Très bon article (et très bonne discussion) sur le stockage des mots de passe dans une base de données. J’espère que les mots de passe de SeenThis sont bien protégés :-)
▻http://linuxfr.org/users/elyotna/journaux/l-art-de-stocker-des-mots-de-passe
Très bon article (et très bonne discussion) sur le stockage des mots de passe dans une base de données. J’espère que les mots de passe de SeenThis sont bien protégés :-)
▻http://linuxfr.org/users/elyotna/journaux/l-art-de-stocker-des-mots-de-passe
@Fil Donc, mots de passe au régime sans sel ? Mauvais, en effet.
ah non vérification faite (▻http://core.spip.org/projects/spip/repository/entry/branches/spip-2.1/ecrire/auth/spip.php) c’est plus compliqué que ça :
1) le mot de passe est chiffré en SHA-256 avec une clé de hachage différente pour chaque utilisateur et qui change à chaque login
2) on a aussi un ’htpass’, SHA-256 avec un sel aléatoire, mais j’ai du mal à voir si cette valeur a encore la moindre utilité
J’avais 3 ans !
Mais les développeurs ne pensent pas a le moderniser un petit peu ?
@emersion : c’est quoi ton pb avec cette ligne ? tu l’a réécrirait comment ?
sql_fetsel(), sql_quote() c’est lourd. La fin est magnifique :
,’’,’’,’’,’’,$serveur) ;
On ne compte plus les arguments sur les doigts de la main (mettre $serveur en dernier est pas très malin d’ailleurs).
Et puis (oui bon je pousse un peu) je n’aime pas le mix anglais-francais ($row mais statut<>’5poubelle’).
Ce n’est pas de la POO, mais je comprends que des développeurs n’aiment pas ce concept et restent aux fonctions.
Je réécrirais un truc du genre (j’ai bien dit « du genre » !) :
$row = $server->query(’SELECT * FROM spip_authors WHERE login=:login AND password=:password’, array(’login’ => $login, ’password’ => $password));
Il y a encore sûrement plus lisible/mieux en général.
Le reste du peu de code que j’ai lu n’était pas très propre non plus.
Bon, je crois que je vais me faire des ennemis moi ! :-o
c’est parce que cela utilise l’api d’abstraction sql de spip ... qui est super puissante pour gérer plusieurs types de bdd.
Des ennemis, non, car on en a entendu de toutes sortes et de toutes les couleurs depuis 14 ans ; comme quoi on programmait mal, qu’on n’était pas fiables, etc. Au final on est toujours là avec un produit qui est pas si « crade » qu’on le dit. Même s’il ne suit aucune des modes…
En termes de sécurité, puisque c’est le sujet de départ, on n’a pas eu d’alerte « grave » depuis longtemps, et le système de connexion, atypique, n’est pas si mauvais. Alors il y a certainement mieux à faire ici ou là, et tu es tout à fait bienvenu pour apporter des améliorations :)
@maieul : SQL est un langage, donc mon code marche sur toutes les base de données supportant SQL a priori. Bon, après il y a des différences d’implémentation, mais ce n’est pas un SELECT ou un FROM qui changera. Utiliser PDO revient au même. ;-)
@fil : oh, mais c’est normal pour un code de 14 ans de ne pas suivre les dernières « modes » (ou dernières « avancées »). Je suis plutôt impressionné par ce projet qui est toujours vivant depuis si longtemps. Je jetterais un coup d’œil pour voir si je peux aider a implémenter un truc ou deux. Mais je pense qu’il y a plus utile a faire que de moderniser le code. :-P
oui, en effet, et c’est d’ailleurs pour ça qu’il a l’air crade :)
dans les projets actuels, si tu as envie de participer, il y a l’idée de décentraliser seenthis ►http://seenthis.net/messages/216935
#seenthis_todo ? Une courbe des utilisations du point-médian dans les seens. Histoire de voir si ça prend ou si c’était juste une bonne résolution.
avec l’export ►http://seenthis.net/messages/216935 ce sera aussi simple à faire que :grep -rl -E '\w·\w' export/ | cut -d / -f 2 | uniq -c
et ça pèserait combien le répertoire export/ ? Parce qu’il faut tout récupérer avant de pouvoir analyser.
