Dotclear migration works

Par Sid, dimanche 19 août 2007 à 16:00 :: Général :: lu 4077 fois :: #211 :: rss :: atom
Read it in english with Google

Logo Dotclear

ette semaine a été l'occasion de finaliser quelques remaniements techniques sur ce blog. Contrairement à d'autres, j'ai trouvé le courage d'appliquer la dernière mise à jour de Dotclear. Courage, peut-être pas, mais volonté certainement, considérant le bazar que colle cette update qu'on peut réellement qualifier de majeure.

Comme les quelques fidèles commentateurs de ces lignes auront pu le remarquer, je suis également passé au plugin Comback, découvert via le blog de Me Eolas. Ce greffon permet à l'auteur, c'est à dire moi, de répondre aux contributions de ses lecteurs, vous, sans pour autant user des commentaires lui-même.

La sortie de Dotclear 1.2.7 était motivée par la correction d'un vilain CSRF et quelques XSS publiées à la sauvage début juillet. Si les XSS sont relativement simple à maîtriser dans ma configuration, le CSRF visant l'interface d'administration se montrait un peu plus épineux à écarter sans toucher au code. Pour comprendre pourquoi, je vous recommande la lecture de l'excellent article écrit par Renaud Feil et Louis Nyffenegger pour le dernier SSTIC. Une mise à jour s'imposait donc.

Grosso modo, pour régler le problème, les auteurs ont ajouté un cookie aléatoire à toute les requêtes d'administration. Résultat : quasiment tous les plugins doivent faire l'objet d'une mise à jour sous peine de voir chaque opération finir en eau de boudin au son cryptique mais à présent classique de :

Precondition failed

C'est exactement ce que certains d'entre vous ont pu constater pendant que je jouais avec le plugin Dotmap supposé compatible avec cette nouvelle version et qui, pour une raison que j'ignore, a mis en l'air la soumission des commentaires jusqu'à ce matin. Désolé.

Heureusement, pas mal de contributeurs s'y sont collés, ce qui a rendu la transition rapide. Pour le reste, il a fallu mettre les mains dans le cambouis pour les faire fonctionner, sinon sauver les fonctions d'administration essentielles. Ce fut le cas de Météo et dcSOAPCulture en particulier. Il faut encore que je me colle à Spamclear, qui remplit bien sa tâche de filtrage des commentaires, mais dont pas mal de fonctions d'administration restent bloquées. Ennuyeux, n'est-ce pas ? Ou alors attendre que son auteur le mette à jour. Quoi qu'il en soit, j'ai mis en ligne les modifications que j'ai faites sous forme de patches.

Globalement, la mise à jour s'est faite dans une relative simplicité, demandant tout de même un peu de retroussage de manches. La seule méthode conseillée étant le remplacement pur et simple de l'ancienne installation par une nouvelle toute fraiche et de rapporter une à une toutes les modifications qui auraient pû être faites... Super. La génération du patch de la version 1.2.6 à 1.2.7 n'est pas possible faute de Trac disponible pour la branche 1.2. Il faut donc se le faire tout seul. Grand merci, saï...

J'ai également mis en place le plugin Personnalisation d'URLs, dont une mise à jour est à présent disponible, pour simplifier les URLs des billets. Ça marche nickel. L'ancien format d'URL est cependant toujours reconnu avec un joli 301 Moved Permanently vers la bonne adresse.

N'ayant pas apporté d'énormes modifications au Dotclear de base, le résultat s'est avéré fonctionnel quasi-immédiatement. Ouf. Cette nouvelle version apporte dans la foulée quelques améliorations, comme un vrai plugin de Ping par exemple et le traitement de groupe tant attendu pour les commentaires. Bémol, le traitement individuel a disparu dans l'opération...

Seconde opération, l'ajout du plugin Comback, fort heureusement compatible avec cette nouvelle version 1.2.7. Le principe est de permettre à l'auteur du blog de répondre à ces lecteurs sans avoir à éditer leur prose en bon vieux HTML ou à poster lui-même de nouveaux commentaires. L'idée est plutôt bonne je trouve en ce qu'elle sépare clairement vos remarques de mes réponses et qu'elle ne fait pas courir le compteur de commentaires pour rien. Aussi ai-je adopté ce greffon et converti toutes mes réponses. Je ne vous poste pas ici le script qui m'a permis de le faire tellement il est affreux^[1], d'autant qu'il a fallu reprendre nombre de réponses à la main pour les éclater et reventiler sur les commentaires adéquats. Je ne sais pas si j'ai gagné du temps à l'avoir fait ainsi, j'aurais peut-être mieux fait de tout faire à la main. Mais je suis finalement assez content du résultat. Sauf que...

