Labels Milestones

New Issue

Vignette de document et filtrage des pièces-jointes #3891

Closed

opened 6 years ago by miros · 5 comments

miros commented 6 years ago

Bonjour,
SPIP permet de filtrer l'accès aux pièces jointes (via $GLOBALS['meta']['creer_htaccess'] === 'oui'). Dans ce cas, le répertoire /IMG/ n'est plus accessible depuis un navigateur et l'URL d'un document devient par exemple mon_site/spip.php?action=acceder_document&arg=23&cle=1c88992fb5082e4a76a818675282a964fedfb0cb&file=jpg%2Fpenguins.jpg

Lorsqu'une image a une vignette personnalisée, cette vignette est stockée dans le répertoire /IMG/ et la balise #LOGO_DOCUMENT utilise l'URL de la vignette dans /IMG/ même si l'accès aux pièces jointes est filtré. Aussi, la vignette ne s'affiche pas car /IMG/ n'est plus accessible depuis un navigateur.

Remarque : si on utilise #LOGO_DOCUMENT avec le filtre image_réduire, la version réduite de la vignette s'affiche. En effet, la version réduite de la vignette est stockée dans local/cache-vignettes/... qui est accessible depuis un navigateur (c'est-à-dire que la version réduite de la vignette n'est pas protégée).

La fonction generer_url_document_dist génère, le cas échéant, une URL avec "spip.php?action=acceder_document", en revanche la fonction vignette_logo_document ne le fait pas.

Une piste peut consister à modifier la fonction vignette_logo_document, ainsi que la fonction _image_valeurs_trans (car cette dernière ne tient pas compte du cas d'une URL du type "spip.php?action=acceder_document").

Cordialement,
Equipement

Bonjour, SPIP permet de filtrer l'accès aux pièces jointes (via $GLOBALS['meta']['creer_htaccess'] === 'oui'). Dans ce cas, le répertoire /IMG/ n'est plus accessible depuis un navigateur et l'URL d'un document devient par exemple mon_site/spip.php?action=acceder_document&arg=23&cle=1c88992fb5082e4a76a818675282a964fedfb0cb&file=jpg%2Fpenguins.jpg Lorsqu'une image a une vignette personnalisée, cette vignette est stockée dans le répertoire /IMG/ et la balise #LOGO_DOCUMENT utilise l'URL de la vignette dans /IMG/ même si l'accès aux pièces jointes est filtré. Aussi, la vignette *ne s'affiche pas* car /IMG/ n'est plus accessible depuis un navigateur. Remarque : si on utilise #LOGO_DOCUMENT avec le filtre image_réduire, la version réduite de la vignette s'affiche. En effet, la version réduite de la vignette est stockée dans local/cache-vignettes/... qui est accessible depuis un navigateur (c'est-à-dire que la version réduite de la vignette n'est pas protégée). La fonction generer_url_document_dist génère, le cas échéant, une URL avec "spip.php?action=acceder_document", en revanche la fonction vignette_logo_document ne le fait pas. Une piste peut consister à modifier la fonction vignette_logo_document, ainsi que la fonction _image_valeurs_trans (car cette dernière ne tient pas compte du cas d'une URL du type "spip.php?action=acceder_document"). Cordialement, Equipement

b_b commented 6 years ago

Owner

Salut, j'hésite à basculer le ticket sur le projet Medias, à voir.

De plus, observes-tu aussi le problème sur la branche 3.1 ? Amha, il faut d'abord envoyer le correctif sur la 3.2 et la 3.1, et on verra ensuite si u report en 3.0 est possible.

Sinon, as-tu un patch à proposer ?
Statut changé à En cours

Salut, j'hésite à basculer le ticket sur le projet Medias, à voir. De plus, observes-tu aussi le problème sur la branche 3.1 ? Amha, il faut d'abord envoyer le correctif sur la 3.2 et la 3.1, et on verra ensuite si u report en 3.0 est possible. Sinon, as-tu un patch à proposer ? **Statut changé à En cours**

miros commented 6 years ago

Poster

Bonjour,

J'ai constaté le même problème sous SPIP 3.1.

