Idea: embedded podcast A/V player.

cloak user PII when making commits etc, and let cloaked PII be used in banned_users

This was needed due to emailauth, but I've also wrapped all IP address
exposure in cloak(), although the function doesn't yet cloak IP addresses.

(One IP address I didn't cloak is the one that appears on the password
reset email template. That is expected to be the user's own IP address,
so ok to show it to them.)

Thanks to smcv for the pointer to
http://xmlns.com/foaf/spec/#term_mbox_sha1sum

comments

passwordauth: Don't allow registering accounts that look like openids.

Also prohibit @ in account names, in case the file regexp was relaxed to
allow it.

Merge branch 'master' of ssh://git.ikiwiki.info

crufty po updates

update re passwordauth @

sanitize nickname derived from email address

acls and expectations

Critical of automatic merging of stylesheets

please do cloak email addresses, the principle of least astonishment applies

proposal for making emailauth not force username == email address

note about email visibility in git commits

fix page extension

close

Merge branch 'emailauth'

changelog

don't let emailauth user's email address be changed on preferences page

There's no real problem if they do change it, except they may get confused
and expect to be able to log in with the changed email and get the same
user account.

when an emailauth user posts a comment, use the username only, not the full email address

This makes the email not be displayed on the wiki, so spammers won't find
it there.

Note that the full email address is still put into the comment template.
The email is also used as the username of the git commit message
(when posting comments or page edits). May want to revisit this later.

avoid showing password prefs for emailauth user

allow adminuser to be an email address

tweak wording

fix up session cookie

emailauth link sent and verified; user login works

Still some work to do since the user name is an email address and should
not be leaked.

add emailauth.tmpl

move stub auth hook to loginselector

email auth plugin now works through email address entry

Converted openid-selector into a more generic loginselector helper plugin.

rename openid selector files to login-selector

further generalization of openid selector

Now template variables can be set to control which login methods are shown

generalized the openid selector to a login selector

This includes some CSS changes to names of elements.

Also, added Email login button (doesn't work yet of course),
and brought back the small openid login buttons. Demoted yahoo and verison
to small buttons. This makes the big buttons be the main login types, and
the small buttons be provider-specific helpers.

comments

link to indieauth and mention existing problems with this approach

thoughts

tyo

update

update

proposal

close

remove the small buttons for livejournal/flickr/wordpress/aol

None of these are commonly used openid providers, and the openid button
can be used to log in with any such openid provider.

promote the other/password item to a large button

When openid and passwordauth are the only enabled auth plugins, make the openid selector display "Password" instead of "Other", so users are more likely to click on it when they don't have an openid.

branch link fix

local.css also blocking

can't work this out

Add "Aloodo Blog"

Added a comment: You are right

Added a comment

Fix Archlinux link

Added a comment: Going mobile

Using ikiwiki for a new podcast.

underlay plugin needs to be enabled of course

remove icon for google

Re-remove google from openid selector; their openid provider is gone for good.

Yes to leaflet.js

Looking again at fancying up podcasts for iTunes.

split it

Start discussion regarding OpenLayers 2

still works here, thanks to version pinning

Merge branch 'master' of ssh://git.ikiwiki.info

bug report

add more details of CVE-2015-2793

yes Debian wheezy is vulnerable, a proposed-update is queued

is ikiwiki in wheezy vulnerable?

Added a comment

osm

Added a comment: zombie

Update comment on bug

Comment on templatebody bug

Comment on templatebody bug

Typos

Add question about meta, title and pagename

had a 500 here

small bug

security review seems to say this is an okay change

update for recent XSS

respond

close fixed bug

fix formatting

rename bugs/XSS_Alert...__33____33____33__.html to bugs/XSS_Alert...__33____33____33__.mdwn

also mention 3.20141016.2

fix formatting

Add news for version 3.20150329

release 3.20150329

ouf, works!

fail

Added a comment: progress

figure it out at last: would need review from smcv for symlink security

another attempt

Fix XSS in openid selector. Thanks, Raghav Bisht.