Je rêve d’un système de gestion des tickets a) auto-hébergé, b) simple d’utilisation (pour organisation interne du travail d’une équipe, pas pour des développeurs), c) simple de conception (solution du genre de celles proposées dans le fil ►http://seenthis.net/messages/150466) et d) accessible depuis partout e) avec éventuellement authentification.
Les raisons sont les suivantes :
– a) contrôle des données, utilisable en local/intranet/internet, reproductible
– b) c’est tellement efficace, les tickets, pourquoi le réserver au développement logiciel ?
– c) facile à maintenir, exporter/importer, archiver
– d) les avantages du web
– e) pour le contenu interne (mais binaire : connecté = accès à tout le contenu, non-connecté = rien - facile à gérer au niveau du serveur web)
J’aimerais que les tickets permettent :
– 1. un ticket par tâche, avec commentaires successifs (un ticket, quoi)
– 2. un statut (ouvert/fermé, ou en cours/terminé)
– 3. des labels/mots-clés pour indexer et regrouper les tickets
– 4. assigner le ticket à une personne
– 5. s’abonner à un ticket (pour recevoir des notifications de mise à jour) ou abonner qqn d’autre
– 6. fixer une date limite (voire des dates limites)
– 7. envoyer des alertes automatiques par mail 15 jours avant la date limite
Pour être plus simple, mieux vaut diviser le problème. On peut donc imaginer :
– un système de forum simple comme #seenthis ou #nononsense : permet 1, 3 et 5.
– pour 2., peut être peut-on se servir de mots clés : #fermé, #réouvert, etc. et le plus récent est celui qui vaut.
– pour 3., peut être peut-on aussi se servir de mots-clés : resp:@severo (id. le plus récent indique le/la responsable en cours)
– pour 5. on peut imaginer abonner qqn·e d’autre simplement en le/la citant : @severo - implique qu’un script analyse tous les messages et ajoute la personne citée comme « abonné » au ticket
– pour 6., on peut imaginer simplement mettre une URL vers un événement dans un calendrier partagé (implique de mettre en place un système de calendrier partagé - voir #baikal par exemple). Autre solution : un mot-clé : due:2014-01-17
– pour 7. il faudrait trouver un programme qui se branche sur le calendrier partagé, et qui envoie les alertes (ça doit exister) - reste à définir le délai d’envoi par rapport à la date limite
Je suis preneur de tout conseil ou commentaire !
peut-être qu’avec un peu d’amelioration du plugin ticket de #SPIP cela pourrait se faire ? il y a je pense que le 6/7 qui manque, à ma connaissance
Oui c’est une possibilité, même si le plugin Tickets est clairement fait pour la gestion de bugs. On pourrait rendre optionnels certains champs (priorité, type de bug) et permettre d’ajouter d’autres champs, comme les mots-clés par exemple.
Pour les dates, j’ai l’impression qu’il faut plutôt se brancher sur un système à part.
En fait, le plugin Tickets est sûrement une bonne idée pour la partie serveur. Mais au delà, j’aimerais travailler sur la partie « client ». Pour l’affichage, un format auto-descriptif du modèle de données, c’est à dire que l’HTML du ticket suffise à l’importer dans un autre système. Il faudrait donc que toutes les données soient présentes sur le texte du commentaire. Ce qui irait dans le sens de l’import export en format mail que propose @fil :
►http://seenthis.net/messages/216935
Une mise à jour du ticket, où on changerait la personne assignée, le statut, on ajouterait un mot-clé et on écrirait un commentaire, pourrait donc être affichée de la manière suivante
Un commentaire
resp:@severo #todo statut:#open #conception
C’est surtout une question de squelette pour l’affichage du ticket.
