]> git.vanrenterghem.biz Git - git.ikiwiki.info.git/blob - doc/todo/comments.mdwn
Tell `git revert` not to follow renames (CVE-2016-10026)
[git.ikiwiki.info.git] / doc / todo / comments.mdwn
1 # Known issues with the [[plugins/comments]] plugin
3 ## Unimplemented
5 * Instead of just a link to add a comment, it could have a form to enter
6   the title, similar to the form for adding a new blog post.
8   > I'm not sure this is so useful? On Livejournal titles are allowed on
9   > comments, but very rarely used (and indeed usually not very useful);
10   > it's hard enough to get some people to title their blog posts :-)
11   > --[[smcv]]
13 ## Won't fix
15 * Because IkiWiki generates static HTML, we can't have a form inlined in
16   page.tmpl where the user fills in an entire comment and can submit it in
17   a single button-press, without being vulnerable to cross-site request forgery.
18   So I'll put this in as wontfix. --[[smcv]]
20   > Surely there's a way around that?
21   > A web 2.0 way comes to mind: The user clicks on a link
22   > to open the comment post form. While the nasty web 2.0 javascript :)
23   > is manipulating the page to add the form to it, it looks at the cookie
24   > and uses that to insert a sid field.
25   > 
26   > Or, it could have a mandatory preview page and do the CSRF check then.
27   > --[[Joey]]
29 * It would be useful to have a pagespec that always matches all comments on
30   pages matching a glob. Something like `comment(blog/*)`.
31   Perhaps postcomment could also be folded into this? Then the pagespec
32   would match both existing comments, as well as new comments that are
33   being posted.
35   > Please see [[plugins/comments/discussion]]. If I've convinced you that
36   > internal pages are the way forward, then sure, we can do that, because
37   > people who can comment still won't be able to edit others' comments
38   > (one of my goals is that commenters can't put words into each other's
39   > mouths :-) )
40   >
41   > On the other hand, if you still want me to switch this plugin to "real"
42   > pages, or if internal pages might become editable in future, then
43   > configuring lockedit/anonok so a user X can add comments to blog pages
44   > would also let X edit/delete comments on blog pages (including those
45   > written by others) in arbitrary ways, which doesn't seem good. --[[smcv]]
47   > I had a look at implementing comment() and fell afoul of
48   > some optimisations that assume only internal() will be used to match
49   > internal pages. So probably this isn't worth doing. --[[Joey]]
51 ## Done
53 * There is some common code cargo-culted from other plugins (notably inline and editpage) which
54   should probably be shared
56   > Actually, there's less of this now than there used to be - a lot of simple
57   > things that were shared have become unshareable as they became more
58   > complex. --[[smcv]]
60   > There's still goto. You have a branch for that. --[[Joey]] 
62   >> Now merged --[[smcv]]
64 * The default template should have a (?) icon next to unauthenticated users (with the IP address
65   as title) and an OpenID icon next to OpenIDs
67   > Done in my comments git branch, at least as a mockup (using the (?),
68   > {x} and {*} smileys for anonymous, OpenID and login respectively).
69   > --[[smcv]]
71   >> I've improved this to use independent icons from the wikiicons
72   >> directory (untested!) --[[smcv]]
74   >>> The new code produces links like /wikiisons/openid.png, which
75   >>> fail if ikiwiki is not at the root of the web server. --[[Joey]]
77   >>>> Sorry, I should have spotted that (the assumption failed on my demo
78   >>>> site, but the push to that site was when I was on the way out, so I
79   >>>> didn't have time to investigate). As a note for other ikiwiki hackers,
80   >>>> I should have used
81   >>>> `<img src="<TMPL_VAR NAME=BASEURL>wikiicons/openid.png" />`. --[[smcv]]
83   >>> I got to wondering if the icons are needed. On my comments branch
84   >>> (not master), I've dropped the icons and info can be seen by hovering
85   >>> over the author's name. Idea being that you probably don't care how
86   >>> they authenticated unless something is weird, and in that case you
87   >>> can hover to check. Does that make sense, should I merge it?
88   >>> --[[Joey]]
90   >>>> Yeah, go ahead. I preferred my layout with the author before the
91   >>>> comment - perhaps that's Livejournal's influence :-) - but I can always
92   >>>> edit the templates for my own site. As long as the default is something
93   >>>> reasonable and both layouts are possible, I don't really mind.
94   >>>> Minimizing the number of "resource" files in the basewiki also seems
95   >>>> a good goal. --[[smcv]]
97 * Previews always say "unknown IP address"
99   > Fixed in my comments branch by commits bc66a00b and 95b3bbbf --[[smcv]]
101 * The Comments link in the "toolbar" is to `index.html#comments`, not the
102   desired `./#comments`
104   > Fixed in my comments branch by commit 0844bd0b; commits 5b1cf21a
105   > and c42f174e fix another `beautify_urlpath` bug and add a regression test
106   > --[[smcv]]
109 * Now that inline has some comments-specific functionality anyway, it would
110   be good to output `<link rel="comments">` in Atom and the equivalent in RSS.
112   > Fixed in my comments branch by d0d598e4, 3feebe31, 9e5f504e --[[smcv]]
115 * Add `COMMENTOPENID`: the authenticated/verified user name, if and only if it was an OpenID
117   > Done in my comments git branch --[[smcv]]
119   > Not seeing it there, which branch? --[[Joey]]
121   >> Bah, git push --all is not the default... 'comments' branch now (I've also rebased it).
122   >> Sorry, I'm on mobile Internet at the moment... --[[smcv]]
124   >>> merged by [[Joey]] in commit 0f03af38 --[[smcv]]
126 * Should the comments be visually set off more from the page above?
127   Rather than just a horizontal rule, I'm thinking put the comments
128   in a box like is used for inlined pages.
130   > I did put them in a box in the CSS... I agree the default template
131   > could do with visual improvement though. --[[smcv]]
133   >> I'll consider this solved by [[Joey]]'s changes. --[[smcv]]
135 * One can use inline to set up a feed of all comments posted to any page.
136   Using template=comment they are displayed right. Only problem
137   is there is no indication in that template of what page each comment in the
138   feed is a comment on. So, if a comment is inlined into a different page,
139   I think it should show a link back to the page commented on.
140   (BTW, the rss feed in this situation seems ok; there the link element
141   points back to the parent page.
143   > done --[[Joey]]
145 * One of Joey's commit messages says "Not ideal, it would be nicer to jump to
146   the actual comment posted, but no anchor is available". In fact there is
147   an anchor - the `\[[_comment]]` preprocessing wraps the comment in a `<div>`
148   with id="comment_123" or something. I'll fix this, unless Joey gets there
149   first. --[[smcv]]
151   > done --[[Joey]]
153 * If a spammer posts a comment, it is either impossible or hard to clean
154   up via the web. Would be nice to have some kind of link on the comment
155   that allows trusted users to remove it (using the remove plugin of
156   course).
158   > Won't the remove plugin refuse to remove internal pages? This would be
159   > a good feature to have, though. --[[smcv]]
161   > Here, FWIW, is the first ikiwiki comment spam I've seen:
162   > <http://waldeneffect.org/blog/Snake_bite_information/#blog/Snake_bite_information/comment_1>
163   > So that took about 10 days...
164   > --[[Joey]] 
166   >> Implemented in my 'comments' branch, please review. It turns out
167   >> [[plugins/remove]] is happy to remove internal pages, so it was quite
168   >> easy to do. --[[smcv]]
170   >>> done --[[Joey]]