Refs: https://git.spip.net/spip-team/securite/issues/4835

Fix https://core.spip.net/issues/4242 : si un fichier ecran_securite_options.php est place a côte du fichier ecran_securite.php il est inclus avant les define pour permettre la personalisation des constantes
On teste volontairement que le fichier est bien dans le meme repertoire que l'ecran de securite pour des raisons de perfo + si l'ecran est inclus en auto_prepend par l'hebergeur il ne doit pas etre surchargeable site par site

pour ne pas faire bénéficier du keep-alive aux éventuels attaquants

Ref https://core.spip.net/issues/4243

Retour a une liste complete de bots telle qu'elle etait sur la version non incremente de la zone, et on incremente

* les id_ exceptions dans une variable et on ajoute id_parent et id_article_pdf qui posent parfois problemes
* bloquer les paginations croisees dans les calendrier egalement pour les bots (sur certains squelettes genere des tonnes de requetes)
* envoyer une 429 Too Many Requests plutot qu'une 503 cf https://webmasters.stackexchange.com/questions/65674/should-i-return-a-429-or-503-status-code-to-a-bot et c'est mieux pour le referencement et GoogleBot qui a tendance a penser que 503 vient d'un serveur mal gere

ajout de robots qui font des hits sur des pages html + finalement ne pas lister les lecteurs RSS et podcast ici. Il ne sont pas comptés dans les stats de spip par défaut, et on ne souhaite pas les bloquer en cas de load.

1.3.8, report de http://core.spip.org/projects/spip/repository/revisions/24134 + http://core.spip.org/projects/spip/repository/revisions/24135

c'est un vilain bot qui flood seenthis

Report de r23888 : Ticket #3426, Correction de r23879, 'web' attrape webkit, qui n’est pas un bot. On l’enlève ! 

report de https://core.spip.net/projects/spip/repository/revisions/23879

Report de http://core.spip.org/projects/spip/repository/revisions/23592 : Version 1.3.2 : Sanitizer HTTP_X_FORWARDED_HOST quand il est envoye en en-tete

On reintegre facebookexternalhit dans la liste des bots, car on ne veut pas le compter en statistiques, mais on ajoute une constante _IS_BOT_FRIEND qui matche facebookexternalhit
Les botfriend ne sont pas rejetes d'un coup de 503 en cas de surcharge serveur, pour eviter les partages sociaux rates

retour sur r100783 qui cassait les puces de changement de statut, my bad et merci marcimat :)

report de https://core.spip.net/projects/spip/repository/revisions/23288

Report de https://core.spip.net/projects/spip/repository/revisions/23206 : verification plus generique pour prendre en compte le cas windows

Ajouter https://www.megaindex.ru/ dans les bots

report de https://core.spip.net/projects/spip/repository/revisions/22930 ; laisser passer facebook (+ soucis avec les accents dans ce fichier)

+ mise a jour de la liste des robots

- securite sur une variable mal protegee du plugin contact (il faut upgrader le plugin pour retrouver toutes les fonctionnalites)