Bonjour,
Je suis rédacteur sur le site http://www.spipotoulouse.org/
Que j'aille sur
http://www.spipotoulouse.org/ecrire/?exec=infos_perso
Ou
http://www.spipotoulouse.org/ecrire/?exec=auteur&id_auteur=97
J'ai :
Accès interdit
Vous n'avez pas le droit d'accéder à la page auteur.
confirmé sur spip.net (SPIP 3.0.0 SVN [19428])
mais pas sur contrib (SPIP 3.0.1 SVN [19462])
confirmé sur grml.eu 19486
rien dans les logs spip
Comment essayer de debugguer ?
aller sur http://bennyb.grml.eu/ecrire/?exec=infos_perso&var_mode=inclure (
Vous remarquez le &var_mode=inclure à la fin de l’url dans une page du privé .
Cela doit concerner une autorisation d’auteur
donc cherchons le premier fichier qui fait référence à un auteur
Je penche pour
http://core.spip.org/projects/spip/repository/entry/branches/spip-3.0/prive/squelettes/contenu/auteur.html#L1
Et ligne 1 on voit bien le #AUTORISER
Bon je passe 
ni sur grml.eu [19486]
JLuc
Oups non :
le problème est là tant sur contrib que sur grml.eu
mais il ne concerne que les rédacteurs, pas les admins.
JL
confirmé sur grml.eu 19486
de fait, c'est reproductible sur toutes les versions de spip nues.
rien dans les logs spip
pour avoir des logs, il faut dans mes_options.php :
define('_LOG_FILTRE_GRAVITE', 8);
define('_DEBUG_AUTORISER', true);
Cela doit concerner une autorisation d'auteur
absolument.
modifier prive/squelettes/contenu/auteur.html
en remplaçant la première ligne par :
[(#AUTORISER{modifier,auteur,#ID_AUTEUR}|sinon_interdire_acces)]
permet de lever l'interdiction.
cela permet au rédacteur de voir sa page d'info et seulement la sienne,
celles des autres auteurs lui seront interdites ;
il pourra sur sa page modifier toutes ses infos sauf login et statut.
Salut,
Le problème vient de ce commit :
On a pas de fonction autoriser_auteur_voir, ni de autoriser_auteur, donc on retombe sur l'autorisation par défaut.
Le patch est en route.
Et voilà qui corrige le problème :
En fait on retombait sur l'autorisation autoriser_voir_dist qui ne permettait qu'aux admins de voir un auteur.
J'attends l'avis des autres membres de la team pour reporter ça sur la branche stable.
Je crois que la bonne autorisation devrait être "seuls les admins peuvent voir un auteur, mais tout le monde peut voir sa propre page"
Le patch me paraît laxiste de ce point de vue.
Cédric
Héhé, j'avais un doute là dessus, mon patch reproduit le comportement qui était présent en 2.1. Est-ce mal qu'un rédacteur puisse aller voir la fiche d'un autre "copaing" rédacteur ?
Hum, pour les préférences peut être… mais dire qu'un auteur ne peut pas en voir un autre ça veut dire que si on clique sur le nom d'un auteur qui a proposé un article (dans la vue d'un article) alors qu'on est rédacteur, on devrait tomber sur un sens interdit ?
MM.
Mmmmh si c'est le comportement historique alors ok.
Pourtant il semble me souvenir que les rédacteurs ne voyaient pas tout (que les admins?) en même temps interdire l'accès à des infos visible dans le public serait un peu idiot donc je crois que j'ai dit une bêtise...
Cédric