La fonction vignette_logo_document est dans le plugin Medias, mais la fonction _image_valeurs_trans est dans SPIP, aussi j'ai ouvert ce ticket pour SPIP.

Pour patcher la fonction vignette_logo_document, une piste consiste à reprendre une partie de la function generer_url_document_dist (medias/inc/documents.php).
Pour la fonction _image_valeurs_trans, je n'ai pas de proposition de patch. Par ailleurs, il y a peut-être d'autres fonctions de SPIP concernées.

Cordialement,
Equipement

Bonjour, J'ai constaté le même problème sous SPIP 3.1. La fonction vignette_logo_document est dans le plugin Medias, mais la fonction _image_valeurs_trans est dans SPIP, aussi j'ai ouvert ce ticket pour SPIP. Pour patcher la fonction vignette_logo_document, une piste consiste à reprendre une partie de la function generer_url_document_dist (medias/inc/documents.php). Pour la fonction _image_valeurs_trans, je n'ai pas de proposition de patch. Par ailleurs, il y a peut-être d'autres fonctions de SPIP concernées. Cordialement, Equipement

miros commented 6 years ago

Poster

La question de fond me semble être : "Est-ce que les vignettes personnalisées de document doivent être protégées ?"

Si oui, patcher la fonction vignette_logo_document ne suffira pas. En effet, si on utilise #LOGO_DOCUMENT avec le filtre image_réduire, la version réduite de la vignette est stockée dans local/cache-vignettes/... qui est accessible depuis un navigateur (c'est-à-dire que la version réduite de la vignette n'est pas protégée).

Si non, un piste consisterai à ce que les vignettes de documents soient toutes recopiées dans local/cache-vignettes/... (en version réduite ou, le cas échéant, en version non réduite).

Cordialement,
Equipement

La question de fond me semble être : "Est-ce que les vignettes personnalisées de document doivent être protégées ?" Si oui, patcher la fonction vignette_logo_document ne suffira pas. En effet, si on utilise #LOGO_DOCUMENT avec le filtre image_réduire, la version réduite de la vignette est stockée dans local/cache-vignettes/... qui est accessible depuis un navigateur (c'est-à-dire que la version réduite de la vignette n'est pas protégée). Si non, un piste consisterai à ce que les vignettes de documents soient toutes recopiées dans local/cache-vignettes/... (en version réduite ou, le cas échéant, en version non réduite). Cordialement, Equipement

cerdic commented 4 years ago

Owner

Version cible mise à 3.1

**Version cible mise à 3.1**

cerdic commented 2 years ago

Owner

C'est un problème insoluble et cette histoire de protection de documents ne fait que des mécontents car ça protège toujours trop ou pas assez. On laisse tel quel
Statut changé à Fermé

C'est un problème insoluble et cette histoire de protection de documents ne fait que des mécontents car ça protège toujours trop ou pas assez. On laisse tel quel **Statut changé à Fermé**

Sign in to join this conversation.