Sauf que la version 1.4 disponible actuellement souffre d'un léger bug dans la génération du son flux RSS, lequel affiche les commentaires non publiés. Je me suis donc armé de courage pour ajouté la condition SQL qui manquait pour corriger cet affront, et comme j'ai bien lancé, j'en ai profité pour ajouter le support des flux Atom. Vous trouverez le tout dans un petit patch que je mis en ligne ce week-end.

Notez que les flux Atom et RSS contenant ces réponses, qui ne sont techniquement pas des commentaires, sont disponibles à des URLs spécifiques :

Les flux natifs de Dotclear ne font pas apparaître les réponses. Le changement est fait en page de garde, mais comme j'ai la flemme de modifier les fichiers originaux de Dotclear pour renvoyer vers ces nouveaux flux, il faudra que vous mettiez à jour votre aggrégateur ;)

Et pendant ce temps, dans le petit monde de la sécurité, les allemands découvrent les facéties du législateur avec leur équivalent de notre chère LCEN, TJX n'en finit pas de perdre de l'argent suite à son piratage d'il y a six mois et le réseau Skype est partiellement tombé pendant plus vingt-quatre heures. De croustillants sujets que je pense développer dans les prochains billets...

Notes

[1] Preuve que le concept de honte ne m'a manifestement pas complètement abandonné...

Note : 4.4/5 pour 7 votes

Trackbacks

1. Le mercredi 5 septembre 2007 à 07:07, de Mahdi's blog

SpamClear 2.1.1, compatibility for dotclear 1.2.7

This patch to the SpamClear 2.1 branch is a compatibility fix for new dotclear 1.2.7. It is backward compatible.

2. Le lundi 17 septembre 2007 à 18:36, de Blog Accessibilité

Tags accessibles pour DotClear 1.2.7

Après le passage à la version 1.2.7 de Dotclear, les tags ne fonctionnaient plus. C'est Cédric Blancher qui nous propose un joli patch pour remettre tout ça d'aplomb. Liens à consulter: le patch de twTags 0.2.2 pour dotclear 1.2.7 (chez

Pour faire un trackback sur ce billet (URL valide pendant 5 minutes) : http://sid.rstack.org/blog/tb.php?id=211&chk=jtmlca

Commentaires

1. Le lundi 20 août 2007 à 13:01, par fx

> TJX n'en finit pas de perdre de l'argent suite à son piratage d'il y a six
> mois [...] De croustillants sujets que je pense développer dans les
> prochains billets...

J'aurai peut-être deux ou trois stats à soumettre à ce moment là. Rien de bien neuf mais certains détails sont assez...effarants...

2. Le lundi 20 août 2007 à 13:17, par Yann

Personnellement, j'ai décidé de passer à Dotclear 2 depuis quelques mois, même s'il est encore en version beta. Il possède quand même quelques nouveautés fort intéressantes. De plus, j'ai enfin trouvé un plugin "gallery" assez bien intégré à Dotclear.

Concernant le problème de Skype, ça va être intéressé de lire ton avis sur le sujet. Apparemment ça viendrait d'un DoS, recemment découvert et publié sur un forum en Russie :

http://www.securityfocus.com/archive/1/476942/30/0/threaded

Joke ou pas ?

Réponse de Sid

Je ne sais pas, mais je n'aime pas le look&feel de Dotclear 2. Peut-être que je devrais le tester à nouveau...

Pour Skype, je vote fake, je t'expliquerai plus tard pourquoi.
Use the source, Luke, use the source...

3. Le lundi 20 août 2007 à 13:42, par Looic

Je ne comprends pas, comment le plugin Dotmap peut-il impacter la soumission des commentaires alors qu'il n'y est pas lié ??!?

Réponse de Sid

Moi non plus, mais pourtant le résultat est là. Si je pose Dotmap, les commentaires finissent en Precondition Failed. Si je l'efface, ça remarche. Vu que je me suis déjà assez battu avec d'autres plugins plus critiques à mes yeux, j'ai un gros coup de flemme, d'autant qu'en fait je ne vais pas utiliser Dotmap (même si je trouve l'idée excellente).

Mais si tu as des idées de tests que je puisse insérer dans ton code pour chercher le problème, feel free to ask. Il n'est pas exclu que ça puisse venir de ma migration aussi...

4. Le lundi 20 août 2007 à 13:47, par jme

La seule chose qui me manque réellement depuis mon passage à WordPress, c'est le format wiki de dotclear. Sinon, je trouve WordPress malheureusement bien meilleur. Je dis malheureusement car Dotclear avait tout pour devenir un excellent système de blog jusqu'à ce que son développeur principal change d'intérêt. Autant dire qu'une première version « stable » de Dotclear 2 n'est plus à l'ordre du jour...

5. Le lundi 20 août 2007 à 14:14, par Looic

Bon, en effet c'est gênant d'autant que je n'ai plus de commentaires sur le blog de test "onsefaitunrestau", je comprends pourquoi maintenant :-)

Je ferai quelques vérifs ce soir. Désolé pour le dérangement...

