]> git.vanrenterghem.biz Git - git.ikiwiki.info.git/blobdiff - doc/plugins/po.mdwn
projects / git.ikiwiki.info.git / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
po: started research on gettext/po4a security
[git.ikiwiki.info.git] / doc / plugins / po.mdwn
diff --git a/doc/plugins/po.mdwn b/doc/plugins/po.mdwn
index e7a93469c05a51c05bd2583d00d2d7a554e0cf12..39575fb63266d6cc0913999032aa9cd614256955 100644 (file)
--- a/doc/plugins/po.mdwn
+++ b/doc/plugins/po.mdwn
@@ -10,15 +10,19 @@ Introduction
 ============
 
 A language is chosen as the "master" one, and any other supported
 ============
 
 A language is chosen as the "master" one, and any other supported
-language is a "slave" one. A page written in the "master" language is
-a "master" page, and is written in any supported format but PO.
+language is a "slave" one.
+
+A page written in the "master" language is a "master" page. It can be
+of any page type supported by ikiwiki, except `po`. It does not have to be
+named a special way: migration to this plugin does not imply any page
+renaming work.
 
 Example: `bla/page.mdwn` is a "master" Markdown page written in
 English; if `usedirs` is enabled, it is rendered as
 `bla/page/index.en.html`, else as `bla/page.en.html`.
 
 Any translation of a "master" page into a "slave" language is called
 
 Example: `bla/page.mdwn` is a "master" Markdown page written in
 English; if `usedirs` is enabled, it is rendered as
 `bla/page/index.en.html`, else as `bla/page.en.html`.
 
 Any translation of a "master" page into a "slave" language is called
-a "slave" page; it is written in the gettext PO format. PO is now
+a "slave" page; it is written in the gettext PO format. `po` is now
 a page type supported by ikiwiki.
 
 Example: `bla/page.fr.po` is the PO "message catalog" used to
 a page type supported by ikiwiki.
 
 Example: `bla/page.fr.po` is the PO "message catalog" used to
@@ -29,7 +33,10 @@ rendered as `bla/page/index.fr.html`, else as `bla/page.fr.html`
 Configuration
 =============
 
 Configuration
 =============
 
-`po_master_language` is used to set the master language in
+Supported languages
+-------------------
+
+`po_master_language` is used to set the "master" language in
 `ikiwiki.setup`, such as:
 
         po_master_language => { 'code' => 'en', 'name' => 'English' }
 `ikiwiki.setup`, such as:
 
         po_master_language => { 'code' => 'en', 'name' => 'English' }
@@ -37,11 +44,56 @@ Configuration
 `po_slave_languages` is used to set the list of supported "slave"
 languages, such as:
 
 `po_slave_languages` is used to set the list of supported "slave"
 languages, such as:
 
-        po_slave_languages => { 'fr' => { 'name' => 'Français', },
-                                'es' => { 'name' => 'Castellano', },
-                                'de' => { 'name' => 'Deutsch', }
+        po_slave_languages => { 'fr' => 'Français',
+                                'es' => 'Castellano',
+                                'de' => 'Deutsch',
         }
 
         }
 
+Decide which pages are translatable
+-----------------------------------
+
+The `po_translatable_pages` setting configures what pages are
+translatable. It is a [[ikiwiki/PageSpec]], so you have lots of
+control over what kind of pages are translatable.
+
+The `.po` files are not considered as being translatable, so you don't need to
+worry about excluding them explicitly from this [[ikiwiki/PageSpec]].
+
+Internal links
+--------------
+
+The `po_link_to` option in `ikiwiki.setup` is used to decide how
+internal links should be generated, depending on web server features
+and site-specific preferences.
+
+### Default linking behavior
+
+If `po_link_to` is unset, or set to `default`, ikiwiki's default
+linking behavior is preserved: `\[[destpage]]` links to the master
+language's page.
+
+### Link to current language
+
+If `po_link_to` is set to `current`, `\[[destpage]]` links to the
+`destpage`'s version written in the current page's language, if
+available, *i.e.*:
+
+- `foo/destpage/index.LL.html` if `usedirs` is enabled
+- `foo/destpage.LL.html` if `usedirs` is disabled
+
+### Link to negotiated language
+
+If `po_link_to` is set to `negotiated`, `\[[page]]` links to the
+negotiated preferred language, *i.e.* `foo/page/`.
+
+(In)compatibility notes:
+
+- if `usedirs` is disabled, it does not make sense to set `po_link_to`
+  to `negotiated`; this option combination is neither implemented
+  nor allowed.
+- if the web server does not support Content Negotiation, setting
+  `po_link_to` to `negotiated` will produce a unusable website.
+
 
 Server support
 ==============
 
 Server support
 ==============
@@ -49,17 +101,16 @@ Server support
 Apache
 ------
 
 Apache
 ------
 
-Using `mod_negotiation` makes it really easy to have Apache serve the
-page in the client's preferred language, if available. This is the
-default Debian Apache configuration.
+Using Apache `mod_negotiation` makes it really easy to have Apache
+serve any page in the client's preferred language, if available.
+This is the default Debian Apache configuration.
 
