Nettoyer l’écran de sécurité
L’écran de sécurité fournit avec SPIP devrait toujours être à jour de sa version de SPIP, et donc limiter son action au strict nécessaire : c’est à dire ne pas avoir du code de correction de failles de SPIP 1.8, 1.9, etc…
Ça éviterait aussi au passage quelques erreurs d’analyse statique sur des fonctions qui n’existent plus du tout dans PHP…
À conserver
- déclaration des constantes
_ECRAN_SECURITE
,_ECRAN_SECURITE_LOAD
,_IS_BOT
,_IS_BOT_FRIEND
$ecran_securite_raison = "robot agenda/double pagination";
Bloque les bots quand le load déborde
À questionner : retirer ?
- les intval préventifs sur
id_*
(c’est parfois gênant)
À questionner : conserver ?
- le
$ecran_securite_raison = "exec";
Échappement xss referer
Echappement HTTP_X_FORWARDED_HOST
$ecran_securite_raison = "malformed connect argument";
À retirer
- probablement tout le reste :)
Ça voudrait dire que cet écran serait à jour pour la version fournie par SPIP. Mais donc, il faudrait actualiser aussi https://git.spip.net/spip-contrib-outils/securite
Il n’est peut être pas nécessaire de conserver du code des SPIP 1.8, 1.9 dedans, des SPIPs dont on n’assure plus du tout la maintenance. Logiquement (je suppose) ce dépot devrait être à jour «des versions maintenues» probablement, soit pour SPIP 3.2.0+ disons à ce jour.
La question se pose de quel versionnage donner à _ECRAN_SECURITE
du spip/spip et de celui de spip-contrib-outils/securite.
Je passe les détails sur le résonnement (c’était trop de blabla), mais au final je propose +
(méta-données de construction dans semver) une version propre à spip-contrib-outils/securite, tel que :
-
2.0.0
dans spip/spip
Et pour spip-contrib-outils/securite
-
2.0.0+1.4.5
(la version 2 de spip/spip + la version 1.4.5 du plugin en gros) - ou
2.0.0+1.4.5-spip-3.2
(ou en disant en plus que c’est pour spip-3.2 minimum)
À discuter… D’autant qu’il serait intéressant de le faire charger par Composer également.