Dotclear

Une nouvelle version de maintenance qui règle une potentielle faille de sécurité du côté des listes des billets et des pages, faille signalée par Yuji Tounai of NTT Com Security (Japan) KK (via Keiko Yashiki du JPCERT/CC) que nous remercions pour le signalement, ainsi que deux autres défauts moins critiques.

La proposition de mise à jour de votre installation devrait apparaître sur votre tableau de bord aujourd'hui ou demain (selon les réglages de votre hébergement) et un patch est disponible pour les développeurs préférant appliquer cette méthode.

Quelques mois après la version 2.7.5 voilà aujourd'hui, pour le 12e anniversaire de Dotclear, la version 2.8 qui pointe le bout de son nez sous les traits de Dotty^[1], notre nouvelle mascotte^[2] :

Dotty

Cette nouvelle version introduit un nouveau mécanisme qui permet de gérer des dépendances entres modules (plugins pour l'instant et bientôt pour les thèmes), intègre le plugin Breadcrumb (fil d'Ariane que certains d'entre-vous utilisent peut-être déjà), met à jour l'éditeur CKEditor et la librairie jQuery, corrige pas mal de bugs et de petits problèmes cosmétiques.

Le système d'extension/héritage des templates a été appliqué au jeu de template mustek, afin de simplifier le développement les thèmes qui s'appuient dessus, quelques critères de tri et de filtre ont été ajoutés pour l'affichage des billets et des commentaires (et spams) côté administration, les mots-clés et widgets sont dorénavant triés selon un ordre lexical pour les langues utilisant un alphabet latin, entre autre choses sur lesquelles nous reviendrons de temps en temps par ici.

Important : Si vous avez installé le plugin breadcrumb (intitulé « Fil d'Ariane »), désinstallez-le avant de faire cette mise à jour.

Autre chose : nous allons abandonner le support de la version 5.2 de PHP et imposer a minima la version 5.3 (qui rappellons-le est déjà obsolète). Sachez que Dotclear a été testé jusqu'à la version 5.6 de PHP.

La proposition de mise à jour de votre installation devrait apparaître sur votre tableau de bord aujourd'hui ou demain (selon les réglages de votre hébergement) et un patch est disponible pour les développeurs préférant appliquer cette méthode.

Petite version de maintenance, qui a pour petit nom « The Cat », et qui apporte son (petit) lot de corrections et d'améliorations ce vendredi 13 !

La proposition de mise à jour de votre installation devrait apparaître sur votre tableau de bord aujourd'hui ou demain (selon les réglages de votre hébergement) et un patch est disponible pour les développeurs préférant appliquer cette méthode.

Une version de correction pour régler un bug qui empêchait les utilisateurs non administrateurs d'utiliser l'éditeur Wiki de Dotclear.

La proposition de mise à jour de votre installation devrait apparaître sur votre tableau de bord aujourd'hui ou demain (selon les réglages de votre hébergement) et un patch est disponible pour les développeurs préférant appliquer cette méthode.

TL;DR : Un nouvel éditeur WYSIWYG et du HTML5 côté jardin et côté cour. Mettez à jour et dégustez :-)

Une nouvelle version de maintenance qui corrige deux potentielles failles de sécurité sur l'authentification XML-RPC et sur l'ordonnancement des catégories. Nous en profitons pour remercier Egidio Romano qui nous a alerté il y a deux jours à ce propos.

Il nous a également alerté sur la possibilité d'envoyer et de faire exécuter dans le dossier des médias un script PHP. Dotclear ne peut pas garantir complètement ce genre de défaut et il faut veiller à ne pas laisser de tel fichiers dans vos médias, ou, si c'est important, d'éviter qu'ils soient exécutables. Pour ce faire plusieurs techniques existent et dépendent essentiellement de l'hébergeur et du logiciel serveur.

Pour Apache, par exemple, un fichier .htaccess placé dans le dossier public et contenant la directive suivante permet de l'éviter :

php_flag engine off

La proposition de mise à jour de votre installation devrait apparaître sur votre tableau de bord aujourd'hui ou demain (selon les réglages de votre hébergement) et un patch est disponible pour les développeurs préférant appliquer cette méthode.

La journée d'hier fut, comme prévu, une journée riche, riche en découvertes, riche de personnes rencontrées, riche du plaisir de se voir tout simplement.

Anne a initié la journée - en fin de matinée - par une initiation/découverte de Sass et Compass. Les deux "outils" Sass et Compass sont complémentaires. Sass enrichit les feuilles de style CSS en offrant notamment la possibilité de mettre des variables, d'ajouter des fonctions...

Quoi de plus pénible que devoir recopier à différents endroits de sa feuille de style une ou des couleurs de sa charte graphique. Vous rêviez (ou pas) de pouvoir utiliser une variable, avec Sass, réveillez-vous c'est tout simplement possible !

Dans le même ordre d'idée, vous avez par exemple dans votre design différentes boîtes avec des bords arrondis mais avec des marges intérieures et extérieures qui dépendent du contexte. Avec Sass, plus de galère lorsque vous décidez par exemple d'agrandir un peu l'arrondi ou mettre une couleur de fond pour toutes les boîtes. Cette fois Sass vient à votre secours avec les fonctions (mixins en grand breton).

Tout cela n'est qu'un aperçu des possibilités apportées par Sass. Il y a aussi les opérateurs qui permettent par exemple d'écrire width: 300px / 960px * 100%;, règles imbriquées (Nested), l'héritage…

Et Compass, dans l'histoire ? Compass est un framework qui complète Sass et en facilite grandement l'utilisation à travers toute une collection de mixins. Par exemple, on peut écrire une règle sans se soucier d’ajouter les règles spécifiques à tel ou tel navigateur, Compass s’en chargera. Il offre aussi un reset CSS ou encore des ‘’mixins’’ facilitant la mise en place d’une grille verticale.

Et comme si tout cela ne suffisait pas, Anne nous a fait découvrir les Zen Grids. A mon avis, les intégrateurs ont du souci à se faire ! Faire une mise en page complexe devient facile et amusant. Zen Grids utilise évidemment Sass. En modifiant, les paramètres de quelques mixins, on peut par exemple sur la page d'un billet décider de mettre la barre latérale (sidebar) à gauche plutôt qu'à droite et cela sans modifier le code html évidemment. Le framework Zen Grids offre des perspectives super intéressantes.

Après une petite pause déjeuner bien méritée, en début d'après-midi, nous avons fait un double atelier Mercurial/Sass. L'idée était de gérer le futur thème de dotclear.org dans Mercurial et bien entendu en utilisant Sass. Tomek a commencé par créer un dépôt sur Bitbucket. Il a ajouté les fichiers du thème (css, js, scss, images…) dans le dépôt en faisant un push. Il nous a ensuite envoyé une invitation pour nous inciter à contribuer à son magnifique projet. Ce super projet est si admirable que nous l’avons tous forké. Nous avons ensuite cloné notre fork sur nos PC respectifs. En bricolant un peu le html et à coup de liens symboliques, nous avons finalement réussi à obtenir chacun une page ressemblant à celle que Tomek avait sur son poste. Il ne nous restait plus qu'à contribuer en faisant des modifications pertinentes de la plus haute importance et en en faisant une Pull Request que notre gentil chef de projet s'est empressé d'accepter et de merger sur son projet.

Toutes ces découvertes nous ont ouvert l'appétit et nous sommes réunis autour d'une jolie table avec ceux qui ne s’étaient inscrits qu’au dîner pour refaire le monde, discuter et tout simplement profiter du plaisir d'être ensemble. Vivement la sortie de la version 2.7 qu'on puisse recommencer.