 When `usedirs` is enabled, one has to set `DirectoryIndex index` for
 the wiki context.
 
 Setting `DefaultLanguage LL` (replace `LL` with your default MIME
 
 When `usedirs` is enabled, one has to set `DirectoryIndex index` for
 the wiki context.
 
 Setting `DefaultLanguage LL` (replace `LL` with your default MIME
-language) for the wiki context can be needed, to ensure
+language code) for the wiki context can help to ensure
 `bla/page/index.en.html` is served as `Content-Language: LL`.
 `bla/page/index.en.html` is served as `Content-Language: LL`.
-**FIXME**: is it still needed with the new `.en.html` naming convention?
 
 lighttpd
 --------
 
 lighttpd
 --------
@@ -70,126 +121,157 @@ lighttpd unfortunately does not support content negotiation.
  emulate this?
 
 
  emulate this?
 
 
-TODO
-====
-
-Display available translations
-------------------------------
+Usage
+=====
 
 
-The [[linguas|plugins/contrib/linguas]] plugin has some code that can
-be used as a basis to display the existing translations, and allow to
-navigate between them.
+Templates
+---------
 
 
-View translation status
------------------------
+The `ISTRANSLATION` and `ISTRANSLATABLE` variables can be used to
+display things only on translatable or translation pages.
 
 
-One should be able to view some information about the translation
-completeness, either for a given page or for the whole wiki.
+### Display page's versions in other languages
 
 
-This should not be too hard using gettext tools. If this is
-implemented as a
-[[HTML::Template|http://search.cpan.org/search?mode=dist&query=HTML%3A%3ATemplate]]
-loop, a page using it should depend on any "master" and "slave" pages
-whose status is being displayed.
+The `OTHERLANGUAGES` loop provides ways to display other languages'
+versions of the same page, and the translations' status.
 
 
-Decide which pages are translatable
------------------------------------
+One typically adds the following code to `templates/page.tmpl`:
 
 
-The subset of "master" pages subject to translation must be
-configurable:
+       <TMPL_IF NAME="OTHERLANGUAGES">
+       <div id="otherlanguages">
+         <ul>
+         <TMPL_LOOP NAME="OTHERLANGUAGES">
+           <li>
+             <a href="<TMPL_VAR NAME="URL">"><TMPL_VAR NAME="LANGUAGE"></a>
+             <TMPL_UNLESS NAME="MASTER">
+               (<TMPL_VAR NAME="PERCENT">&nbsp;%)
+             </TMPL_UNLESS>
+           </li>
+         </TMPL_LOOP>
+         </ul>
+       </div>
+       </TMPL_IF>
 
 
-- a `[[!translatable ]]` directive, when put on a page, makes it
-  translatable
-- to set at once a bunch of pages as being translatable, use this
-  [[ikiwiki/directive]] with the `match=PageSpec` argument.
+The following variables are available inside the loop (for every page in):
 
 
-Automatic PO files update
--------------------------
+- `URL` - url to the page
+- `CODE` - two-letters language code
+- `LANGUAGE` - language name (as defined in `po_slave_languages`)
+- `MASTER` - is true (1) if, and only if the page is a "master" page
+- `PERCENT` - for "slave" pages, is set to the translation completeness, in percents
 
 
-Committing changes to a "master" page must:
+### Display the current translation status
 
 
-1. update the POT file and the PO files for the supported languages,
-   before putting them under version control
-2. trigger a refresh of the corresponding HTML slave pages
+The `PERCENTTRANSLATED` variable is set to the translation
+completeness, expressed in percent, on "slave" pages.
 
 
-The former is to be done at a time when:
+One can use it this way:
 
 
-- we know which "master" page was modified, and thus, which POT/PO
-  files have to be updated: the `needsbuild` hook is the first one to
-  run that provides us with the necessary information
-- we can modify the list of pages needing a refresh; this is
-  `needsbuild` hook's job
+       <TMPL_IF NAME="ISTRANSLATION">
+       <div id="percenttranslated">
+         <TMPL_VAR NAME="PERCENTTRANSLATED">
+       </div>
+       </TMPL_IF>
 
 
-The latter can be implemented by making any "slave" page depend on the
-corresponding "master" page. The `add_depends` function can achieve
-this, if used in a **FIXME** hook.
+Additional PageSpec tests
+-------------------------
 
 
-UI consistency: rename "Edit" button on slave pages
----------------------------------------------------
+This plugin enhances the regular [[ikiwiki/PageSpec]] syntax with some
+additional tests that are documented [[here|ikiwiki/pagespec/po]].
 
 
-It may be surprising to some, after having pressed *Edit* on a wiki
-page, to end up editing a strange looking PO file. The *Edit* button
-displayed on "slave" pages must therefore be renamed *Improve
-translation* .
+Automatic PO file update
+------------------------
 
 
-Pages selection depending on language
--------------------------------------
+Committing changes to a "master" page:
 
 
-To improve user navigation in a multi-lingual wiki, site developers
-must be enabled to write:
+1. updates the POT file and the PO files for the "slave" languages;
+   the updated PO files are then put under version control;
+2. triggers a refresh of the corresponding HTML slave pages.
 