Et si une syntaxe est définie, on pourrait aussi publier à partir de la seule plage de texte. Comme on ferme habituellement des commits avec « fixes #1234 », on pourrait ainsi changer de responsable en écrivant « resp:@maieul » dans le texte, au lieu d’utiliser un formulaire. Ce commentaire pourrait être envoyé par mail, entré sur le site, etc.
En fait, pour être précis, je veux mettre les infos du ticket dans le texte, en plain/text, pas dans le HTML.
Ce qui n’empêche pas de redonder avec des microdata, mais c’est une autre histoire.
Pour « tout faire en texte », c’est assez fluide et compréhensible pour l’ajout, comme ce que fait seenthis (l’ajout de tags dans les commentaires est pris en compte dans la recherche de seens), mais si tu veux enlever des infos (tag, date, ou autre), ce n’est plus aussi simple pour les néophytes. Si on doit rajouter une syntaxe en plus genre « -#truc » ou « -resp :@truc »… ça commence à faire beaucoup de ptits caractères partout, et ça me parait assez geek.
Vu que tu parles de tickets, et donc de todolist finalement, et en plus de texte, je t’invite aussi à lire les discussions qu’il y a eu autour du plugin « Todo » pour SPIP, dont le but était justement de générer à partir de texte brut uniquement ET que ce texte brut soit aussi lisible tel quel même avant transformation.
▻http://contrib.spip.net/Todo#forum462129
Tu trouveras notamment des liens vers des tentatives de formats « standardisés » de todolist en texte brut. Notamment le format TodoTxt : ►https://github.com/ginatrapani/todo.txt-cli/wiki/The-Todo.txt-Format
La version SPIP en est inspirée mais n’est pas pareille.
Bien sûr, que ce soit TodoTxt ou celui de SPIP, ce sont des trucs pour une seule personne. Mais ça peut quand même donner des idées pour un système multi-utilisateurs avec commentaires.
Ah pour le Todo de SPIP (que j’ai commencé et qu’Éric a continué), il y aussi cet article de conception :
▻http://blog.smellup.net/spip.php?article72
oui j’ai lu attentivement ces échanges sur Todo, c’est exactement dans cette voie là que j’aimerais travailler.
Une autre précision, c’est surtout l’usage qui m’intéresse. J’aimerais tester avec un site qui ne fasse que ça, et qui soit facile à utiliser pour des gens qui n’ont jamais touché à des tickets.
Tickets versionnés comme le code, de manière descentralisée :
#question aux seenthistes !
Ça fait plusieurs fois que je partage quelque chose qui est déjà passé sur seenthis - et que je supprime mon message après coup pour partager l’article déjà passé. Y a-t-il un moyen de savoir si c’est déjà passé avant de partager quelque chose ??
Merci pour les infos !
le moteur de recherche ?
sinon, on vend aussi un greffon qui se branche directement sur ton cerveau et t’envoie une impulsion électrique quand tu t’apprêtes à partager un contenu déjà présent sur le site ; mais il faut accepter une (très légère) opération dans une clinique clandestine avec qui nous avons un partenariat en Roumanie
Super, je connais pas la Roumanie. Ça me fera des vacances, tiens.
Des fois, je garde le doublon, aussi.
À cause du droit à l’oubli de l’autre posteur.
Moa j’aime les doublons ! Ça fait riche.
@monolecte Oui en effet... c’est l’esprit-base-de-données ("doublons = pas bon si pas justifiés ?") qui s’exprimait dans ma question, mais rien n’oblige de s’y plier systématiquement... (pfiou, heureusement)
Je viens de voir le tag automatique Roumanie dans le premier message. #wtf
Ça alourdirait énormément si au moment de calculer le post — avec le bookmarklet ou non, quand on clique sur envoyer — il y ai vérification et un petit machin qui dise "ce truc a déjà été publié ici et ici et ici, [j’abandonne] [je m’en fous j’aime les doublons] ?
