Salut à tous,
ATTENTION 3 BIDOUILLAGES.
* si vous voulez sécuriser un peu votre site public, vous pouvez par exemple
restreindre l'accès aux *articles* mais pas aux rubriques en ajoutant en
tête du fichier d'appel article.php3 les quelques lignes suivantes :
<?
include "ecrire/inc_connect.php3";
include "ecrire/inc_auth.php3";
$fond = "article";
...
?>
Pour sécuriser ainsi tous les fichiers spip, il suffit de modifier tous les
fichiers d'appel. Ca merdouille un peu car en cas de refus d'accès la page
d'erreur correspond à la page d'erreur de spip/ecrire/ ; de plus ça
ralentit pas mal le site puisqu'il y a un inc_connect.php3 sur chaque accès.
Il n'est pas très difficile de modifier spip pour supprimer ces deux
problèmes (ajouter include inc_connect dans inc_auth uniquement au moment
opportun, et améliorer le message d'erreur en cas d'accès refusé)... je le
fais dans la version 1.3beta1/
Du coup pour sécuriser un ensemble d'articles on ajoute juste
$auth_text = '<a href="./">retour au sommaire</a>'; // ou ce qu'on veut
include "ecrire/inc_auth.php3";
dans le fichier d'appel...
Ah oui : cela permet de restreindre l'accès aux seuls rédacteurs (et admins)
présents dans la base spip, évidemment !
Antoine : dans inc_auth, ne sachant pas si je suis appelé depuis
spip/ecrire/ ou depuis spip/, j'ai mis
@include "inc_connect.php3";
@include "ecrire/inc_connect.php3";
mais je pense qu'il existe une méthode plus correcte ?
* autre modif expérimentale dans la 1.3, celle proposée par Nicolas Hoizey et
qui consiste à vérifier qu'on n'a pas déjà ouvert un buffer ob_...
(modif dans inc_version.php3)
(référence :
Message-ID: <1003223201.3bcbf8a196a01@imp.free.fr>
)
* il faut régler la question des images d'articles qu'on modifie : lorsqu'on
poste une image, comment indiquer au navigateur qu'il faut la recharger et
pas afficher l'ancienne version ? Un javascript serait capable de le faire ?
@ Stéphane (Stephane@Netinfo.fr) :
Par contre où ça se complique c'est que je n'arrive plus à accéder au rep
"ecrire" si je place un mot de passe pour l'accès au site.
Je m'explique : j'ai :
http://monsite.free.fr/Repertoire_acces_reservé/Spip/ecrireDans Repertoire_acces_reservé j'ai placé un fichier .htaccess limitant la
visite des pages aux seules personnes autorisées. Ca marche très bien mais
là où ça se corse c'est quand je demande l'accés à admin, le serveur me
refuse l'accés. Comment contourner le problème ?
-- Fil