[spip-dev] ignorer les .htaccess et/ou authentification http

Coucou,

deux booléens supplémentaires pour mes_options.php3 : on peut décider
que SPIP va ignorer les connexions par REMOTE_USER (.htaccess) et/ou par
authentification http.

Ca permet, en théorie, de fonctionner sous un .htaccess global (régler
ignore_remote_user=true) ; ou de ne pas proposer l'authentification
classique en cas de refus de cookie (cas, notamment, des serveurs mal réglés
qui passent toutjours 'root' comme valeur pour php_auth_user)

Ce serait pas mal de vérifier que je n'ai pas ouvert un trou de sécurité au
passage :wink:

-- Fil

Fil wrote:

Coucou,

deux booléens supplémentaires pour mes_options.php3 : on peut décider
que SPIP va ignorer les connexions par REMOTE_USER (.htaccess) et/ou par
authentification http.

Ca permet, en théorie, de fonctionner sous un .htaccess global (régler
ignore_remote_user=true) ; ou de ne pas proposer l'authentification
classique en cas de refus de cookie (cas, notamment, des serveurs mal réglés
qui passent toutjours 'root' comme valeur pour php_auth_user)

Ce serait pas mal de vérifier que je n'ai pas ouvert un trou de sécurité au
passage :wink:

-- Fil

Je n'ai pas compris: ouvert un trou de sécurité.... de quelle façon?
Est ce que tu veux bien développer un peu plus?
A quoi penses-tu?

Amicalement
Grégoire