Bonjour,
Il semblerait que spip accepte les auteurs avec login mais sans mot de
passe, autrement dit spip considère qu'une identité pour laquelle un login
est configur mais pas un password est un "rédacteur" et plus un "auteur
virtuel" (et dans ce cas, le login seul permet d'accéder à l'interface
privée). Rien de très grave mais ne faudrait-il pas empêcher cela ?
Pour info, la situation est la suivante : je souhaite générer de "beaux"
urls (du type http://politique.eu.org/auteurs/goldman.html, avec le nom de
la personne plutôt qu'un numéro) pour les pages récapitulatives des
articles pondus par les auteurs de mon site. J'utilise pour ce faire le
champ "login", y compris pour les "auteurs virtuels" (ce sont des "auteurs
virtuels" parce qu'ils n'encodent pas eux-mêmes leurs articles). Dès que
j'ai rempli le champ login, spip ne les considère plus comme des auteurs
virtuels mais comme des auteurs réels sans mot de passe et leur donne donc
accès à l'interface privée. Bien sûr, je peux utiliser un autre champ que
"login" ou mettre dans mysql une valeur par défaut pour le password,...
François
ou mettre dans mysql une valeur par défaut pour le password,...
Bonne idée. Attention toutefois s'ils ont un mail ils pourront
faire "rappel de mot de passe".
-- Fil
Je ne sais pas comment ça a évolué, mais à l'origine, il y avait une idée (peut-être perdue désormais avec le "rappel de mot de passe oublié"): pouvoir sucrer l'accès à l'espace privé d'un rédacteur, simplement en supprimant son mot de passe. Pour s'abonner à nouveau au site, le rédacteur (troll, à priori) en question se retrouvait obligé de fournir une nouvelle adresse email, d'où l'idée: si un troll veut faire chier dans l'espace privé d'un site "ouvert aux inscriptions", il le peut, mais à terme ça lui prend plus de temps de se fabriquer à chaque fois pour se réinscrire qu'à un admin pour le kicker.
A*
<citation de="ARNO*">
Je ne sais pas comment ça a évolué, mais à l'origine, il y avait une idée
(peut-être perdue désormais avec le "rappel de mot de passe oublié"):
pouvoir sucrer l'accès à l'espace privé d'un rédacteur, simplement en
supprimant son mot de passe. Pour s'abonner à nouveau au site, le
rédacteur (troll, à priori) en question se retrouvait obligé de fournir
une nouvelle adresse email, d'où l'idée: si un troll veut faire chier dans
l'espace privé d'un site "ouvert aux inscriptions", il le peut, mais à
terme ça lui prend plus de temps de se fabriquer à chaque fois pour se
réinscrire qu'à un admin pour le kicker.
Une solution pourrait être d'ajouter une checkbox (visible et modifiable
seulement par les administrateurs) dans le menu "auteur" interdisant toute
opération (accès à l'interface, rappel du mot de passe par mail,...) à un
auteur. Dans les faits, cela reviendrait à créer de façon explicite un
statut d'"auteur virtuel" tout en permettant de neutraliser les trolls.
François