Formidable 6 ou pas ?

Dev
#1

Bonjour,

@nicod a soulevé un problème dans la gestion des autorisations dans formidable, avec une incohérence au niveau de l’objet testé et passé en identifiant.

Il a proposé un PR pour résoudre ce souci.

Problème: en corrigeant ce souci, on peut potentiellement casser les sites qui avaient surchargé les autorisations, avec risque potentiel de divulgation car les autorisations ne seraient plus bonne.

Donc outre une annonce que je fais ici, on se demandait s’il ne fallait pas faire un changement de X (qui incluerait des nouvelles fonctionnalités par ailleurs).

Je demande vos avis.

Et on va même mettre un sondage pour être certains de bien compter.

  • Il faut changer le X (version majeure)
  • Il faut rester sur le même X (version mineure)

0 votant

#2

Hello, il faudrait greper/chercher quoi concrètement pour voir si un site est impacté ?

1 « J'aime »
#3

J’avais greppé sur la zone bien sûr.
Aucune utilisation à part celles que j’ai recensées sur le ticket (un vieux plugin de @maieul, et formidable_tablesorter dont je me suis déjà occupé).

#4

Je n’ai très honnêtement aucun avis sur la question.

A part que : je n’ai pas tout suivi sur l’activité (intense), mais est ce qu’il n’a a pas d’autres modifs en attente qui elles mériteraient un x++ ?

#5

@ben

il faut distinguer deux choses

  1. Les appels aux autorisations : il faut chercher formulairesreponse pour
    a. soit remplacer par la nouvelle autorisation voirresponses en passant toujours l’id_formulaire : cf fix: Mise à jour des autorisations suite aux modifications dans formidable · 088064fa91 - formidable_tablesorter - SPIP on GIT
    b. soit garder formulairesreponse et passer l’id de la réponse plutot que l’id du formulaire, cf #222 - fix: L'autorisation `formulairesreponse_voir` reçoit un `id_formulaires_reponse`, comme les autres - formidable - SPIP on GIT
  2. Les surcharges perso des autorisations : c’est là où il y a le plus de risque de dévoiler par erreur des choses. Il faut donc chercher les fonctions d’autorisation qui contiennent formulairesresponse, prendre en compte que désormais cela recoit un identifiant de réponse plutot qu’un identifiant de formulaire, et du coup ajuster le code de la fonction

(@nicod tu me corrige si je me trompe)

pour répondre à @nicod : sans aller jusqu’à dire que cela mérite en soit un X, il y a quelques modifs sympas et intéressante listée ici formidable/CHANGELOG.md at master - formidable - SPIP on GIT

#6

Hello

Si une version 6 il y aura, peut-être qu’on pourrai inclure mon besoin: une option qui permet, si un rédacteur rempli un formulaire, il ne sera envoyé par mail qu’après validation d’un administrateur.
J’espère que d’autres ont ce besoin.

#7

Oui d’autres ont ce besoin. Mais pour l’heure pas le temps de m’y consacrer. Cela pourra venir dans une autre version, indépendamment de la question de la v6.