Corrections de la journalisation des actions #4913

Open
opened 2 weeks ago by MathieuAlphamosa · 3 comments

La journalisation des actions sur /ecrire/ est intéressante d'un point de vue de la sécurité. Il permet, éventuellement, de remonter l'historique des actions réalisée par un compte en particulier.

Actuellement il y'a un bug et de petites améliorations pouvant etre apportée :

  • bug : l'utilisateur qui fait l'action n'est pas indiqué (valeur $qui toujours égale à 'true')
  • amélioration : caractères transcodés non nécessaires (?)
  • amélioration : ajout de l'ip, de l'id_auteur et du nom de l'auteur

Le message suivant

2021-10-06 16:32:17 192.168.1.43 (pid 756) /Users/mathieu/Desktop/_to_start/spip 4.0.0/plugins/rgpd/rgpd_fonctions.php:L16:inc_journal()::Pri:!INFO: 1 a édité l’groupe_mot 1 (titre+texte) :: modifier, groupe_mot, 1

deviendrait

2021-10-06 16:49:37 192.168.1.43 (pid 761) /Users/mathieu/Desktop/_to_start/spip 4.0.0/plugins/rgpd/rgpd_fonctions.php:L16:inc_journal()::Pri:!INFO: #ip:192.168.1.43# #id_auteur:1# #nom:Alphamosa# a édité groupe_mot 1 (titre+texte) :: modifier, groupe_mot, 1

La journalisation des actions sur /ecrire/ est intéressante d'un point de vue de la sécurité. Il permet, éventuellement, de remonter l'historique des actions réalisée par un compte en particulier. Actuellement il y'a un bug et de petites améliorations pouvant etre apportée : - bug : l'utilisateur qui fait l'action n'est pas indiqué (valeur $qui toujours égale à 'true') - amélioration : caractères transcodés non nécessaires (?) - amélioration : ajout de l'ip, de l'id_auteur et du nom de l'auteur Le message suivant `2021-10-06 16:32:17 192.168.1.43 (pid 756) /Users/mathieu/Desktop/_to_start/spip 4.0.0/plugins/rgpd/rgpd_fonctions.php:L16:inc_journal()::Pri:!INFO: 1 a édité l’groupe_mot 1 (titre+texte) :: modifier, groupe_mot, 1` deviendrait `2021-10-06 16:49:37 192.168.1.43 (pid 761) /Users/mathieu/Desktop/_to_start/spip 4.0.0/plugins/rgpd/rgpd_fonctions.php:L16:inc_journal()::Pri:!INFO: #ip:192.168.1.43# #id_auteur:1# #nom:Alphamosa# a édité groupe_mot 1 (titre+texte) :: modifier, groupe_mot, 1`
b_b commented 2 weeks ago
Owner

D'accord sur l'ensemble de la proposition, sauf sur l'ajout de l'IP dans les logs. On en a déjà parlé je ne sais plus trop où, mais c'est pas une info anodine et la stocker dans les logs de SPIP l'expose plus que quand elle est stockée dans les logs serveur.

D'accord sur l'ensemble de la proposition, sauf sur l'ajout de l'IP dans les logs. On en a déjà parlé je ne sais plus trop où, mais c'est pas une info anodine et la stocker dans les logs de SPIP l'expose plus que quand elle est stockée dans les logs serveur.
b_b commented 2 weeks ago
Owner

Autre point, chez moi sur le trunk, les logs du journal sont pollués par des trucs comme ça pour chaque ligne :Pri:info: <span class='debug-traduction-erreur'>

Autre point, chez moi sur le trunk, les logs du journal sont pollués par des trucs comme ça pour chaque ligne `:Pri:info: <span class='debug-traduction-erreur'>`
b_b added the
bug
label 2 weeks ago
b_b added this to the 4.1 milestone 2 weeks ago

Concernant l'IP, pas de soucis je retire ça (bon à noter que l'IP est déjà présente en début de ligne après la date).

J'ai pas de pollution de mon côté, mais comme je n'ai pas encore activé cette fonctionnalité sur des sites en prod je passe peut être à côté d'un autre bug... si tu as d'autres infos fais moi signe.

J'attends de voir si il y'a d'autres remarques et je fais un PR.

Concernant l'IP, pas de soucis je retire ça (bon à noter que l'IP est déjà présente en début de ligne après la date). J'ai pas de pollution de mon côté, mais comme je n'ai pas encore activé cette fonctionnalité sur des sites en prod je passe peut être à côté d'un autre bug... si tu as d'autres infos fais moi signe. J'attends de voir si il y'a d'autres remarques et je fais un PR.
Sign in to join this conversation.
No Milestone
No project
No Assignees
2 Participants
Notifications
Due Date

No due date set.

Dependencies

This issue currently doesn't have any dependencies.

Loading…
There is no content yet.