[spip-dev] retour sur le zap_session

Coucou,

à l'usage ctte histoire de zap session est pénible : le panneau de sécurité
bippe en permanence si on oublie de se déloger, et ça n'aide pas vraiment la
sécurité. Je crois qu'il faut une règle plus simple :

    1* le cookie de session est associé à un IP + nom du navigateur

    2* si je me loge, spip zappe toutes mes anciennes sessions et affiche un
       écran "rappel : pensez à vous déconnecter la prochaine fois" avec
       un lien vers la doc en ligne.

Nous avions achoppé sur deux choses :

    1* le cas où mon IP change en cours de connexion

        Réponse : est-ce avéré ? Est-ce que ça vaut le coup de prendre en
        compte cette possibilité ? Si oui, je propose simplement qu'on
        mette un drapeau dans les $prefs[] de l'auteur disant "laxiste"
        et basta. (à régler dans auteur_infos : un panneau "sécurité" qui
        afficherait les autres sessions en cours s'il y en a, un bouton
        "zapper", et un bouton "laxiste / strict"). SI on fait ça, mettre
        le lien en question sur la boîte infos prévue ci=dessus.

    2* le cas où je veux me connecter (authentifié !) depuis plusieurs
        navigateurs sur la meme machine / depuis plusieurs machines
        (démos, etc.) : à cela je répondrai :

        a) dans le cas d'une démo c'est plus sympa de créer autant d'auteurs
        que d'utilisateurs, car ça permet de "voir qui est connecté"

        b) la fonction "cet article est bloqué" ne marche que si un auteur
        correspond bien à un utilisateur.

Ca vous va ?

-- Fil

à l'usage ctte histoire de zap session est pénible : le panneau de sécurité
bippe en permanence si on oublie de se déloger

C'est pas vrai ? :wink:

        Réponse : est-ce avéré ? Est-ce que ça vaut le coup de prendre en
        compte cette possibilité ?

Oui.

        a) dans le cas d'une démo c'est plus sympa de créer autant d'auteurs
        que d'utilisateurs, car ça permet de "voir qui est connecté"

Oui, mais c'est pas sympa d'y être obligé.

        b) la fonction "cet article est bloqué" ne marche que si un auteur
        correspond bien à un utilisateur.

Cette fonction est perturbante et ne devrait pas être activée en standard,
alors qu'elle répond aux besoins d'1% des sites.

c) Et les logins partagés ("l'équipe de SPIP") ?

d) Et les connexions depuis plusieurs navigateurs à la fois ?

Je préfère encore l'avertissement de sécurité à une déconnexion automatique,
qui est totalement anti-intuitive.

Je préfère encore l'avertissement de sécurité à une déconnexion
automatique, qui est totalement anti-intuitive.

Pareil ...

-Nicolas

Bonjour,

Je n'ai pas tout suivi (désolé).

Mais je tiens à dire deux mots ici:

d) Et les connexions depuis plusieurs navigateurs à la fois ?

Je suis courrament connecté depuis deux endroits à la fois
(maison/travail) quand ce n'est pas trois. Et sur chaque endroit il m'est
fréquent d'avoir 2 connexions ouvertes (lynx Konqueror ou Mozilla
Konqueror...) sous le meme nom.

Je préfère encore l'avertissement de sécurité à une déconnexion automatique,
qui est totalement anti-intuitive.

Et là pareil, ma page d'admin/auteur peut restée masquée plusieurs jours
avant que je la réouvre pour ajouter 1 item et me barrer à nouveau (et
bien sur je la laisse connectée)...

S'il y a un timeout à mettre il est sur le mode lock du xscrensaver (et
j'en ai un, merci), pas sur chaque applis séparéments (ce qui n'a de tt
facon pas grand sens...).

Donc si vous mettez ca, svp que ce soit optionnel...
Merci.

  Yannick

> a) dans le cas d'une démo c'est plus sympa de créer autant
> d'auteurs que d'utilisateurs, car ça permet de "voir qui est
> connecté"

Oui, mais c'est pas sympa d'y être obligé.

D'où la possibilité d'un réglage "laxiste".

> b) la fonction "cet article est bloqué" ne marche que si un auteur
> correspond bien à un utilisateur.

Cette fonction est perturbante et ne devrait pas être activée en standard,
alors qu'elle répond aux besoins d'1% des sites.

