Interdire le menu édition aux rédacteurs, empêcher un auteur de modifier ses infos personnelles

Camille X

Juillet 2016

Bonjour,
Pour éviter que les auteurs puissent voir/récupérer les emails des autres auteurs, serait-il possible d’empêcher que les auteurs puissent voir le menu Edition de l’espace privée (comme ça ils ne pourront pas voir les autres pages du menu édition non plus).
Le mieux serait qu’ils ne puissent pas du tout afficher les pages suivantes par sécurité :
/ecrire/ ?exec=newsletters
/ecrire/ ?exec=auteurs

Par ailleurs, serait-il possible d’empêcher un rédacteur précis (utilisé comme auteur collectif partagé, avec codes d’accès publiques) de pouvoir modifier ses infos personnelles (email, mot de passe, etc.). En l’empêchant d’accéder à la page /ecrire/ ?exec=infos_perso ou autre solution, je sais pas.

Je suis tombé sur les pages :
https://contrib.spip.net/Autorisations-Dans-Spip
http://www.spip.net/fr_article5528.html
qui semblent traiter de ces questions, mais trop compliqué pour moi...

j’ai Spip 3.1, avec plusieurs sites spip en mutualisation spip.
Je voudrais faire ça pour un seul site, sans toucher aux fichiers dist donc.

Merci pour toute solution utile

Par note Par date Par date chronologique

Camille X

Août 2016

Sur un autre thread, j’ai trouvé des réponses qui solutionnent en partie cette question : http://forum.spip.net/fr_174451.html

avec ce code php dans mes_options.php, le menu Edition des auteurs est purgé des liens vers "auteurs" et "newsletters".

mais les auteurs qui le veulent peuvent continuer à afficher les pages s’ils tapent directement les urls des pages :
/ecrire/ ?exec=auteurs (ils peuvent donc voir les emails des auteurs, et des visiteurs, et les copier)
/ecrire/ ?exec=newsletters (pas gênant)

Les auteurs ne peuvent plus voir ni modifier les fiches auteurs (y compris la leur, ce qui peut être embêtant) : en partie ok
Les auteurs ne peuvent plus modifier/créer les newsletters : ok

<?php
// voir le menu Edition/Auteurs : Auteurs non, admins oui
function autoriser_auteurs_menu($faire, $type, $id, $qui, $opt) {
	return ($qui['statut'] == '0minirezo');
}
// bloquer l'accès aux fiches auteur pour les auteurs, mais même l'auteur ne peut voir sa propre fiche, donc bof ?
function autoriser_auteur_voir($faire, $type, $id, $qui, $opt) {
	return ($qui['statut'] == '0minirezo');
}
// bloquer l'accès à  /ecrire/?exec=auteurs : Auteurs non, admins oui (ne fonctionne pas)
function autoriser_auteurs_voir($faire, $type, $id, $qui, $opt) {
	return ($qui['statut'] == '0minirezo');
}
// voir le menu Edition/Newsletters : Auteurs non, admins oui 
function autoriser_newsletters_menu($faire, $type, $id, $qui, $opt) {
	return ($qui['statut'] == '0minirezo');
}
// bloquer l'accès à /ecrire/?exec=newsletter (empêche auteurs de modifier les newsletters): Auteurs non, admins oui
function autoriser_newsletter_voir($faire, $type, $id, $qui, $opt) {
	return ($qui['statut'] == '0minirezo');	
}
?>

Camille X

Août 2016

En m’inspirant des pages d’explications (https://contrib.spip.net/Autorisations-Dans-Spip + http://www.spip.net/fr_article5528.html + https://core.spip.net/projects/spip/repository/entry/branches/spip-3-stable/ecrire/inc/autoriser.php#L739),
j’ai tenté différents codes php dans mes_options.php pour empêcher un auteur précis (le N°2, qui servirait d’auteur partagé sans inscription préalable, en indiquant mdp et login) d’accéder à sa fiche auteur, et surtout de pouvoir la modifier, mais je ne trouve pas (je ne connais rien à php...)

voici mes essais infructueux :

// bloquer l'accès de la fiche infos persos auteur seulement à l'auteur partagé N°2 (CA PLANTE !)
function autoriser_auteur_voir($faire, $type, $id, $qui, $opt) {
	if ($qui['id_auteur'] == '2');
	return false;
	
	elseif return ($qui['statut'] == '0minirezo');
	OR return ($qui['statut'] == '1comite');
	return true;
}
// bloquer l'accès de la fiche infos persos auteur seulement à l'auteur partagé N°2 (CA PLANTE !)
function autoriser_auteur_voir(voir, auteur, 2, id_auteur=2, $opt) {
	return false;

