<div dir="ltr">I am not sure that I understand how pmwiki passwords work, although I have been using them since many years now.<br>My website is completely closed for writing and partially open for reading.<br>In config.php I have:<br><br>$DefaultPasswords['admin'] = pmcrypt('adminpassword');<br>$DefaultPasswords['edit'] = pmcrypt('normalgeneralpassword');<br>$HandleAuth['browse'] = $HandleAuth['upload'] = $HandleAuth['attr'] = $HandleAuth['print'] = $HandleAuth['refcount'] = $HandleAuth['diff'] = $HandleAuth['source'] = $HandleAuth['search'] = 'edit'; <br><br>This way (I guess) all pages are fully protected both for writing and reading.<br><br>Also, I can choose which actions are closed (all the above are closed for writing and reading) while, as an example, I keep open presentations (action=slideshow, see S5 recipe). <br>But this would open a hole so I should most probably update to <br><br>$HandleAuth['browse'] = $HandleAuth['upload'] = $HandleAuth['attr'] = $HandleAuth['print'] = $HandleAuth['refcount'] = $HandleAuth['diff'] = $HandleAuth['source'] = $HandleAuth['search'] = $HandleAuth['slideshow'] = 'edit'; <br><br>Is this approach safe enough? Do you see anything that would raise a warning, please?<br>As other actions might exist which might pose a threat, is there a way to tell the system: "block all actions except xyz", instead?<br><br>Moreover, when I try to free reading for a whole group with <a href="http://www.example.com/GroupName.GroupAttributes?action=attr">www.example.com/GroupName.GroupAttributes?action=attr</a> and place @nopass in the 'read' field, it does not work and the group is kept closed.<br><br>What am I doing wrong, please?<br><br>Thanks!<br>Luigi<br></div>