12:31:22 - RastaPopoulos : ton histoire de retour dans le navigateur, ça peut valoir pour n’importe quel formulaire de SPIP, n’importe quel objet (ou autre qu’objet peu importe)
12:31:26 - YannX : peut-on en tirer/formuler une « règle de principe » pour placer & controler les appels d’autorisation dans les CVT ?
12:31:36 - RastaPopoulos : si on change les droits pour ajouter un article c’est pareil
12:31:47 - RastaPopoulos : donc c’est un problème plus général
12:27:43 - RastaPopoulos : et après ya l’action elle-même, même en dehors du formulaire
12:27:52 - RastaPopoulos : action/editer_auteur etc
12:28:10 - RastaPopoulos : qui peut être appelé même en dehors de tel formulaire CVT fourni par défaut
12:28:17 - RastaPopoulos : et là aussi il devrait y avoir le test d’autorisation
12:17:27 - g0uZ : dans un form CVT, je capte pas a quoi ca sert de faire une vérification sur une autorisation dans C et pas dans V, c’est un trou de sécurité à mon sens
12:17:46 - g0uZ : par exemple editer_auteur fonctionne comme ca
12:17:51 - g0uZ : (pas d impact ou presque)
12:18:20 - YannX : comment fais-tu pour lancer / executer un formulaire sans etre passé par CHarger ?
12:18:22 - g0uZ : enfin grosso merdo l’autorisation creer_auteur sert a rien en l’état
12:19:18 - jmvanel a quitté le canal (Quit : Ping timeout : 268 seconds).
12:20:06 - g0uZ : YannX : imagine que le résultat de l autorisation change au cours du temps
12:20:16 - g0uZ : au départ je peux passer par C
12:20:37 - g0uZ : par exemple la je veux juste mettre une limite sur le nombre d utilisateur qu’on peut créer
12:21:05 - YannX : ok... je n’avais pas pensé au multi-postes/multi-thread
12:22:29 - g0uZ : ce que je constate mon : autoriser_auteur_creer() a beau retourner false je peux créer des users...
12:22:38 - g0uZ : mais pas afficher le form de création
12:24:34 - RastaPopoulos : bah comment tu peux créer tes users si tu peux pas afficher le form ?
12:24:53 - g0uZ : bah pr les permiers je peux
12:25:06 - g0uZ : une fois la limite dépassé, je demande juste a mon browser la page précedente
12:25:17 - RastaPopoulos : ok je vois
12:25:18 - g0uZ : il me recharge le C d avant
12:25:29 - g0uZ : et je peux renvoyer autant de fois le form que je veux
12:25:32 - g0uZ : dc bon
12:26:04 - RastaPopoulos : bah suivant les cas faudrait le mettre partout
12:26:09 - RastaPopoulos : car ya deux choses différentes
12:26:13 - RastaPopoulos : même trois
12:26:44 - RastaPopoulos : ya le problème ergonomique d’interface : on n’a pas à afficher du tout un élément d’interface que l’utilisateur ne devrait pas avoir le droit d’utiliser
12:26:47 - RastaPopoulos : donc ça c’est en amont
12:27:26 - RastaPopoulos : ensuite ya l’utilisation du formulaire s’il est déjà affiché, si on l’a déjà dans l’historique
12:27:43 - RastaPopoulos : et après ya l’action elle-même, même en dehors du formulaire
12:27:52 - RastaPopoulos : action/editer_auteur etc
12:28:10 - RastaPopoulos : qui peut être appelé même en dehors de tel formulaire CVT fourni par défaut
12:28:17 - RastaPopoulos : et là aussi il devrait y avoir le test d’autorisation
12:28:51 - RastaPopoulos : puisque si un autre formulaire, bouton, ou API JSON, que sais-je, utilise cette action plus direct, ça devrait faire un refus si ya pas le droit
12:29:41 - RastaPopoulos : bref : clairement pour moi ya plein d’incohérence et de truc pas solide dans l’édition des objets SPIP , entre les formualires ( qui sont UNE interface précis ) et les fonctions/actions d’API ( qui peuvent être appelés par d’autres formulaires )
12:31:22 - RastaPopoulos : ton histoire de retour dans le navigateur , ça peut valoir pour n’importe quel formulaire de SPIP , n’importe quel objet ( ou autre qu’objet peu importe )
12:31:26 - YannX : peut-on en tirer/formuler une « règle de principe » pour placer & controler les appels d’autorisation dans les CVT ?
12:31:36 - RastaPopoulos : si on change les droits pour ajouter un article c’est pareil
12:31:47 - RastaPopoulos : donc c’est un problème plus général
bref : clairement pour moi ya plein d’incohérence et de truc pas solide dans l’édition des objets SPIP, entre les formualires (qui sont UNE interface précis) et les fonctions/actions d’API (qui peuvent être appelés par d’autres formulaires)