Réponse de Sid

C'est surtout dérangeant pour toi en fait ;)

6. Le lundi 20 août 2007 à 15:20, par Yom

"Si je pose Dotmap, les commentaires finissent en Precondition Failed."

Je confirme, ça fait 5 fois que je tente de poser un commentaire sous le billet d'hier.

Réponse de Sid

Une telle pugnacité me touche ;)

7. Le lundi 20 août 2007 à 16:02, par jme

@Sid : ah ! Tu vois bien que ce n'est pas moi !

8. Le lundi 20 août 2007 à 16:07, par fx

@Sid : "Une telle pugnacité me touche ;)"

J'ai été un poil moins pugnace. Par contre, tu dois avoir un message dans tes logs...

9. Le lundi 20 août 2007 à 16:40, par Looic

Ca tombe bien, y'a rien à la télé le lundi soir ;-)

10. Le lundi 20 août 2007 à 17:03, par Sid

Bon ben pour Spamclear, j'ai réussi à récupérer le menu déroulant pour les sélections multiples en bas et les pages d'entrainement, test et configuration.

Par contre, je n'arrive pas à faire marcher le développement/réduction des commentaire, soit par "Tout afficher/Tout cacher" ou par les cases +/-...

J'ai mis le patch partiel pour Spamclear 2.1 en ligne ici:

http://sid.rstack.org/code/dotclear/spamclear...

Réponse de Sid

Je précise quand même que j'ai essayé:

le class="toggle-imgs" pour les cases +/- ;

le class="small toggle-helpers" pour les "Tout afficher/Tout cacher".

Aucun ne marche sur Spamclear, alors que ça a corrigé le même problème avec dcSOAPCulture.

Ah oui, et puis pour les patches pour Weather et dcSOAPCulture, les patches sont là:

http://sid.rstack.org/code/dotclear/dcsoapculture...

http://sid.rstack.org/code/dotclear/weather...

11. Le lundi 20 août 2007 à 17:38, par Mahdi

Merci pour le patch, je viens de le signaler sur le forum de dotclear pour ceux qui veulent mettre a jour leur dotclear. Je fairais une release officielle (2.1.1) des que je suis de retour de vacances.

Réponse de Sid

OK, cool.
Bonne fin de vacances ;)

12. Le lundi 20 août 2007 à 21:45, par Yann

@Sid : C'est bien ce que je disais, mes sources ne sont pas les tiennes ;)

@Jme : Pourquoi penses-tu que DotClear 2 n'est pas prêt de sortir en stable ? C'est vrai que ça fait un moment qu'il est en beta...J'avais cru comprendre qu'un provider (dont je ne me souviens plus du nom) était derrière ce développement...on m'aurait mentit ?

Réponse de Sid

Ben on va dire que moi, j'ai suivi les liens et lu le code source du prétendu exploit...

13. Le lundi 20 août 2007 à 21:54, par Lo

Bon OK c'est corrigé, j'ai sorti un correctif.

Merci de m'avoir signalé ce bug, sans toi j'aurais pu attendre longtemps de nouveaux commentaires :-)

Réponse de Sid

Remercie plutôt Jme ; c'est lui qui m'a signalé le plantage des commentaires. Sans quoi, je restais dans le même état catatonique que toi ;)

14. Le mardi 21 août 2007 à 10:59, par Jeremy

Juste une petite question, je fais moi aussi ma migration en 1.2.7 pour le captcha anti-spam il y a un besoin de modif ou il s'installe correctement avec l'ancienne version ?

Réponse de Sid

Le captcha passe sans problème, il ne touche pas à la base de données.

15. Le mardi 21 août 2007 à 12:53, par fx

@Sid : le blog de Jme est sur acklabs.net, pas acklabs.org (remarque en rapport avec le lien que tu as mis à http://sid.rstack.org/blog/index.php/211-dotclear-migration-works#c2773).

Réponse de Sid

Fixed.

16. Le mercredi 22 août 2007 à 00:01, par Yann

@Sid : J'avais même pas fait l'effort d'aller voir l'exploit en question, vu que c'était sur un forum en russe...mais en effet, les 3 lignes de l'exploit sont assez drôle :)

17. Le vendredi 31 août 2007 à 18:07, par bartavelle

Tes réponses n'apparaissent pas dans:
http://sid.rstack.org/blog/rss.php?type=co

Réponse de Sid

C'est normal, les réponses ne sont pas des commentaires. C'est d'ailleurs pour ça que les liens RSS et Atom pour les commentaires pointent maintenant respectivement vers :

http://sid.rstack.org/blog/share/comback/feed.php?type=rss

http://sid.rstack.org/blog/share/comback/feed.php?type=atom

Et comme le code n'est pas trop le même, le lien symbolique ne suffit pas...

Ma petite parcelle d'Internet...