Yo,
> qui regrouperait :
>
> 1) le choix des sessions unique/multiple (centralisé au niveau du site,
> au lieu d'être utilisateur par utilisateur comme maintenant, ce qui
> est absurde si on constate une attaque par "vol de cookie").
> ->> modifiable par tous admins ; annule et remplace le cadre "infos de
> sécurité" ; défaut = multiple
Le réglage était par utilisateur car ça pouvait faire chier
sur certains brouteurs (qui attrapaient mal le nouveau cookie
et déconnectaient intempestivement). Il faudrait donc que le
réglage par défaut puisse être modifié par utilisateur.
D'autre part je préférerais franchement défaut=simple, l'avertissement
systématique est vraiment casse-b* (et puis sinon tous les débutants
avec un brouteur sourcilleux vont être totalement désemparés). Je
verrais donc plutôt :
- si global=simple : les utilisateurs sont par défaut en sécurité
normale, avec avertissements seulement s'ils passent en sécu avancée
- si global=avancé : les utilisateurs sont par défaut en sécurité
avancée, et les avertissements continuent à être affichés s'ils
passent en sécu normale
Le réglage par défaut (global=simple) permet alors de régler une
bonne fois pour toutes le problème de ces rogntudjus d'avertissements,
sauf pour ceux qui ont vraiment envie de les avoir, et les sites
qui exigent un niveau de sécurité élevé (pas le site moyen ;-)).
(NB : même sous linux quand tu passes en root, on ne te dit pas
"attention vous avez 12 autres sessions ouvertes". Il faut lire
les logs pour ça.)
> 2) la création ou non des fichiers .htpasswd et .htpasswd-admin
> ->> modifiable uniquement par auth ftp ; défaut = oui si le fichier
> existe déjà ou si on est en .htaccess
Il faut défaut=non, à cause des serveurs qui ne gèrent pas les .htaccess
et ne protègent donc pas correctement ecrire/data (comme IIS, ou les
Apache réglés non-standard). De toute façon, les gens qui veulent un
.htpasswd sont capables de cocher une option ;-))
A la réflexion, mauvaise idée, puisqu'il s'agit, pour tout le monde,
d'adopter une tactique plus saine en matière de javascript : les mettre dans
une librairie fixe, et les appeler au cas par cas via des mots-clés
techniques...
Oui.
a+
Antoine.