12:17:27 - g0uZ : dans un form CVT, je capte pas a quoi ca sert de faire une vérification sur une autorisation dans C et pas dans V, c’est un trou de sécurité à mon sens
12:17:46 - g0uZ : par exemple editer_auteur fonctionne comme ca
12:17:51 - g0uZ : (pas d impact ou presque)
12:18:20 - YannX : comment fais-tu pour lancer / executer un formulaire sans etre passé par CHarger ?
12:18:22 - g0uZ : enfin grosso merdo l’autorisation creer_auteur sert a rien en l’état
12:19:18 - jmvanel a quitté le canal (Quit : Ping timeout : 268 seconds).
12:20:06 - g0uZ : YannX : imagine que le résultat de l autorisation change au cours du temps
12:20:16 - g0uZ : au départ je peux passer par C
12:20:37 - g0uZ : par exemple la je veux juste mettre une limite sur le nombre d utilisateur qu’on peut créer
12:21:05 - YannX : ok... je n’avais pas pensé au multi-postes/multi-thread
12:22:29 - g0uZ : ce que je constate mon : autoriser_auteur_creer() a beau retourner false je peux créer des users...
12:22:38 - g0uZ : mais pas afficher le form de création
12:24:34 - RastaPopoulos : bah comment tu peux créer tes users si tu peux pas afficher le form ?
12:24:53 - g0uZ : bah pr les permiers je peux
12:25:06 - g0uZ : une fois la limite dépassé, je demande juste a mon browser la page précedente
12:25:17 - RastaPopoulos : ok je vois
12:25:18 - g0uZ : il me recharge le C d avant
12:25:29 - g0uZ : et je peux renvoyer autant de fois le form que je veux
12:25:32 - g0uZ : dc bon
12:26:04 - RastaPopoulos : bah suivant les cas faudrait le mettre partout
12:26:09 - RastaPopoulos : car ya deux choses différentes
12:26:13 - RastaPopoulos : même trois
12:26:44 - RastaPopoulos : ya le problème ergonomique d’interface : on n’a pas à afficher du tout un élément d’interface que l’utilisateur ne devrait pas avoir le droit d’utiliser
12:26:47 - RastaPopoulos : donc ça c’est en amont
12:27:26 - RastaPopoulos : ensuite ya l’utilisation du formulaire s’il est déjà affiché, si on l’a déjà dans l’historique
12:27:43 - RastaPopoulos : et après ya l’action elle-même, même en dehors du formulaire
12:27:52 - RastaPopoulos : action/editer_auteur etc
12:28:10 - RastaPopoulos : qui peut être appelé même en dehors de tel formulaire CVT fourni par défaut
12:28:17 - RastaPopoulos : et là aussi il devrait y avoir le test d’autorisation
12:28:51 - RastaPopoulos : puisque si un autre formulaire, bouton, ou API JSON, que sais-je, utilise cette action plus direct, ça devrait faire un refus si ya pas le droit
bref : clairement pour moi ya plein d’incohérence et de truc pas solide dans l’édition des objets SPIP, entre les formualires (qui sont UNE interface précis) et les fonctions/actions d’API (qui peuvent être appelés par d’autres formulaires)