Framework openMairie EXTRA - Historique des versions ==================================================== TODO: -ajouter le correctif sur om_table d'openPéril sur la pagination avec des "group by" -ajouter au générateur la gestion de champs om_modif_datetime et om_modif_login => proposition à débattre / suivi JSON -ajouter à dbForm les méthodes pour afficher un tableau de valeurs avec une action par ligne simple et flexible (idem OEM) -ajouter le widget snapshot d'openMarchéForain 1.0.8 (20/11/2020) ------------------ * Adaptation : les headers HTTP n'était pas configurables par instance, ils le sont désormais via le fichier dyn/config.inc.php * Adaptation : les bases des URL des flux SIG sont ajoutées aux headers HTTP CSP img-src et CSP connect-src * Correction : en cas de non configuration spécifique du fichier journal d'erreur, on utilise toujours les paramètres par défaut 1.0.7 (25/09/2020) ------------------ * Adaptation [ Utilisateur ] limiter l'attribution de profils à ceux de hiérarchie au plus égale à celle de son propre profil * Adaptation [ Technique - sécurité ] renforcement du mode https obligatoire : redirection HTTP 1.0.6 (14/09/2020) ------------------ * Correction : le chemin des logs par défaut du module REST ignorait le paramétrage général * Adaptation : la limite de temps des éditions PDF était en dur à 180s, elle est désormais spécifiable à l'appel du calcul d'un PDF * Adaptation : Mise à jour OM 4.9.8, lorsque le flag utilisé était login_and_nohtml et que le login et/ou mot de passe étaient incorrects, le flag ne se comportait pas comme nohtml (il affaichait la structure de la page html) 1.0.5 (06/06/2020) ------------------ * Correction technique : définition des paramètres TCPDF nécessaires aux sous-états 1.0.4 (08/05/2020) ------------------ * Correction technique : appel des CSS lib/om-theme depuis la classe layout 1.0.3 (08/05/2020) ------------------ * Correction : pour les écrans de largeur inférieure à 1000px, le passage des widgets sur une colonne ne fonctionnait pas 1.0.2 (08/05/2020) ------------------ * Adaptation : le positionnement d'un titre avec [xxx] positionne une alerte en rouge dans la zone des 'shortlinks' 1.0.1 (08/05/2020) ------------------ * Adaptation : adaptation des tests auto à la prop0075 * Correction : Mise à jour OM 4.9.7 : correction des librairies externes pour compatibilité PHP7.4 * Correction : on remplace ' onXXX=' par ' jsattr=' et plus 'jsattr=' 1.0.0 (10/04/2020) basée sur OM4.9.6 ------------------ * Evolution : ajout à om_formulaire de widget monétaire et bouton-radio * Evolution : ajout à dbForm de méthodes utiles pour gérer les cas hors formulaire généré: traitements transactionnels, affichage de message retour * Evolution : ajout de la classe treatment_exception utile pour les traitements programmés et exécutés par appel web-service interne * Evolution : ajout d'éléments basique améliorant l'adaptabilité aux petits écrans : menu esacamotable et stlye "media-queries" #om_prop0064 * Evolution : extension des capacités de SendMail pour les rapporcher de celles de la fonction PHP, sans modifier l'usage précédent #om_prop0047 * Evolution : Le chemin des fichiers journaux devient paramétrable via dyn/filestorage.inc.php , et peut-être modifié à l'instanciation d'un om_rest_client , qui journalise aussi les headers HTTP envoyés. en cas d'erreur d'écriture des logs, l'erreur est affichée si le mode DEBUG est actif. #om_prop0066 * Evolution : Rendre plus efficace la protection contre la saisie de codes javascript dans les formulaires, protéger mieux d'une exécution en cas d'injection JavaScript par un autre moyen (SQL, Web-Service, ...) et permettre de conserver les " dans les valeurs. #om_prop0075 * Evolution : Mettre en place par défaut une configuration applicative des header HTTP correspondant aux bonnes pratiques, non dé-verrouillable par paramétrage pour conserver un haut niveau de sécurité. Sur certaines applications, suivant les ressources externes utilisées (notamment les flux SIG ou web-service), il pourrait subsister des blocages Content-Security-Policy. En ce cas, le blocage est visible dans la console JavaScript du navigateur ou en utilisant la fonctionnalité « report-uri » du header CSP. #om_prop0074 * Evolution : Cinq modifications pour rendre la session plus robuste #om_prop0073 > modifier l’identifiant de session après une authentification réussie, et ne pas changer son nom si elle est déjà active (cas improbable depuis correctif ) > regénérer l’identifiant de session à chaque requête limiter la durée de vie de session à 15mn, configurable dans dyn/config.inc.php, avec alerte JavaScript quand le temps maximum est atteint > positionner les paramètres de sécurisation des cookies recommandés en HTTP et HTTPS > proposer l’option de n’autoriser que le HTTPS, configurable dans dyn/config.inc.php , et pris en compte dans la redirection applicative avec le paramètre came_from * Evolution : La technique de hashage des mots de passe des utilisateurs locaux est modifiée: attention, les anciens mots de passe des utilisateurs deviennent inopérants. Pour la migration, on peut définir les hashages de mots de passe "temporaires" à affecter en SQL et communiquer aux utilisateurs concernés #om_prop0072 * Evolution : L'action "Mot de passe" proposée dans les actions personnelles applicatives n'est plus proposée aux utilisateurs de type annuaire 0.0.0 (10/04/2020) ------------------ Fork OM 4.9.6