 
-        \[[!map pages="dev/* and preferredlang()" feeds="no"]]
+Also, when the plugin has just been enabled, or when a page has just
+been declared as being translatable, the needed POT and PO files are
+created, and the PO files are checked into version control.
 
 
-        \[[!map pages="dev/* and currentlang()" feeds="no"]]
+Discussion pages
+----------------
 
 
-Some new [[ikiwiki/pagespec]] functions have to be written.
+Discussion should happen in the language in which the pages are
+written for real, *i.e.* the "master" one. If discussion pages are
+enabled, "slave" pages therefore link to the "master" page's
+discussion page.
 
 
-Translation quality assurance
------------------------------
+Translating
+-----------
 
 
-Modifying a PO file via the CGI must only be allowed if the new
-version is a valid PO file. As a bonus, check that it provides a more
-complete translation than the existing one.
+One can edit the PO files using ikiwiki's CGI (a message-by-message
+interface could also be implemented at some point).
 
 
-A new `cansave` type of hook would be needed to implement this.
+If [[tips/untrusted_git_push]] is setup, one can edit the PO files in one's
+preferred `$EDITOR`, without needing to be online.
 
 
-Note: committing to the underlying repository is a way to bypass
-this check.
+TODO
+====
 
 
-Translating online
+Security checks
+---------------
+
+- Can any sort of directives be put in po files that will
+  cause mischief (ie, include other files, run commands, crash gettext,
+  whatever). The [PO file
+  format](http://www.gnu.org/software/gettext/manual/gettext.html#PO-Files)
+  should contain the answer.
+- Any security issues on running po4a on untrusted content?
+
+### Security history
+
+#### GNU gettext
+- [CVE-2004-0966](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0966)
+  / [Debian bug #278283](http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=278283):
+  the autopoint and gettextize scripts in the GNU gettext package
+  1.14 and later versions, as used in Trustix Secure Linux 1.5
+  through 2.1 and other operating systems, allows local users to
+  overwrite files via a symlink attack on temporary files.
+
+#### po4a
+-
+  [CVE-2007-4462](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4462):
+  lib/Locale/Po4a/Po.pm in po4a before 0.32 allows local users to
+  overwrite arbitrary files via a symlink attack on the
+  gettextization.failed.po temporary file.
+
+gettext/po4a rough corners
+--------------------------
+
+- fix infinite loop when synchronizing two ikiwiki (when checkouts
+  live in different directories): say bla.fr.po has been updated in
+  repo2; pulling repo2 from repo1 seems to trigger a PO update, that
+  changes bla.fr.po in repo1; then pushing repo1 to repo2 triggers
+  a PO update, that changes bla.fr.po in repo2; etc.; fixed in
+  `629968fc89bced6727981c0a1138072631751fee`?
+- new translations created in the web interface must get proper
+  charset/encoding gettext metadata, else the next automatic PO update
+  removes any non-ascii chars; possible solution: put such metadata
+  into the Pot file, and let it propagate; should be fixed in
+  `773de05a7a1ee68d2bed173367cf5e716884945a`, time will tell.
+
+Misc. improvements
 ------------------
 
 ------------------
 
-As PO is a wiki page type, we already have an online PO editor, that
-is ikiwiki's CGI.
-
-A message-by-message interface could also be implemented at some
-point; a nice way to do offline translation work (without VCS access)
-still has to be offered, though.
-
-Translating offline without VCS access
---------------------------------------
+### page titles
 
 
-The following workflow should be made possible for translators without
-VCS access who need to edit the PO files in another editor than a web
-browser:
+Use nice page titles from meta plugin in links, as inline already
+does. This is actually a duplicate for
+[[bugs/pagetitle_function_does_not_respect_meta_titles]], which might
+be fixed by something like [[todo/using_meta_titles_for_parentlinks]].
 
 
-- download the page's PO file
-- use any PO editor to update the translation
-- upload the updated PO file
-
-Implementation note: a generic mechanism to upload a page's source is
-needed: it's only an alternative way to allow saving a the modified
-page's source with the CGI.
+Translation quality assurance
+-----------------------------
 
 
-### Short-term workflow
+Modifying a PO file via the CGI must be forbidden if the new version
+is not a valid PO file. As a bonus, check that it provides a more
+complete translation than the existing one.
 
 
-A possible workaround is:
+A new `cansave` type of hook would be needed to implement this.
 
 
-- pretend to edit the PO file online
-- copy the PO file content from the textarea
-- cancel the edit
-- paste the content into a local file.
-- edit the local file in any PO editor
-- pretend to edit the PO file online
-- paste the modified local file's content into the edit textarea
-- save
+Note: committing to the underlying repository is a way to bypass
+this check.
Unnamed repository; edit this file 'description' to name the repository.