Project

General

Profile

Evolution #3928

les emails sont publics dans le privé

Added by jluc - over 2 years ago. Updated 3 months ago.

Status:
En cours
Priority:
Normal
Assignee:
-
Category:
-
Target version:
Start date:
03/29/2017
Due date:
% Done:

0%

Resolution:

Description

quote benny_b qui quote :

Je viens de m'inscrire sur votre site pour pouvoir poster un message sur le forum. 

Après le clic sur le lien d'activation de compte dans mon mail, je suis arrivé directement dans l'admin de spip de spip-contrib avec un accès rédacteur. 

Je ne sais pas si c'est voulu mais je trouve étonnant que l'on puisse accéder à la liste de tous les auteurs et donc de voir les emails en clair de toute le monde ...

Cf capture d'écran sur spip.net ou je suis rédacteur seulement.

auiteurs spip.net.jpg View (60.3 KB) jluc -, 03/29/2017 11:41 AM

Capture d’écran de 2019-07-01 11-57-00.png View (40.8 KB) jluc -, 07/01/2019 09:57 AM


Related issues

Related to SPIP - Evolution #3820: modération des inscriptions de rédacteur Nouveau 08/24/2016

History

#1 Updated by b b over 2 years ago

  • Target version set to 3.2

Pourquoi considérer que c'est une anomalie ?

Si c'est vraiment problématique pour un site particulier, celui-ci peut surcharger le squelette qui liste les auteurs pour conditionner cet affichage à une autorisation.

Faudrait-il introduire l'autorisation en question dans le core ?

Ahma si un changement est nécessaire, c'est une évolution.

#2 Updated by jluc - over 2 years ago

Considérer que "si c'est un problème pour un site donné, le webmaster n'a qu'à surcharger un squelette" n'est pas une bonne solution à mon avis. On est collectivement passé à côté de ce problème depuis 15 ans, alors je pense que ça continuera d'être pareil pour quasi tous les webmasters en particulier si il n'y a pas d'évolution de SPIP.

Or c'est un problème ! Que moi j'aie accès aux 6000 mails des rédacteurs de spip.net, passe encore, mais si c'est l'un des spammeur qui parvient à abreuver les listes de spip de temps en temps, ça je pense que tous on veut l'éviter...

#3 Updated by nicod _ over 2 years ago

  • Tracker changed from Anomalie to Evolution

Je suis assez d'accord avec jluc.
Il faudrait donc considérer donc ça comme une évolution, et simplement supprimer l'affichage de l'email dans le privé.
Ou peut être afficher juste la première et dernière lettre du nom et du domaine ?

Quant à savoir si ça doit être configurable, je ne pense pas.
Est ce que quelqu'un peut être gêné si cette fonctionnalité anomalie historique disparait ?

#4 Updated by b b over 2 years ago

Perso ça me semble important de laisser un moyen aux membres d'un site de se contacter directement par email, car ce n'est pas notre système de messagerie interne (délaissé, dépassé, etc) qui peut répondre à ce besoin. Il ne resterait donc que le formulaire ecrire auteur disponible sur les pages publiques pour y parvenir.

De plus, l'affichage de l'email permet de vérifier "l'identité" qui se cache derrière un nom ou un pseudo.

Donc, si retrait il doit y avoir, cela ne doit pas être le cas pour tout le monde, amha les admins devraient avoir accès à cette info, sans passer par la page de modification de l'auteur.

#5 Updated by nicod _ over 2 years ago

J'aurais dû préciser que je parlais de masquer les emails des auteurs pour les rédacteurs uniquement.
C'est à dire le cas de figure soulevé par la citation de départ : je m'inscris sur un site et je vois les emails de tout le monde.

#6 Updated by guytarr ° over 2 years ago

  • Related to Evolution #3820: modération des inscriptions de rédacteur added

#7 Updated by guytarr ° over 2 years ago

nico d_ a écrit :

J'aurais dû préciser que je parlais de masquer les emails des auteurs pour les rédacteurs uniquement.
C'est à dire le cas de figure soulevé par la citation de départ : je m'inscris sur un site et je vois les emails de tout le monde.

Ca va dépendre des sites et des usages / sites :
- parfois, on voudra que les inscrits choississent s'ils partagent leur email ou pas lorsqu'ils s'inscrivent
- parfois, on aura besoin de le forcer
- parfois on voudra le masquer
- etc...

Je le lie à l'autre sujet sur la modération des inscriptions car c'est un petit chantier à appréhender de façon global

#8 Updated by jluc - over 2 years ago

M'enfin....

Bien sur ya des tas de fonctionnements possibles et des tas de plugins possibles pour tous ses fonctionnements, mais il s'agit là de définir le fonctionnement du core, c'est à dire ce qui est proposé de base, sans plugins.

