]> git.vanrenterghem.biz Git - git.ikiwiki.info.git/blobdiff - doc/plugins/po.mdwn
projects / git.ikiwiki.info.git / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
po: prevent a slave page to depend on itself
[git.ikiwiki.info.git] / doc / plugins / po.mdwn
diff --git a/doc/plugins/po.mdwn b/doc/plugins/po.mdwn
index 0cb510dce9f99285408ad3c3bec008d057bd8de5..e88cc3106531fd301ed99a5f2c58bddc24b91c8e 100644 (file)
--- a/doc/plugins/po.mdwn
+++ b/doc/plugins/po.mdwn
@@ -6,19 +6,25 @@ gettext, using [po4a](http://po4a.alioth.debian.org/).
 
 It depends on the Perl `Locale::Po4a::Po` library (`apt-get install po4a`).
 
 
 It depends on the Perl `Locale::Po4a::Po` library (`apt-get install po4a`).
 
+[[!toc levels=2]]
+
 Introduction
 ============
 
 A language is chosen as the "master" one, and any other supported
 Introduction
 ============
 
 A language is chosen as the "master" one, and any other supported
-language is a "slave" one. A page written in the "master" language is
-a "master" page, and is written in any supported format but PO.
+language is a "slave" one.
+
+A page written in the "master" language is a "master" page. It can be
+of any page type supported by ikiwiki, except `po`. It does not have to be
+named a special way: migration to this plugin does not imply any page
+renaming work.
 
 Example: `bla/page.mdwn` is a "master" Markdown page written in
 English; if `usedirs` is enabled, it is rendered as
 `bla/page/index.en.html`, else as `bla/page.en.html`.
 
 Any translation of a "master" page into a "slave" language is called
 
 Example: `bla/page.mdwn` is a "master" Markdown page written in
 English; if `usedirs` is enabled, it is rendered as
 `bla/page/index.en.html`, else as `bla/page.en.html`.
 
 Any translation of a "master" page into a "slave" language is called
-a "slave" page; it is written in the gettext PO format. PO is now
+a "slave" page; it is written in the gettext PO format. `po` is now
 a page type supported by ikiwiki.
 
 Example: `bla/page.fr.po` is the PO "message catalog" used to
 a page type supported by ikiwiki.
 
 Example: `bla/page.fr.po` is the PO "message catalog" used to
@@ -29,7 +35,10 @@ rendered as `bla/page/index.fr.html`, else as `bla/page.fr.html`
 Configuration
 =============
 
 Configuration
 =============
 
-`po_master_language` is used to set the master language in
+Supported languages
+-------------------
+
+`po_master_language` is used to set the "master" language in
 `ikiwiki.setup`, such as:
 
         po_master_language => { 'code' => 'en', 'name' => 'English' }
 `ikiwiki.setup`, such as:
 
         po_master_language => { 'code' => 'en', 'name' => 'English' }
@@ -37,11 +46,56 @@ Configuration
 `po_slave_languages` is used to set the list of supported "slave"
 languages, such as:
 
 `po_slave_languages` is used to set the list of supported "slave"
 languages, such as:
 
-        po_slave_languages => { 'fr' => { 'name' => 'Français', },
-                                'es' => { 'name' => 'Castellano', },
-                                'de' => { 'name' => 'Deutsch', }
+        po_slave_languages => { 'fr' => 'Français',
+                                'es' => 'Castellano',
+                                'de' => 'Deutsch',
         }
 