Je pense qu’il est vain d’essayer d’éviter les doublons. Après tout, pourquoi vouloir centraliser les discussions ?
De plus, un clic sur la petite flèche devant l’URL affiche tous les posts qui référencent ce lien. S’il y en a beaucoup, c’est peut être une indication qu’il est intéressant, ou en tout cas qu’il a du succès.
un doublon, c’est le début d’une nouvelle aventure sur seenvice
Fusse un temps où je défendais le non doublon pour des raisons pratiques d’archivage et de recherche. J’ai fait la bêtise de substituer à mon archivage mail l’archivage sur seenthis mais comme il s’avère que c’est une calamité, allons-y, doublons, triplons, quadruplons sans contrainte :) Par contre si je pouvais récupérer mes posts dans ma boite mail ce serait le bonheur !
@odilon je ne sais pas programmer un serveur IMAP en PHP et je n’ai pas envie de m’y mettre, mais je fournirai volontiers les données au format email, avec le script décrit ici ►http://seenthis.net/messages/216935
Y en a qui veulent récupérer leurs posts seenthis dans leur boite mail, moi j’aimerai mettre ma boite mail sur seenthis ! Enfin pas toute la boite mail, juste quelques listes. @fil ?
Ben moi, à vous lire, je crois que je vais les laisser passer, les prochains doublons. Et que j’envisagerais la flèche noire comme @severo : l’indication d’un intérêt particulier.
perso j’effacerais si c’est un doublon d’actu et que le message a été posté dans la semaine avant le mien, et sinon je garde pour relancer la discussion ou permettre à ceux qui sont arrivés entre temps d’avoir l’info.
Par contre peut être intégrer les doublons dans un système de ping si jamais ça se fait, comme évoqué ici : ►http://seenthis.net/messages/215569 ? Comme ça on à le beurre et l’argent du beurre. #seenthis_demande
Le #code_source de #seenthis est disponible :
Accès Web à l’adresse
▻http://trac.rezo.net/trac/seenthis/browser
Checkout subversion :
svn co svn://trac.rezo.net/seenthis/
Méthode d’installation :
►http://trac.rezo.net/trac/seenthis/browser/plugin_seenthis_principal/INSTALL.txt
et viva el #logiciel_libre
Il manque une indication de la license non ?
probablement GPL 3 mais ça pourrait être la WTF licence (me dit-on @james)
reste plus que le rendre compatible spip 3.x
tu t’y colles @albert ? :)
\o/ yeah super merci !
Et juste par curiosité : pourquoi pas sur spip-zone ? Pour que les futurs commits soient plus contrôlés ? (et report des quelques trucs génériques qui sont aussi sur la zone ?)
Merci pour la constructivité de tes commentaires @albert ! :D (tu m’as fait gagné un pari :p)
De source sûre, authentifiée par mes soins mais sans recoupage connu (je le tiens de l’auteur quoi), la GPL v.3 se cache derrière tout ça @james @thibnton #seenthis_licence
\o/
Merci, je sens que je vais m’y remettre du coup !
@rastapopoulos seenthis n’est pas un complément de SPIP mais juste un site parmi d’autres, qui se trouve utiliser SPIP. D’où l’idée de continuer à le développer sur le repo SVN où il a commencé.
Ouais, c’est plus ou moins pas faux, je comprends tout à fait le principe hein. :D
En fait dans mon esprit actuellement « un site » c’est : « des squelettes + un thème graphique ». Ces morceaux-là étant propres au site en question (et encore, ça peut éventuellement être rendu générique si ya pas une image de marque à garder). Tout ce qui est fonctionnel et qui n’est pas propre à un usage d’une seule personne (tel client, telle assoc, ou soi-même) est alors de fait générique, donc « un complément de SPIP » : ajouter tel objet éditorial, utiliser une autre syntaxe, reconnaître et gérer les hashtags dans un contenu, etc, etc. Les squelettes du site étant une agrégation publique de ces fonctionnalités.