La vision de SPIP c'est de permettre la participation à la création internet, et je ne crois pas me tromper que dans l'idéal de SPIP, la participation est largement ouverte. Du moins, c'est une priorité. En conséquence, il y a peu de freins à l'accès à l'espace de rédaction. Et en conséquence, il faut protéger les mails des rédacteurs : ils ne doivent pas être visibles des autres rédacteurs.

#9 Updated by tetue tetue 11 months ago

Sur les espaces publics, je n'affiche JAMAIS l'adresse courriel, MAIS un lien vers le formulaire qui permet de contacter l'auteurice.

Peut-être faire de même par défaut, dans le privé, pour les rédacteurices ?

#10 Updated by nicod _ 11 months ago

un lien vers le formulaire qui permet de contacter l'auteurice

+1

#11 Updated by b b 11 months ago

un lien vers le formulaire qui permet de contacter l'auteurice

Ce formulaire serait affiché dans le public ou dans le privé ?

Dans le public il est bien présent par défaut quand le site utilise les squelettes de la dist, mais ça n'est pas forcément le cas avec tous les squelettes.

De plus, les formulaires des contact utilisent la méthode d'envoi du site, et si par malheur c'est des mails envoyés par PHP, alors il y a de grandes chances que le mail en question n'arrive pas à destination. Alors que les liens mailto qu'on utilise aujourd'hui sont simples et robustes.

#12 Updated by nicod _ 11 months ago

Dans le privé, comme alternative au fait de masquer l'email des auteurs.
Et uniquement pour les 6forum : les admins, même restreints, ayant été désignés en connaissance de cause par d'autres admins ou webmestre bénéficient donc de leur confiance.

#13 Updated by nicod _ 11 months ago

Et uniquement pour les 6forum

Pour les rédacteurs 1comite voulais je dire.

#14 Updated by jluc - 3 months ago

À défaut de ne pas diffuser la liste des auteurs avec leurs mails dans le core, on le propose dans le plugin autorite :
cf https://zone.spip.net/trac/spip-zone/changeset/115819/spip-zone

#15 Updated by b b 3 months ago

  • Status changed from Nouveau to En cours

Super, merci pour le retour, amha on peut fermer le ticket maintenant que la fonctionnalité est disponible dans un plugin. Vos avis ?

#16 Updated by RastaPopoulos ♥ 3 months ago

Bé non, ça dépend si on considère collectivement que c'est un problème de donner accès à ça si facilement, notamment sur un site qui n'est pas un "comité de rédac avec 10 personnes" mais un site avec inscription ouverte à la volée. Et dans ce cas c'est bien à l'admin-dist par défaut de permettre de résoudre ce problème et non pas à un plugin (qui en plus est un plugin fourre-tout avec 12000 trucs n'ayant rien à voir dedans).

À minima il faudrait que l'affichage (dans la liste et dans la page d'admin d'un utilisateur) soit conditionnée par une autorisation dédiée, afin de pouvoir facilement switcher qui voit les infos persos.

#17 Updated by jluc - 3 months ago

Si ça n'est pas encore clair, voici par exemple voici la première page de la liste des auteurs de spip.net accessible à tout le monde (puisque tout le monde peut s'inscrire).

Est il acceptable que cette liste soit diffusée publiquement ?

#18 Updated by b b 3 months ago

Pour moi et dans le cadre de spip.net, oui.

Maintenant, le plan est simple, il faut modifier tous les squelettes de prive/objets/liste ainsi que prive/contenu/auteur.html pour conditionner l'affichage de la colonne email dans les lites, et la ligne email dans la fiche auteur en fonction de la valeur d'une constante dont il faut définir le nom. Ensuite, si la majorité pense que cela doit-être appliqué par défaut, il suffit d'inverser le teste et zou :)

#19 Updated by b b 3 months ago

Remarque, je viens de regarder ce que fait wordpress pour comparer, et un auteur ne peut pas accéder à la page qui liste les auteurs, ce à quoi répond la proposition de Jluc.

#20 Updated by jluc - 3 months ago

On ne leur a pas demandé leur avis à tous ces inscrits.

Si on veut diffuser leur mail il faut leur demander leur avis.

#21 Updated by RastaPopoulos ♥ 3 months ago

Je dirais même plus : que ce soit pour spip.net, contrib, etc : on est totalement hors-la-loi niveau RGPD. Le mail fait partie des infos persos il me semble, on est censé prévenir tous ces gens qu'on les a dans une base, et s'ils veulent y rester ou pas, et on n'est surtout pas censé diffuser ces infos à tout va. Non ?

Also available in: Atom PDF