r9187 - spip/ecrire/inc

fil · Mai 6, 2007, 8:33

Author: fil@rezo.net
Date: 2007-05-06 22:33:25 +0200 (dim, 06 mai 2007)
New Revision: 9187

Log:
ah je me disais bien que je me faisais tout le temps deconnecter

Modified:
spip/ecrire/inc/acces.php
spip/ecrire/inc/session.php

Details: http://trac.rezo.net/trac/spip/changeset/9187

esj · Mai 6, 2007, 8:43

Le 6 mai 07 à 22:33, fil@rezo.net a écrit :

Author: fil@rezo.net
Date: 2007-05-06 22:33:25 +0200 (dim, 06 mai 2007)
New Revision: 9187

Log:
ah je me disais bien que je me faisais tout le temps deconnecter

spip_setcookie('spip_session', $_COOKIE['spip_session'],
- 2 * _RENOUVELLE_ALEA);
+ time() + 20 * _RENOUVELLE_ALEA);

Oups, autant pour moi d'avoir écrit un temps relatif et non absolu.
Mais pourquoi mutliplier par 20 et non par 2 ?

Committo,Ergo:Sum

fil · Mai 6, 2007, 8:53

> - 2 * _RENOUVELLE_ALEA);
> + time() + 20 * _RENOUVELLE_ALEA);

Oups, autant pour moi d'avoir écrit un temps relatif et non absolu.
Mais pourquoi mutliplier par 20 et non par 2 ?

En tous cas ça ne gêne pas.

J'essaie de récupérer la feature de "rester connecté plusieurs jours",
et je me demandais s'il ne fallait pas conserver le RENOUVELLE_ALEA à
4 heures, mais instaurer un nombre de cycles de validité supérieur à
2. D'où l'idée déjà de se donner du temps ici, côté client.

Mais je pense que c'est une fausse piste : la bonne solution serait de
remettre RENOUVELLE_ALEA par défaut à 12h, comme avant, et de
supprimer l'affichage de l'option "rester connecté" dès lors que cette
constante est inférieure.

-- Fil

esj · Mai 6, 2007, 9:19

Le 6 mai 07 à 22:53, Fil a écrit :

> - 2 * _RENOUVELLE_ALEA);
> + time() + 20 * _RENOUVELLE_ALEA);

Oups, autant pour moi d'avoir écrit un temps relatif et non absolu.
Mais pourquoi mutliplier par 20 et non par 2 ?

En tous cas ça ne gêne pas.

c'est moins sécurisé quand meme.

J'essaie de récupérer la feature de "rester connecté plusieurs jours",
et je me demandais s'il ne fallait pas conserver le RENOUVELLE_ALEA à
4 heures, mais instaurer un nombre de cycles de validité supérieur à
2. D'où l'idée déjà de se donner du temps ici, côté client.

Mais je pense que c'est une fausse piste : la bonne solution serait de
remettre RENOUVELLE_ALEA par défaut à 12h, comme avant, et de
supprimer l'affichage de l'option "rester connecté" dès lors que cette
constante est inférieure.

Je préférerais ton idée du panneau de config: choisir le confort ou la sécurité.

Committo,Ergo:Sum

fil · Mai 6, 2007, 9:26

> En tous cas ça ne gêne pas.

c'est moins sécurisé quand meme.

Ben non, vu que le cookie est "mort" après deux tours d'alea.

> Mais je pense que c'est une fausse piste : la bonne solution serait de
> remettre RENOUVELLE_ALEA par défaut à 12h, comme avant, et de
> supprimer l'affichage de l'option "rester connecté" dès lors que cette
> constante est inférieure.

Je préférerais ton idée du panneau de config: choisir le confort ou
la sécurité.

Je crois que "choisir la sécurité" c'est un ensemble de choses, dont
ce renouvelle_alea n'est qu'une toute petite partie. Il faudrait
ajouter des possibilités https, au moins. Du coup ça va faire beaucoup
de travail, qu'à mon avis il faut commencer par faire en plugin.

D'où mon souhait de revenir à 12 h dans un premier temps, sachant que
les 4h sont à portée d'un simple define() dans mes_options.

-- Fil