À partir du moment où on accepte que d’autres installent peu ou prou le même site, j’ai tendance à penser que ce genre de configuration est alors une distribution de SPIP (une suite de fonctionnalités génériques, avec un squelette par défaut), et non pas un site parmi d’autres.
Enfin je sais pas si je suis très clair. Et de toute façon on a pas encore affiné le principe (ni abstrait ni technique) des distributions, donc c’est un peu dans le vide que je dis tout ça...
Mais c’est à peu près comme ça que je conçois le truc dans ma tête (et oui j’ai un peu une obsession pour les trucs « génériques », où les fonctions sont au maximum séparées/modulables). Je préfère quand même le noter là, plutôt que le garder dans ma tête et l’oublier. :p
Ce serait d’ailleurs top que Seenthis soit « tout simplement » un plugin, avec des dépendances, qu’on puisse ajouter sans soucis à un SPIP existant, les contenus se logeant par exemple dans une rubrique.
@Fil D’abord, il faut dire « logiciel libre » et pas « au pène source ». Ensuite, il y a plein de projets intéressants et pas assez de temps.
Et puis je suis vexé que mon succès installatoire soit dénigré et retrogradé au rang de tentative ! Sans compter mes contributions à la documentation du schmilblick ! ►http://seenthis.net/messages/154085
Par contre, ma deuxième installation est restée tentative à ce jour : il s’agit de créer un seenspip mais à ce jour il est hors de question que moi j’installe encore ça sous SPIP 2.1, quoiqu’on en dise ou pense. Du coup, ça attend que j’ai le temps (beaucoup) pour réécrire les déclarations de tables et toussa.
@fil J’en suis à l’étape « Activation du site » de la documentation et tout s’est bien passé jusque là :) J’ai juste fait une pause dans le process d’install ...
Mon but est de jouer avec ça ►http://seenthis.net/messages/216935 + une install sur mon domaine.
Allez je me remotive !
Vu qu’une communauté forte est à Seenthis.net je ne vois pas de motivation à déployer d’autres instances tant que l’abonnement inter-instances n’est pas possible.
Pour info :
1/
Impossible d’activer le plugin ../plugins/opensearch
Nécessite le plugin SAISIES en version [1.1 ;] minimum.
Perso, je l’ai pas activé, mais en ajoutant le plugin en question, ça passe.
Il faudrait ajouter à la doc dans la liste des plugins :
``svn co svn://zone.spip.org/spip-zone/_plugins_/saisies/ saisies/
``
2/ pour configurer gravatar, j’ai l’erreur suivante :
Filtre sinon_interdire_acces non défini ../plugins/gravatar/prive/squelettes/contenu/configurer_gravatar.html
==> ▻http://contrib.spip.net/Gravatar#forum474234 :-)
Correction : ajouter CFG à la liste des plugins à installer, grml :p
``svn co svn://zone.spip.org/spip-zone/_plugins_/cfg/branches/v1 cfg/
``
3/ bien évidement, pensez à activer l’inscription de nouveaux rédacteurs (<ecrire/?exec=config_contenu#configurer-redacteurs
>) :)
Hop @james pourtant la doc indique bien :
Si vous avez installé les plugins CFG et Saisies, la page de configuration du plugin est accessible à l’adresse ecrire/ ?exec=cfg&cfg=opensearch (menu CFG => onglet OpenSearch).
Que faire de plus ?
yo mignon :) Que faire de plus ? ajouter à la doc de seenthis, qu’il faut installer Saisies ;-)
haaa je croyais que tu causais de la doc de saisies ;)
l’adresse a changé, on vient de tout mettre sur github :
►https://github.com/seenthis
Cooool. Il est dans un de ces modules le bug qui rajoute des espaces devant les ponctuations hautes ?
@Fil « microblogging » Comme Twitter ? Ce n’est plus du « shortblogging » ?