à tenter (vainement, je vous rassure) de documenter les statuts,
droits et autorisation de spip 2.1 (pas 3) je remarque qu'un
certain nombre de pages de l'espace privé ne sont pas accessibles
par clic (sur un bouton ou un lien explicite) aux rédacteurs
ou aux administrateurs restreints, *alors que* ces mêmes pages
sont accessibles en tapant directement leur url (donc, oui, en
ayant connaissance préalablement de cette url...).
du coup, je ne sais trop que faire.
j'expecte et m'interroge (en cette veille du jour de félicité absolue*)
ajouter l'affichage du bouton (ou du lien) ou interdire strictement
l'accès à la page ?
de même, certaines actions entraînent l'affichage d'une boite d'alerte
de type "Vous n'avez pas le droit de faire ceci !" alors même que
l'action induite est bien prise en compte.
dernier exemple en date : la modification/supression de logo sur un
site syndiqué non publié pour un admin restreint
je rappelle que je parle de la 2.1 (celle qui marche quoi)
à tenter (vainement, je vous rassure) de documenter les statuts,
droits et autorisation de spip 2.1 (pas 3) je remarque qu’un
certain nombre de pages de l’espace privé ne sont pas accessibles
par clic (sur un bouton ou un lien explicite) aux rédacteurs
ou aux administrateurs restreints, alors que ces mêmes pages
sont accessibles en tapant directement leur url (donc, oui, en
ayant connaissance préalablement de cette url…).
du coup, je ne sais trop que faire.
j’expecte et m’interroge (en cette veille du jour de félicité absolue*)
ajouter l’affichage du bouton (ou du lien) ou interdire strictement
l’accès à la page ?
Si le bouton ou le lien ne sont pas afficher, on peut supposer que la volonté initiale était d’interdire. C’était le cas de plusieurs formulaires de configuration de plugins jusqu’il n’y a pas si longtemps (à la louche, entre les 48400 et 48500 sur la zone, y a eu quelques corrections non exhaustives).
de même, certaines actions entraînent l’affichage d’une boite d’alerte
de type « Vous n’avez pas le droit de faire ceci ! » alors même que
l’action induite est bien prise en compte.
dernier exemple en date : la modification/supression de logo sur un
site syndiqué non publié pour un admin restreint
autre exemple rencontré sur IRC ces derniers jours, la création d'auteurs par les admins restreints (...ecrire/?exec=auteur_infos&new=oui): le bouton était dispo en 1.8 et a disparu en 1.9.2 . Pour autant, jusqu'en 2.1, l'action est toujours autorisée si on dispose de l'URL.
Dans ce cas précis, la webmestresse souhaitait pourvoir rendre la chose faisable et à été plutôt agréablement surprise de voir que c'était *déja* possible.
L'idée serait quand même d'abord de savoir si la disparition du bouton était voulue ou accidentelle et ensuite, si il n'y a pas de justification spécifique, de décider si elle est souhaitable.
Il me semble que si on interdit une action qui était jusque là autorisée, cela risque de mettre dans la cagade les sites qui s'en servaient lorsqu'ils vont mettre à jour (clairement pour eux *c'est* une régression!)... et que cela va imposer à leurs webmestres de savoir coder une autorisation alors que jusque là ils se débrouillaient très bien soit avec un lien qq part dans le site (typiquement un article spécifique) soit avec l'ajout d'un bouton via un plugin.xml (nettement plus simple à faire que de coder une autorisation...)
De ce fait j'aurais tendance à dire qu'il est préférable de ne pas opter pour l'interdiction systématique
Le statut des admins restreints était assez bancal jusqu'à la 1.9 exclue, version qui a officiellement définie ce qu'ils pouvaient et ne pouvaient pas faire: http://www.spip.net/fr_article3368.html
mais c'est incomplet. De mémoire, il avait décidé qu'un auteur avait le droit de créer des auteurs de droits strictement inférieurs à lui.
En tout cas il est certain qu'il est hors de question de mettre des restrictions là où il n'y en a pas: sinon c'est le meilleur moyen d'avoir des plaintes à la prochaine version mineure.