         }
 
+Decide which pages are translatable
+-----------------------------------
+
+The `po_translatable_pages` setting configures what pages are
+translatable. It is a [[ikiwiki/PageSpec]], so you have lots of
+control over what kind of pages are translatable.
+
+The `.po` files are not considered as being translatable, so you don't need to
+worry about excluding them explicitly from this [[ikiwiki/PageSpec]].
+
+Internal links
+--------------
+
+The `po_link_to` option in `ikiwiki.setup` is used to decide how
+internal links should be generated, depending on web server features
+and site-specific preferences.
+
+### Default linking behavior
+
+If `po_link_to` is unset, or set to `default`, ikiwiki's default
+linking behavior is preserved: `\[[destpage]]` links to the master
+language's page.
+
+### Link to current language
+
+If `po_link_to` is set to `current`, `\[[destpage]]` links to the
+`destpage`'s version written in the current page's language, if
+available, *i.e.*:
+
+- `foo/destpage/index.LL.html` if `usedirs` is enabled
+- `foo/destpage.LL.html` if `usedirs` is disabled
+
+### Link to negotiated language
+
+If `po_link_to` is set to `negotiated`, `\[[page]]` links to the
+negotiated preferred language, *i.e.* `foo/page/`.
+
+(In)compatibility notes:
+
+- if `usedirs` is disabled, it does not make sense to set `po_link_to`
+  to `negotiated`; this option combination is neither implemented
+  nor allowed.
+- if the web server does not support Content Negotiation, setting
+  `po_link_to` to `negotiated` will produce a unusable website.
+
 
 Server support
 ==============
 
 Server support
 ==============
@@ -49,17 +103,16 @@ Server support
 Apache
 ------
 
 Apache
 ------
 
-Using `mod_negotiation` makes it really easy to have Apache serve the
-page in the client's preferred language, if available. This is the
-default Debian Apache configuration.
+Using Apache `mod_negotiation` makes it really easy to have Apache
+serve any page in the client's preferred language, if available.
+This is the default Debian Apache configuration.
 
 When `usedirs` is enabled, one has to set `DirectoryIndex index` for
 the wiki context.
 
 Setting `DefaultLanguage LL` (replace `LL` with your default MIME
 
 When `usedirs` is enabled, one has to set `DirectoryIndex index` for
 the wiki context.
 
 Setting `DefaultLanguage LL` (replace `LL` with your default MIME
-language) for the wiki context can be needed, to ensure
+language code) for the wiki context can help to ensure
 `bla/page/index.en.html` is served as `Content-Language: LL`.
 `bla/page/index.en.html` is served as `Content-Language: LL`.
-**FIXME**: is it still needed with the new `.en.html` naming convention?
 
 lighttpd
 --------
 
 lighttpd
 --------
@@ -70,145 +123,268 @@ lighttpd unfortunately does not support content negotiation.
  emulate this?
 
 
  emulate this?
 
 
-TODO
-====
+Usage
+=====
 
 
-Links
------
+Templates
+---------
 
 
-Choice between two behaviors must be possible in `ikiwiki.setup`;
-a `po_link_to_current_language` option must allow switching
-between them.
+The `ISTRANSLATION` and `ISTRANSLATABLE` variables can be used to
+display things only on translatable or translation pages.
 
 
-If `po_link_to_current_language` is disabled, `[[page]]` links to the
-negotiated preferred language, i.e.:
+### Display page's versions in other languages
 
 
-- `usedirs` enabled: `bla/page/`
-- `usedirs` disabled: `bla/page`
+The `OTHERLANGUAGES` loop provides ways to display other languages'
+versions of the same page, and the translations' status.
 
 
-This obviously does not work in case Content Negotiation is not
-supported by the web server, hence one can enable
-`po_link_to_current_language` to make `[[page]]` link to the current
-page's language, i.e.:
+One typically adds the following code to `templates/page.tmpl`:
 
 
-- `usedirs` enabled: `bla/page/index.LL.html`
-- `usedirs` disabled: `bla/page.LL.html`
+       <TMPL_IF NAME="OTHERLANGUAGES">
+       <div id="otherlanguages">
+         <ul>
+         <TMPL_LOOP NAME="OTHERLANGUAGES">
+           <li>
+             <a href="<TMPL_VAR NAME="URL">"><TMPL_VAR NAME="LANGUAGE"></a>
+             <TMPL_UNLESS NAME="MASTER">
+               (<TMPL_VAR NAME="PERCENT">&nbsp;%)
+             </TMPL_UNLESS>
+           </li>
+         </TMPL_LOOP>
+         </ul>
+       </div>
+       </TMPL_IF>
 
 
-**FIXME**: should `po_link_to_current_language` be enabled by default?
+The following variables are available inside the loop (for every page in):
 
