Dotclear

Blog Dotclear » Archives » juin 2011

2011 juin 30

Ça bouge en coulisses...

Par Dsls le jeudi 30 juin 2011, 11:17

Plus que la récente sortie de Dotclear 2.3, c'est un certain nombre de rouages internes qui sont en train de changer. Vous allez progressivement voir la partie immergée de l'iceberg faire surface.

Depuis quelques temps, le svn de Dotclear semble bien plat, et pour cause : après un cycle d'expérimentations d'autres outils de développement, nous avons décidé de migrer vers une gestion de versions via Mercurial.

Mercurial, pourquoi ?

Subversion est un système de gestion de version puissant qui a été grandement éprouvé. Nous avons surtout constaté que le mode de fonctionnement que nous avions jusqu'à présent avait ses limites : on se focalisait sur un (gros) chantier, qui n'en finissait pas tellement les impacts étaient importants, et surtout cela bloquait d'autres chantiers que nous avions en réserve.

Subversion offre bien un système de gestion de branches, mais le suivi des versions de fichiers ainsi que les fusions de branches étaient pour le moins compliqués.

D'où l'idée de partir sur un système distribué, en l'occurrence Mercurial.

Chaque chantier y prend la forme d'une branche dédiée que l'on rapatrie sur le tronc lorsqu'il est fini. Cela permet de progresser simultanément sur plusieurs évolutions à la fois.

Mercurial, où ?

2 dépôts aussi officiels l'un que l'autre sont disponibles :

Pourquoi un dépôt local à Dotclear ? Pour ne pas être dépendants d'un site externe.

Pourquoi avoir conservé Bitbucket ? Bitbucket apporte une certaine souplesse en ce qui concerne les contributions externes, via les mécanismes de "pull request", ce que ne permettrait pas Mercurial en natif

En termes de synchronisation, le dépôt de référence est hg.dotclear.org, il est synchronisé régulièrement avec le dépôt Bitbucket

Mercurial, comment ?

Vous souhaitez contribuer au projet ? Rien n'est plus simple : créez un compte bitbucket, "forkez" le projet Dotclear sur votre compte, faites vos modifications, et notifiez-nous d'une "pull request" pour l'intégrer.

Franck a publié un certain nombre de billets très didactiques sur la question chez lui, n'hésitez pas à aller y jeter un œil.

Mercurial, quand ?

Maintenant. Le trac de Dotclear pointe désormais sur le dépôt Mercurial, tous les rouages internes sont huilés.

One last thing...

Autre nouvelle, au niveau des développements cette fois-ci. Une mailing list ouverte à tous a été créée pour discuter des prochaines évolutions de Dotclear. Les discussions y seront probablement très techniques, mais pourront intéresser les plus tenaces d'entre vous.

5 commentaires

2011 juin 14

Dotclear 2.3.1

Par xave le mardi 14 juin 2011, 22:22

Aujourd'hui, les médecins m'ont appris que je n'étais pas malade (enfin, pas trop. C'est gérable, je veux dire.) Du coup, je me suis dit qu'il fallait fêter ça et hop : voici la version 2.3.1 de Dotclear. Au menu, amoureusement concocté par votre équipe favorite : pas de grand changements, sinon on aurait appelé ça Dotclear 2.4. Mais tout de même :

  • On a nettoyé un peu mieux la distrib des fichiers de développement qui gênaient la mise à jour automatique sur certains serveurs un peu difficiles.
  • on a corrigé le problème de gestion de la langue des favoris sur les blogs installés en multilingue (vous pouvez avoir à la réinitialiser.)
  • Quelques nettoyages des feuilles de style et bibliothèques javascript.
  • Correction d'un bug relatif aux favoris qu'on pouvait rencontrer lors de certaines importations/exportations.
  • L'adresse email émettrice des message de réinitialisation du mot de passe est maintenant configurable.
  • Correction d'une faille de sécurité possible sur certains serveurs, et deux autres améliorations de sécurité, découvertes par Jérémie Boutoille.

À propos de ces deux derniers points :

À l'installation de cette nouvelle version, l'adresse email en question est déterminée automatiquement en fonction de l'adresse où Dotclear est installée. Lors d'une mise à jour, par contre, pour des raisons de sécurité, cette adresse n'est pas créée. Vous pouvez la configurer en ajoutant la ligne suivante à votre fichier inc/config.php :

define('DC_ADMIN_MAILFROM','dotclear@adressequevousvoulez.com');

Si vous ne faites pas cette modification, Dotclear continuera à fonctionner. Vous courrez simplement plus le risque de voir les mails de réinitialisation de mot de passe être avalés par les filtres à spam.

En ce qui concerne les modifications de sécurité, il y en a deux qui ne sont pas des failles en l'état actuel des choses, mais qui auraient pu le devenir si nous avions fait certain développements sans y faire attention. La troisième, qui aurait pu permettre de récupérer un accès administrateur à vos blogs, n'est heureusement exploitable que sur un type de configuration serveur minoritaire. Mais vous êtes quand-même encouragés à faire la mise à jour : mieux vaut prévenir que guérir, après tout.

Nous tenons tout particulièrement à remercier l'équipe du concours Pirate-moi, qui a choisi de mettre Dotclear à l'épreuve, Jérémie, qui nous a communiqué la faille potentielle et les endroits où nous pouvions renforcer la sécurité, et bien sûr tous les participants du concours qui n'ont pas réussi à craquer Dotclear. Ce n'est pas la preuve qu'il n'est pas piratable, mais c'est un indicateur qu'en terme de sécurité, il n'a pas à rougir.

28 commentaires

Sites map