add ikiwiki-comment program

bit on how inlinability isn't only bad

Add link to the proposed wrapper generation patch

initial description of signinview plugin

more on caching behavior

make formatting more consistent

discuss zoned-ikiwiki implementation approaches, including signinview plugin

it helps to distinguish some use cases

also search

start fleshing out "things that make zoned ikiwiki hard"

sign previous

Match word boundary (think "/usr/bin/perl5.18").

[patch], patch

Added a comment

Remove space from perl shebang path.

Disambiguate myself a bit (like that's needed).

reformat

news

Merge remote-tracking branch 'refs/remotes/dgit/dgit/sid'

release

debian: fix some wrong paths in the copyright file

debian: rename debian/link to debian/links so the intended symlinks appear

close a bug

Drop unused python-support dependency

changelog so far

build-depend on libcgi-pm-perl too, for tests

Explicitly depend on CGI.pm, which is no longer in Perl core

I was going to depend on the version that has CGI->param_fetch,
but that has been supported since 2.37, which is older than oldstable.

IkiWiki::Plugin::openid: as a precaution, do not call non-coderefs

We're running under "use strict" here, so if CGI->param's array-context
misbehaviour passes an extra non-ref parameter, it shouldn't be executed
anyway... but it's as well to be safe.

[commit message added by smcv]

Call CGI->param_fetch instead of CGI->param in array context

CGI->param has the misfeature that it is context-sensitive, and in
particular can expand to more than one scalar in function calls.
This led to a security vulnerability in Bugzilla, and recent versions
of CGI.pm will warn when it is used in this way.

In the situations where we do want to cope with more than one parameter
of the same name, CGI->param_fetch (which always returns an
array-reference) makes the intention clearer.

[commit message added by smcv]

Make sure we do not pass multiple CGI parameters in function calls

When CGI->param is called in list context, such as in function
parameters, it expands to all the potentially multiple values
of the parameter: for instance, if we parse query string a=b&a=c&d=e
and call func($cgi->param('a')), that's equivalent to func('b', 'c').
Most of the functions we're calling do not expect that.

I do not believe this is an exploitable security vulnerability in
ikiwiki, but it was exploitable in Bugzilla.

Added a comment: It was an Apache problem...

branch

comment

Emit vestigial xmlns so people can still pass ikiwiki output through XSLT

We no longer have a test for DTD-valid XHTML 1.0, but at least check well-formedness

This means that people can do XSLT nonsense if they want to.

The failures are currently marked TODO because not everything in the
docwiki is in fact well-formed.

Remove now-redundant test-cases for a non-default html5 setting

Now that we're always using HTML5, <base href> can be relative

Always produce HTML5 doctype and new attributes, but not new elements

According to caniuse.com, a significant fraction of Web users are
still using Internet Explorer versions that do not support HTML5
sectioning elements. However, claiming we're XHTML 1.0 Strict
means we can't use features invented in the last 12 years, even if
they degrade gracefully in older browsers (like the role and placeholder
attributes).

This means our output is no longer valid according to any particular
DTD. Real browsers and other non-validator user-agents have never
cared about DTD compliance anyway, so I don't think this is a real loss.

Replace PayPal and Flattr buttons with text links

In particular, this avoids loading third-party resources from the
offline documentation (see
<https://lintian.debian.org/tags/privacy-breach-donation.html>).

mention pagespec_alias patches

Added a comment

Added a comment

Added a comment

Added a comment

Added a comment

as usual, macports hasn't moved

Added a comment

Added a comment

one report suffices; not yet clear there's a bug

clarify

findings and questions

Do not pass ignored sid parameter to checksessionexpiry

checksessionexpiry's signature changed from
(CGI::Session, CGI->param('sid')) to (CGI, CGI::Session) in commit
985b229b, but editpage still passed the sid as a useless third
parameter, and this was later cargo-culted into remove, rename and
recentchanges.

comments: don't log remote IP address for signed-in users

The intention was that signed-in users (for instance via httpauth,
passwordauth or openid) are already adequately identified, but
there's nothing to indicate who an anonymous commenter is unless
their IP address is recorded.

google search plugin: use https for the search

default User-Agent changed

Set default User-Agent to something that doesn't mention libwww-perl

It appears that both the open-source and proprietary rulesets for
ModSecurity default to blacklisting requests that say they are
from libwww-perl, presumably because some script kiddies use libwww-perl
and are too inept to set a User-Agent that is "too big to blacklist",
like Chrome or the iPhone browser or something. This seems doomed to
failure but whatever.

removed

Added a comment

help Markdown make a list

Added a comment: fixed in a recent release, I think

Replace shebang paths with the build-time $(PERL).

On non-Debian systems, /usr/bin/perl might not be the best available
Perl interpreter. Use whichever perl was used to run Makefile.PL,
unless it was "/usr/bin/perl", in which case there's nothing to do.

Extract test subs for each site. No change meant.

Extract run_cgi(). No functional change intended.

Extract check_generated_content(). Same output.

Extract check_cgi_mode_bits(). No change intended.

Extract thoroughly_rebuild(), a slight test change.

I didn't try to parameterize when a test should fail when we can't
remove ikiwiki.cgi because there already isn't one. (Hooray, natural
language.) Instead, we stop worrying about it and always tolerate
ENOENT.

Extract write_setup_file(). No functional change.

Test output differs only by the line numbers of the TODO items.

clarify further

clarify

That's not how that directive is used, and if you want to try stuff out please edit the sandbox instead

This reverts commit 856819a733d90a2ca259a5a3b03cc5d84f72e931

alternative plan

simplify IPC::Run check (same behavior)

exclude openid/troubleshooting

Added a comment

Added a comment

Added a comment

more fixes

Document another fix

In html5 mode, generate a host- or protocol-relative <base> for the CGI

This increases the number of situations in which we do the right thing.

Add reverse_proxy option which hard-codes cgiurl in CGI output

This solves several people's issues with the CGI trying to be
too clever when IkiWiki is placed behind a reverse-proxy.

Avoid mixed content when cgiurl is https but url is not

offer myself to the ravenous consulting market

remaining bugs after fixing some of the easier situations

Use protocol-relative URIs if cgiurl and url differ only by authority (hostname)

Fix a test-case that actually just repeated the previous one instead

Force use of $config{url} as top URL in w3mmode

relative URLs test: pass an appropriate PERL5LIB through

We were previously using the system copy of IkiWiki, because the CGI
resets its environment.

Add WAI-ARIA roles to #main, #comments and #footer when in HTML5 mode

Based on a patch from Patrick.

add the beginnings of a test for CGI/static URL interactions

review