Il faut l'améliorer pour qu'elle devienne "naturelle"

c) Et les logins partagés ("l'équipe de SPIP") ?

Ne sert à rien, s'il s'agit de signer un papier ça devrait être un auteur sans login.

d) Et les connexions depuis plusieurs navigateurs à la fois ?

A quoi ça sert ? (Au besoin, passer en mode "laxiste")

-- Fil

D'où la possibilité d'un réglage "laxiste".

Non, c'est totalement contre-intuitif. La configuration doit être
"laxiste" - c'est-à-dire en fait normale - par défaut.

Cette fonction est perturbante et ne devrait pas être activée en standard,
alors qu'elle répond aux besoins d'1% des sites.

Il faut l'améliorer pour qu'elle devienne "naturelle"

Pour ça il faut qu'elle soit masquée. Elle ne sert à pratiquement personne,
il n'y a donc aucune raison de l'afficher en standard. La plupart des sites
n'ont qu'un ou deux rédacteurs, et aucun article n'y est écrit à plusieurs
mains.

Je suis courrament connecté depuis deux endroits à la fois
(maison/travail) quand ce n'est pas trois. Et sur chaque endroit il m'est
fréquent d'avoir 2 connexions ouvertes (lynx Konqueror ou Mozilla
Konqueror...) sous le meme nom.

Attention, outre le mode "laxiste", j'ai réécrit le login pour qu'il envoie
directement sur la page sollicitée, et pas obligatoirement, comme
maintenant, vers ecrire/index.php3

-- Fil

Non, c'est totalement contre-intuitif. La configuration doit être
"laxiste" - c'est-à-dire en fait normale - par défaut.

Ca peut se défendre, en effet. Je n'ai pas de religion sur la question.

-- Fil

@ Fil <fil@rezo.net> :

> Non, c'est totalement contre-intuitif. La configuration doit être
> "laxiste" - c'est-à-dire en fait normale - par défaut.

Bon bin voilà, c'est dans le CVS : réglage laxiste par défaut.

On s'approche, avec les nouvelles fonctionnalités de login, d'un truc qu'il
sera possible d'inclure dans un squelette. Ouf !

-- Fil

From yaquoi@yaquoi.com Mon Jul 29 18:01:55 2002

Return-Path: <yaquoi@yaquoi.com>
Received: from mel-rto6.wanadoo.fr (smtp-out-6.wanadoo.fr [193.252.19.25])
  by miel.brainstorm.fr (Postfix) with ESMTP
  id AD0841BFC0; Mon, 29 Jul 2002 18:01:55 +0200 (CEST)
Received: from mel-rta10.wanadoo.fr (193.252.19.193) by mel-rto6.wanadoo.fr
  (6.5.007)id 3D186837011B0572; Mon, 29 Jul 2002 18:01:55 +0200
Received: from yotchongno.yaquoi.com (80.15.65.6) by mel-rta10.wanadoo.fr
  (6.5.007)id 3D2A7916009E0C3F; Mon, 29 Jul 2002 18:01:55 +0200
Message-Id: <4.3.0.20020729181452.00a838b0@pop.free.fr>
X-Sender: yaquoi@pop.free.fr (Unverified)
X-Mailer: QUALCOMM Windows Eudora Version 4.3

Bonsoir à tous,

Une question qui concerne SPIP et son cache...

Dans mes squelettes j'utilise un header et un footer, rien
d'extraodinaire....

Dans ce header il y a l'inclusion d'une bannière avec le code suivant:

<?php

    require(getenv('DOCUMENT_ROOT').'banner/phpadsnew.inc.php');
    if (!isset($phpAds_context)) $phpAds_context = array();
    $phpAds_id = view ('', 2, '', '', '0', $phpAds_context);
?>
(au passage de l'excellent script Ads New
http://sourceforge.net/projects/phpadsnew/)

Question:
Quels sont les avantages et inconvénients des deux solutions suivantes ?
1) garder page "entière"sans pas faire d'include de header, avec un require
de mon code de phpadsnew (avec possibilité de faire plusieurs "campagnes"
sur chacune des pages et donc code différent de phpadnews..
2) faire un include de header qui lui même contient un require sur chaque
page

Quelle est la différence de traitement par SPIP de ces deux "types" de pages
?

Est ce que les pro peuvent m'éclairer la dessus??

A vos z'avis z'éclairés quelle est la meilleure solution ?.

Merci
Maurice