No Branch/Tag Specified

Branches Tags

1.8

1.9.1

1.9.2

2.0

2.1

3.0

3.1

3.2

4.0

4.1

4.2

boutons-danger

coquille_doc

debug_ecrire_fichier

dev-sortable

dev/autoloader

dev/hasard_fixe

dev/instituer_ergo

dev/issue_5447_exporter_csv

dev_infos_image

fix/valider_url_distante

fix_issue_5454

fix_modifier_login

issue_4101

issue_4678

issue_4705

issue_4717

issue_4836

issue_4946

issue_5258

issue_5344

issue_5427_bis

master

v1.8.3+b

v1.9.1+i

v1.9.2+f

v1.9.2+g

v1.9.2+h

v1.9.2+i

v1.9.2+j

v1.9.2+k

v1.9.2+m

v1.9.2+n

v1.9.2+o

v1.9.2+p

v2.0.0

v2.0.1

v2.0.10

v2.0.11

v2.0.12

v2.0.13

v2.0.14

v2.0.15

v2.0.16

v2.0.17

v2.0.18

v2.0.19

v2.0.2

v2.0.20

v2.0.21

v2.0.22

v2.0.23

v2.0.24

v2.0.25

v2.0.26

v2.0.3

v2.0.5

v2.0.6

v2.0.7

v2.0.8

v2.0.9

v2.1.0

v2.1.1

v2.1.10

v2.1.11

v2.1.12

v2.1.13

v2.1.14

v2.1.15

v2.1.16

v2.1.17

v2.1.18

v2.1.19

v2.1.2

v2.1.20

v2.1.21

v2.1.22

v2.1.23

v2.1.24

v2.1.25

v2.1.26

v2.1.27

v2.1.28

v2.1.29

v2.1.3

v2.1.30

v2.1.4

v2.1.5

v2.1.6

v2.1.7

v2.1.8

v2.1.9

v3.0.0

v3.0.0-alpha.1

v3.0.0-beta

v3.0.0-beta.2

v3.0.0-rc

v3.0.1

v3.0.10

v3.0.11

v3.0.12

v3.0.13

v3.0.14

v3.0.15

v3.0.16

v3.0.17

v3.0.18

v3.0.19

v3.0.2

v3.0.20

v3.0.21

v3.0.22

v3.0.23

v3.0.24

v3.0.25

v3.0.26

v3.0.27

v3.0.28

v3.0.3

v3.0.4

v3.0.5

v3.0.6

v3.0.7

v3.0.8

v3.0.9

v3.1.0

v3.1.0-alpha

v3.1.0-beta

v3.1.0-rc

v3.1.0-rc.2

v3.1.0-rc.3

v3.1.1

v3.1.10

v3.1.11

v3.1.12

v3.1.13

v3.1.14

v3.1.15

v3.1.2

v3.1.3

v3.1.4

v3.1.5

v3.1.6

v3.1.7

v3.1.8

v3.1.9

v3.2-alpha.1

v3.2.0

v3.2.0-alpha.1

v3.2.0-beta

v3.2.0-beta.2

v3.2.0-beta.3

v3.2.1

v3.2.10

v3.2.11

v3.2.12

v3.2.13

v3.2.14

v3.2.15

v3.2.16

v3.2.17

v3.2.2

v3.2.3

v3.2.4

v3.2.5

v3.2.6

v3.2.7

v3.2.8

v3.2.9

v4.0.0

v4.0.0-alpha

v4.0.0-beta

v4.0.1

v4.0.2

v4.0.3

v4.0.4

v4.0.5

v4.0.6

v4.0.7

v4.0.8

v4.0.9

v4.1.0

v4.1.0-alpha

v4.1.0-beta

v4.1.0-rc

v4.1.1

v4.1.2

v4.1.3

v4.1.4

v4.1.5

v4.1.6

v4.1.7

v4.2.0-alpha

v4.2.0-alpha2

Labels

Apply labels

Clear labels

accessibilité amélioration
Amélioration, nouvelle fonctionnalité APIs authentification base de données bug
Ca ne fonctionne pas code généré compilo css divers documentation doublon
Ce ticket est un doublon ergonomie espace privé filtres et balises formulaires Inscription installation invalide
Ticket invalide javascript langues LDAP plugin PostgreSQL refusé
Ignoré, c'est comme Ca... sécurité traduction

No Label accessibilité amélioration APIs authentification base de données bug code généré compilo css divers documentation doublon ergonomie espace privé filtres et balises formulaires Inscription installation invalide javascript langues LDAP plugin PostgreSQL refusé sécurité traduction

Milestone

Set milestone

Clear milestone

No items

No Milestone

3.1

Projects

Clear projects

No project

Assignees

Assign users

Clear assignees

No Assignees

3 Participants

Notifications

Subscribe

Due Date

The due date is invalid or out of range. Please use the format 'yyyy-mm-dd'.

No due date set.

Dependencies

This issue currently doesn't have any dependencies.

Write Preview

Loading…

Cancel

Save

There is no content yet.