}
// bloquer l'accès de la fiche infos persos auteur seulement à l'auteur partagé N°2 (CA bloque toutes les fiches !)
function autoriser_auteur_voir($faire, $type, $id, $qui, $opt) {
		if ($id['id_auteur'] == '2') return false;
}
// bloquer l'accès de la fiche infos persos auteur seulement à l'auteur partagé N°2 (CA PLANTE !)
function autoriser_auteur_voir($faire, $type, $id, $qui, $opt) {
		return ($id['id_auteur'] == '2') return false;
}

Merci si vous connaissez la bonne version, ça ne doit pas être très loin de ce que j’ai tenté...

Indiquez l’intérêt que vous portez à cette réponse

0

tcharlss

Août 2016

Hello,

Si tu ne veux pas t’embêter avec php, il y a une astuce : dans ton dossier de squelettes, créée un répertoire prive/squelettes/top, et place-y 2 fichiers auteur.html et infos_perso.html, avec ce bout de code :
[(#SESSION{id_auteur}|!={2}|sinon_interdire_acces)]
Sinon en php, ce n’était pas loin, mais il y a des coquilles dans ton code. Essaie avec ça :
function autoriser_auteur_voir($faire, $type, $id, $qui, $opt) { if ($qui['id_auteur'] == 2){ $autorisation = false; } else { $autorisation = true; } return $autorisation; }
Indiquez l’intérêt que vous portez à cette réponse

0
Camille X

Août 2016
Merci pour le code php, ça marche !
Je l’ajoute à mes_options.php au lieu de créer encore d’autres fichiers.

Reste plus que qu’à trouver comment bloquer pour les auteurs l’affichage de la page ecrire/ ?exec=auteurs

Ce code là ne marche pas...
// bloquer l'accès à /ecrire/?exec=auteurs : Auteurs non, admins oui (ne fonctionne pas) function autoriser_auteurs_voir($faire, $type, $id, $qui, $opt) { return ($qui['statut'] == '0minirezo'); }
Dommage que ce type de réglage ne soit pas prévu nativement dans Spip, ce serait pourtant une sécurité essentielle que de pouvoir empêcher un auteur malveillant de récupérer aussi facilement tous les emails...
Indiquez l’intérêt que vous portez à cette réponse

0

tcharlss

Août 2016

Dans le squelette de la page des auteurs, il n’y a pas de vérification des autorisations, la seule solution est de rajouter un squelette squelettes/prive/squelettes/top/auteurs.html

Avec ceci par exemple :
<BOUCLE_auteur(AUTEURS){id_auteur=#SESSION{id_auteur}}> [(#STATUT|=={minirezo}|oui|sinon_interdire_acces)] </BOUCLE_auteur>
Indiquez l’intérêt que vous portez à cette réponse

0
Camille X

Août 2016
Ok, j’ai créé tout ça dans mon dossier squelettes, mais (après vidage du cache) la page auteurs s’affiche toujours pour les auteurs, mais plus pour moi qui suit admin Webmestre.
Un petit problème dans "|oui|sinon_interdire_acces" ?

J’ai tenté ça, mais ça me fait juste 2 fois la liste auteurs pour tout lemonde..., je sèche :
<BOUCLE_auteur(AUTEURS){id_auteur=#SESSION{id_auteur}}> [(#STATUT|=={minirezo}|oui)] [(#STATUT|=={1comite}|non)] </BOUCLE_auteur>

Camille X

Août 2016

J’ai testé diverses combinaisons mais rien ne fonctionne.

Ce qui est bizarre c’est que :

   [(#STATUT|=={0minirezo}|oui|sinon_interdire_acces)]
ou
[(#STATUT|=={0minirezo}|sinon_interdire_acces)]
------------ affiche pages auteurs pour tout le monde

[(#STATUT|=={1comite}|oui|sinon_interdire_acces)]
ou
[(#STATUT|=={1comite}|sinon_interdire_acces)]
ou
------------ bloque la page auteurs pour admins mais pas pour les auteurs

noste : Il manquait le zéro : soit 0minirezo et pas minirezo

Indiquez l’intérêt que vous portez à cette réponse

0

naema

Avril 2019

pour faire suite, la solution de tcharlss fonctionne très bien : pour empêcher un accès direct à la page exec=auteurs par quiconque n’est pas admin, dans squelettes/top, fichier auteurs.html, écrire juste cette ligne de code :
[(#SESSION{statut}|=={0minirezo}|sinon_interdire_acces)]