 
-Display available translations
-------------------------------
+- `URL` - url to the page
+- `CODE` - two-letters language code
+- `LANGUAGE` - language name (as defined in `po_slave_languages`)
+- `MASTER` - is true (1) if, and only if the page is a "master" page
+- `PERCENT` - for "slave" pages, is set to the translation completeness, in percents
 
 
-The [[linguas|plugins/contrib/linguas]] plugin has some code that can
-be used as a basis to display the existing translations, and allow to
-navigate between them.
+### Display the current translation status
 
 
-View translation status
------------------------
+The `PERCENTTRANSLATED` variable is set to the translation
+completeness, expressed in percent, on "slave" pages.
 
 
-One should be able to view some information about the translation
-completeness, either for a given page or for the whole wiki.
+One can use it this way:
 
 
-This should not be too hard using gettext tools. If this is
-implemented as a
-[[HTML::Template|http://search.cpan.org/search?mode=dist&query=HTML%3A%3ATemplate]]
-loop, a page using it should depend on any "master" and "slave" pages
-whose status is being displayed.
+       <TMPL_IF NAME="ISTRANSLATION">
+       <div id="percenttranslated">
+         <TMPL_VAR NAME="PERCENTTRANSLATED">
+       </div>
+       </TMPL_IF>
 
 
-Decide which pages are translatable
------------------------------------
+Additional PageSpec tests
+-------------------------
 
 
-The subset of "master" pages subject to translation must be
-configurable:
+This plugin enhances the regular [[ikiwiki/PageSpec]] syntax with some
+additional tests that are documented [[here|ikiwiki/pagespec/po]].
 
 
-- a `[[!translatable ]]` directive, when put on a page, makes it
-  translatable
-- to set at once a bunch of pages as being translatable, use this
-  [[ikiwiki/directive]] with the `match=PageSpec` argument.
+Automatic PO file update
+------------------------
 
 
-Automatic PO files update
--------------------------
+Committing changes to a "master" page:
 
 
-Committing changes to a "master" page must:
+1. updates the POT file and the PO files for the "slave" languages;
+   the updated PO files are then put under version control;
+2. triggers a refresh of the corresponding HTML slave pages.
 
 
-1. update the POT file and the PO files for the supported languages,
-   before putting them under version control
-2. trigger a refresh of the corresponding HTML slave pages
+Also, when the plugin has just been enabled, or when a page has just
+been declared as being translatable, the needed POT and PO files are
+created, and the PO files are checked into version control.
 
 
-The former is to be done at a time when:
+Discussion pages
+----------------
 
 
-- we know which "master" page was modified, and thus, which POT/PO
-  files have to be updated: the `needsbuild` hook is the first one to
-  run that provides us with the necessary information
-- we can modify the list of pages needing a refresh; this is
-  `needsbuild` hook's job
+Discussion should happen in the language in which the pages are
+written for real, *i.e.* the "master" one. If discussion pages are
+enabled, "slave" pages therefore link to the "master" page's
+discussion page.
 
 
-The latter can be implemented by making any "slave" page depend on the
-corresponding "master" page. The `add_depends` function can achieve
-this, if used in a **FIXME** hook.
+Translating
+-----------
 
 
-UI consistency: rename "Edit" button on slave pages
----------------------------------------------------
+One can edit the PO files using ikiwiki's CGI (a message-by-message
+interface could also be implemented at some point).
 
 
-It may be surprising to some, after having pressed *Edit* on a wiki
-page, to end up editing a strange looking PO file. The *Edit* button
-displayed on "slave" pages must therefore be renamed *Improve
-translation* .
+If [[tips/untrusted_git_push]] is setup, one can edit the PO files in one's
+preferred `$EDITOR`, without needing to be online.
 
