Amélioration des commentaires d'UEs - Suppression des anciens utilisateurs

[larueli]

Objectif

Je constate que pour ma promo, il n'y a quasiment plus de messages postés sur le site etu en commentaires des UEs. Nous utilisons pourtant régulièrement cette fonctionnalité lors de nos choix d'UEs. Je pense que le fait qu'on ne puisse pas poster anonymement est un frein aujourd'hui, sachant que plusieurs enseignants ont réussi, grâce à des étudiants, à avoir accès aux commentaires et donc exposant les noms des auteurs.

• L'objectif est de permettre les commentaires anonymes.
• Il faut donc ajouter une validation des commentaires. En effet, si on permet de commentaires anonymes que les profs ne voient pas, cela va se transformer en défouloir. J'introduis donc la notion de validation des commentaires. Un commentaire doit être validé pour pouvoir apparaitre sur le site etu. Le rôle de validation est le même que pour celui de la validation des annales.
• @ThomasLachaux m'a fait la remarque de faciliter au maximum la tâche des admins. J'ai donc réalisé une intégration complète dans Slack, ou sans même se connecter au site etu, on peut valider ou supprimer un commentaire.

• J'en profite également pour combler un manque RGPD : l'utilisateur ne pouvait pas supprimer lui même ses commentaires, seul un admin pouvait. De plus, personne ne pouvait éditer un message déjà posté, désormais l'auteur du post et un admin peuvent (moyennant revalidation).

Réalisé

Site Etu

Controller et services

• Création dans le dossier Etu/Core/CoreBundle/Util d'une classe statique SendSlack pour l'utilisation de curl.
• Création d'une route /slack/{token}, basée dans Etu/Core/CoreBundle/Controller/SlackController.php capable de comprendre les requêtes de slack, générée par des clics sur les boutons dans les messages. Notre application Slack indique à Slack une unique URL vers laquelle envoyer des requêtes contenant les actions faites par les utilisateurs depuis l'appli via notre appli (clic sur un bouton, dm, ...). Cette route est sécurisée par l'URL elle-même qui doit comprendre un token.

Dépendances et paramètres

• Correction : ajout de ext-http et ext-json aux dépendances
• Ajout de league/html-to-markdown pour convertir les commentaires en HTML vers du Markdown pour Slack
• Création de deux paramètres : slack_webhook_moderation associée à la variable d'environnement ETUUTT_SLACK_WEBHOOK_MODERATION qui est l'URL vers laquelle envoyer les messages de modération et slack_token associé à la variable d'environnement ETUUTT_SLACK_TOKEN (cf juste au dessus)

Module UVs (UEs aujourd'hui)

Core

Ajout de deux booléens dans la base de données pour les commentaires d'UEs :

• Anonyme
• Valide

Vues

• Utilisation du code couleur (vert/rouge) des annales pour les commentaires
• Ajout des boutons éditer et supprimer pour les auteurs de commentaires et pour les admins
• Ajout de la dernière date de modification du commentaire
• Les commentaires non validés ne s'affichent que pour leur auteur et les admins
• Affichage systèmatique des commentaires non validés en haut de la liste des commentaires
• Si le commentaire est anonyme, pour les utilisateurs indique simplement Utilisateur Anonyme, pour l'auteur et les admins affiche le nom avec la mention - ANONYME.

• Simplification des vues et centralisation des vues des commentaires via des macros Twig
• Affichage d'un message d'alerte à l'utilisateur lui notifiant de ne pas commenter n'importe comment, et que son identité et quand même connue des admins

Controller

• Ajout d'un controller pour l'édition d'un commentaire (/editUEComment/{id}), accessible par l'auteur et par un administrateur. Il entraine l'invalidation du commentaire.
• Déplacement des notifications pour nouveaux commentaires dans les fonctions de l'endpoint Slack et de validation des commentaires, et non plus dans le dépot du commentaire (on ne notifie pas si le commentaire vient d'être déposé car il n'est pas encore validé)
• Création de deux routes d'action de validation/dévalidation des commentaires comme pour les annales. Ce code est dupliqué de celui de Slack (en effet, Slack quand il trigger l'endpoint que je lui ai créé réalise les mêmes actions, il y a donc des doublons dans le code).

[guardrails[bot]]

:warning: We detected security issues in this pull request:

Insecure File Management (7)

https://github.com/ungdev/EtuUTT/blob/ed2c1bdf3eec14094152fa3a7c6a807a47c82f72/src/Etu/Module/UVBundle/Controller/MainController.php#L195 https://github.com/ungdev/EtuUTT/blob/ed2c1bdf3eec14094152fa3a7c6a807a47c82f72/src/Etu/Module/UVBundle/Controller/MainController.php#L192 https://github.com/ungdev/EtuUTT/blob/ed2c1bdf3eec14094152fa3a7c6a807a47c82f72/src/Etu/Core/UserBundle/Command/DeleteOldUsersCommand.php#L91 https://github.com/ungdev/EtuUTT/blob/ed2c1bdf3eec14094152fa3a7c6a807a47c82f72/src/Etu/Core/UserBundle/Command/DeleteOldUsersCommand.php#L94 https://github.com/ungdev/EtuUTT/blob/ed2c1bdf3eec14094152fa3a7c6a807a47c82f72/src/Etu/Core/UserBundle/Command/DeleteOldUsersCommand.php#L95 https://github.com/ungdev/EtuUTT/blob/ed2c1bdf3eec14094152fa3a7c6a807a47c82f72/src/Etu/Core/CoreBundle/Util/SendSlack.php#L14 https://github.com/ungdev/EtuUTT/blob/ed2c1bdf3eec14094152fa3a7c6a807a47c82f72/src/Etu/Core/UserBundle/Command/DeleteOldUsersCommand.php#L92 More info on how to fix Insecure File Management in [PHP](https://docs.guardrails.io/docs/en/vulnerabilities/php/Insecure_file_management.html?utm_source=ghpr).

---

👉 Go to the dashboard for detailed results.

📥 Happy? Share your feedback with us.

[larueli]

Suppression des anciens comptes

• J'ai implémenté et fix #243 : les utilisateurs sont supprimés dès leur départ de l'UTT, ou s'ils n'ont pas utilisé leur compte externe depuis plus de deux ans, via la commande etu:users:deleteold
• J'ai supprimé la notion de soft delete de la base de données : les données effacées le sont pour de bon (actuellement les données effacées sont sauvegardées, seul un champ change pour indique que la donnée n'est plus utilisable).

J'ai cependant essayé de tenir compte de vos remarques !

• Toutes les données ne sont pas effacées, certaines sont simplement anonymisée (affectée à un utilisateur anonyme deleted_user) : les commentaires et annales d'UEs, les posts de forum, les signalements et commentaires de bugs, les assos dont l'utilisateur est président, les pages de wiki
• Les utilisateurs ont la possibilité de signaler qu'ils souhaitent conserver leur compte via un bouton dans leur profil, à condition qu'ils indiquent une adresse mail personnelle. Lors de l'exécution de la commande de suppression, leur compte n'est pas effacé et une notification est envoyée sur Slack comprenant leur login et leur boite mail pour demander à leur créer un mot de passe pour les basculer en authentification externe.

Page RGPD

J'ai créé une nouvelle page sur le site /rgpd comprenant :

• Les droits des usagers
• Le responsable du traitement
• La finalité du traitement
• Les applications externes
• Le code source
• La politique de conservation des données
• Les administrateurs du site