning et requêtes SQL toujours vides.

complement pour #1758 : informer les logins inexistants avec des infos en base correspondant a un login existant ce qui ne permet plus de discriminer les login exsitants ou non

Dépot obtenu par:

{{{
for i in $(grep  -l '(c) 2001-' * */* */*/* 2> /dev/null)
do
sed 's/(c) 2001-2008/(c) 2001-2009/' $i > /tmp/x
mv /tmp/x $i
done
}}}

- on garde la denomination originelle informer_auteur car il ne s'agit pas d'une authentification
- inc-logo_auteur.html doit etre dans prive/ et non dans dist/
- le filtre ad-hoc pour le squelette va dans un fichier fonctions associe plutot qu'alourdir inc/filtres
- un jeton avec la date est passe a informer_auteur pour empecher la mise en cache par les navigateurs (FF3 notamment) ou proxy malgre le header

au passage permettre de definir une fonction balise_XX_stat() pour argumenter
sans pour autant definir de fonction _dyn

la fonction stat permet ici de continuer provisoirement le support de 
[(#FORMULAIRE_RECHERCHE|spip.php?page=tralala)]

on encourage vivement a utiliser la seule ecriture qui devrait etre acceptee :
[(#FORMULAIRE_RECHERCHE{spip.php?page=tralala})]

les squelettes formulaires perdent le prefixe formulaire_, ca evitera de les confondre avec ceux restes a la racine et provenant de la version precedente de SPIP

permettre de ranger ses formulaires personalisés dans squelettes/formulaires/ (les fichiers php associés pouvant soit rester dans ecrire/balise/ soit etre personalisés aussi et placés dans squelettes/balise/)