 
-Pages selection depending on language
--------------------------------------
+TODO
+====
 
 
-To improve user navigation in a multi-lingual wiki, site developers
-must be enabled to write:
+Security checks
+---------------
 
 
-        \[[!map pages="dev/* and lang(LL)" feeds="no"]]
+### Security history
 
 
-Translation quality assurance
------------------------------
+The only past security issues I could find in GNU gettext and po4a
+are:
 
 
-Modifying a PO file via the CGI must only be allowed if the new
-version is a valid PO file. As a bonus, check that it provides a more
-complete translation than the existing one.
+- [CVE-2004-0966](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0966),
+  *i.e.* [Debian bug #278283](http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=278283):
+  the autopoint and gettextize scripts in the GNU gettext package
+  1.14 and later versions, as used in Trustix Secure Linux 1.5
+  through 2.1 and other operating systems, allows local users to
+  overwrite files via a symlink attack on temporary files.
+- [CVE-2007-4462](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4462):
+  `lib/Locale/Po4a/Po.pm` in po4a before 0.32 allows local users to
+  overwrite arbitrary files via a symlink attack on the
+  gettextization.failed.po temporary file.
 
 
-A new `cansave` type of hook would be needed to implement this.
+**FIXME**: check whether this plugin would have been a possible attack
+vector to exploit these vulnerabilities.
 
 
-Note: committing to the underlying repository is a way to bypass
-this check.
+Depending on my mood, the lack of found security issues can either
+indicate that there are none, or reveal that no-one ever bothered to
+find (and publish) them.
 
 
-Translating online
-------------------
+### PO file features
 
 
-As PO is a wiki page type, we already have an online PO editor, that
-is ikiwiki's CGI.
+Can any sort of directives be put in po files that will cause mischief
+(ie, include other files, run commands, crash gettext, whatever)?
 
 
-A message-by-message interface could also be implemented at some
-point; a nice way to do offline translation work (without VCS access)
-still has to be offered, though.
+> No [documented](http://www.gnu.org/software/gettext/manual/gettext.html#PO-Files)
+> directive is supposed to do so. [[--intrigeri]]
 
 
-Translating offline without VCS access
---------------------------------------
+### Running po4a on untrusted content
 
 
-The following workflow should be made possible for translators without
-VCS access who need to edit the PO files in another editor than a web
-browser:
+Are there any security issues on running po4a on untrusted content?
 
 
-- download the page's PO file
-- use any PO editor to update the translation
-- upload the updated PO file
+To say the least, this issue is not well covered, at least publicly:
+
+- the documentation does not talk about it;
+- grep'ing the source code for `security` or `trust` gives no answer.
+
+On the other hand, a po4a developer answered my questions in
+a convincing manner, stating that processing untrusted content was not
+an initial goal, and analysing in detail the possible issues.
+
+#### Already checked
+
+- the core (`Po.pm`, `Transtractor.pm`) should be safe
+- po4a source code was fully checked for other potential symlink
+  attacks, after discovery of one such issue
+- the only external program run by the core is `diff`, in `Po.pm` (in
+  parts of its code we don't use)
+- `Locale::gettext`: only used to display translated error messages
+- Nicolas François "hopes" `DynaLoader` is safe, and has "no reason to
+  think that `Encode` is not safe"
+- Nicolas François has "no reason to think that `Encode::Guess` is not
+  safe". The po plugin nevertheless avoids using it by defining the
+  input charset (`file_in_charset`) before asking `Transtractor` to
+  read any file. NB: this hack depends on po4a internals to stay
+  the same.
+
+#### To be checked
+
+##### Locale::Po4a modules
+
+- the modules we want to use have to be checked, as not all are safe
+  (e.g. the LaTeX module's behaviour is changed by commands included
+  in the content); they may use regexps generated from the content; we
+  currently only use the `Text` module
+- the `Text` module does not run any external program
+- check that no module is loaded by `Chooser.pm`, when we tell it to
+  load the `Text` one
+- `nsgmls` is used by `Sgml.pm`
+
+##### Text::WrapI18N
+
+`Text::WrapI18N` can cause DoS (see the
+[Debian bug #470250](http://bugs.debian.org/470250)), but it is
+optional and we do not need the features it provides.
+
+It is loaded if available by `Locale::Po4a::Common`; looking at the
+code, I'm not sure we can prevent this at all, but maybe some symbol
+table manipulation tricks could work; overriding
+`Locale::Po4a::Common::wrapi18n` may be easier. I'm no expert at all
+in this field. Joey? [[--intrigeri]]
+
+##### Term::ReadKey
+
+`Term::ReadKey` is not a hard dependency in our case, *i.e.* po4a
+works nicely without it. But the po4a Debian package recommends
+`libterm-readkey-perl`, so it will probably be installed on most
+systems using the po plugin.
+
+If `$ENV{COLUMNS}` is not set, `Locale::Po4a::Common` uses
+`Term::ReadKey::GetTerminalSize()` to get the terminal size. How safe
+is this?
+
+Part of `Term::ReadKey` is written in C. Depending on the runtime
+platform, this function use ioctl, environment, or C library function
+calls, and may end up running the `resize` command (without
+arguments).
+
+IMHO, using Term::ReadKey has too far reaching implications for us to
+be able to guarantee anything wrt. security. Since it is anyway of no
+use in our case, I suggest we define `ENV{COLUMNS}` before loading
+`Locale::Po4a::Common`, just to be on the safe side. Joey?
+[[--intrigeri]]
+
+### msgmerge
+
+`refreshpofiles()` runs this external program. A po4a developer
+answered he does "not expect any security issues from it".
+
+### Fuzzing input
+
+I was not able to find any public information about gettext or po4a
+having been tested with a fuzzing program, such as `zzuf` or `fusil`.
+Moreover, some gettext parsers seem to be quite
+[easy to crash](http://fusil.hachoir.org/trac/browser/trunk/fuzzers/fusil-gettext),
+so it might be useful to bang msgmerge/po4a's heads against such
+a program in order to easily detect some of the most obvious DoS.
+[[--intrigeri]]
+
+> po4a was not fuzzy-tested, but according to one of its developers,
+> "it would be really appreciated". [[--intrigeri]]
+
+gettext/po4a rough corners
+--------------------------
+
+- fix infinite loop when synchronizing two ikiwiki (when checkouts
+  live in different directories): say bla.fr.po has been updated in
+  repo2; pulling repo2 from repo1 seems to trigger a PO update, that
+  changes bla.fr.po in repo1; then pushing repo1 to repo2 triggers
+  a PO update, that changes bla.fr.po in repo2; etc.; quickly fixed in
+  `629968fc89bced6727981c0a1138072631751fee`, by disabling references
+  in Pot files. Using `Locale::Po4a::write_if_needed` might be
+  a cleaner solution. (warning: this function runs the external
+  `diff` program, have to check security)
+- new translations created in the web interface must get proper
+  charset/encoding gettext metadata, else the next automatic PO update
+  removes any non-ascii chars; possible solution: put such metadata
+  into the Pot file, and let it propagate; should be fixed in
+  `773de05a7a1ee68d2bed173367cf5e716884945a`, time will tell.
+
+Misc. improvements
+------------------
+
+### page titles
+
+Use nice page titles from meta plugin in links, as inline already
+does. This is actually a duplicate for
+[[bugs/pagetitle_function_does_not_respect_meta_titles]], which might
+be fixed by something like [[todo/using_meta_titles_for_parentlinks]].
 
 
-Implementation note: a generic mechanism to upload a page's source is
-needed: it's only an alternative way to allow saving a the modified
-page's source with the CGI.
+### source files format
 
 
-### Short-term workflow
+Markdown is supported, great, but what about others? The set of file
+formats supported both in ikiwiki and po4a probably is greater than
+`{markdown}`. Warning: the po4a modules are the place where one can
+expect security issues.
 
 
-A possible workaround is:
+Translation quality assurance
+-----------------------------
 
 
-- pretend to edit the PO file online
-- copy the PO file content from the textarea
-- cancel the edit
-- paste the content into a local file.
-- edit the local file in any PO editor
-- pretend to edit the PO file online
-- paste the modified local file's content into the edit textarea
-- save
+Modifying a PO file via the CGI must be forbidden if the new version
+is not a valid PO file. As a bonus, check that it provides a more
+complete translation than the existing one.
+
+A new `cansave` type of hook would be needed to implement this.
+
+Note: committing to the underlying repository is a way to bypass
+this check.
Unnamed repository; edit this file 'description' to name the repository.