Cette histoire, c'est surtout un très bon exemple du problème que l'on peut avoir avec la sécurité en général. A mon avis, beaucoup de personne on du mal a comprendre que la sécurité, ce n'est pas un produit, un logiciel ou même seulement une question de bonnes pratiques. C'est surtout une démarche visant a évaluer les risques associé a une activité et prendre des mesures visant à le réduire. C'est une des raison pour lequel il parait normal a tout le monde de ne pas porter de casque en voiture ou a pied, alors que cela semble évident lorsque l'on fait de la moto.
Pour ce qui est de mailman, si tu pars du cas d'usage, il s'agit juste de gérer son abonnement à une liste de messagerie publique.
A la base sur ces listes, il suffisait généralement d'envoyer un mail avec subscribe ou unsubscribe et "pouf" tu étais abonné ou désabonné. Bon compte tenu de la nature du mail et de l’extrême facilité de falsifié son adresse d’émetteur, il y a forcément des petits malins qui se sont amusés à désabonner des gens suite, par exemple, à une discussion un peu houleuse.
Du coup, l'idée est venue naturellement de mettre en place un système de mail de confirmation. Il y a encore beaucoup de liste qui sont comme ça. Mais le truc c'est qu'en cas d'abus l'utilisateur reçoit des mail de confirmation alors qu'il n'a rien fait, et ça l’inquiète. Comme il ne comprend pas, il est tenté d'envoyer un mail à l'admin de la liste pour éclaircir la situation. Bon, quand tu gère des listes par centaine avec des dizaines de milliers d'abonnés, c'est le genre de truc qui fini par devenir pénible.
Viens alors l'idée d'envoyer un code lors de l'inscription du type, qu'il doit spécifié pour valider une demande de désabonnement par la suite. Aucun intérêt à le stocker sous forme de hash, de toute façon tu es bien obligé de l'envoyer par mail. Bref, le seul tord de mailman, à mon avis dans cette histoire, c'est d’appeler ça un mot de passe. Il suffirait, je pense, de l’appeler "référence d'abonnement" pour éviter le genre de mal-entendu à l'origine de cette discussion.
Pour ce qui est de la sécurité du mail, il n'y a pas vraiment d'alternative à GPG, a mon avis. Mais bon, si il faut sortir l'artillerie lourde pour juste gérer son abonnement à une ML qui est de tout façon publique, ça n'a pas trop d’intérêt, ce serait juste chiant comme le serait le fait de porter un casque de moto en voiture. Cela aurait surtout de l’intérêt quand tu veux assurer de ton identité réelle les autres membres de la liste. Pour gestion de l'abo, un code donné à l'inscription suffit pour éviter les abus, dans la très grande majorité des cas.
Faut pas gonfler Gérard Lambert quand il répare sa mobylette.
[^] # Re: Chaussures du cordonnier
Posté par Big Pete . En réponse au journal Freenaute, ton mot de passe d'abonné est stocké en clair chez Free. Évalué à 10. Dernière modification le 07 août 2018 à 09:50.
Cette histoire, c'est surtout un très bon exemple du problème que l'on peut avoir avec la sécurité en général. A mon avis, beaucoup de personne on du mal a comprendre que la sécurité, ce n'est pas un produit, un logiciel ou même seulement une question de bonnes pratiques. C'est surtout une démarche visant a évaluer les risques associé a une activité et prendre des mesures visant à le réduire. C'est une des raison pour lequel il parait normal a tout le monde de ne pas porter de casque en voiture ou a pied, alors que cela semble évident lorsque l'on fait de la moto.
Pour ce qui est de mailman, si tu pars du cas d'usage, il s'agit juste de gérer son abonnement à une liste de messagerie publique.
A la base sur ces listes, il suffisait généralement d'envoyer un mail avec subscribe ou unsubscribe et "pouf" tu étais abonné ou désabonné. Bon compte tenu de la nature du mail et de l’extrême facilité de falsifié son adresse d’émetteur, il y a forcément des petits malins qui se sont amusés à désabonner des gens suite, par exemple, à une discussion un peu houleuse.
Du coup, l'idée est venue naturellement de mettre en place un système de mail de confirmation. Il y a encore beaucoup de liste qui sont comme ça. Mais le truc c'est qu'en cas d'abus l'utilisateur reçoit des mail de confirmation alors qu'il n'a rien fait, et ça l’inquiète. Comme il ne comprend pas, il est tenté d'envoyer un mail à l'admin de la liste pour éclaircir la situation. Bon, quand tu gère des listes par centaine avec des dizaines de milliers d'abonnés, c'est le genre de truc qui fini par devenir pénible.
Viens alors l'idée d'envoyer un code lors de l'inscription du type, qu'il doit spécifié pour valider une demande de désabonnement par la suite. Aucun intérêt à le stocker sous forme de hash, de toute façon tu es bien obligé de l'envoyer par mail. Bref, le seul tord de mailman, à mon avis dans cette histoire, c'est d’appeler ça un mot de passe. Il suffirait, je pense, de l’appeler "référence d'abonnement" pour éviter le genre de mal-entendu à l'origine de cette discussion.
Pour ce qui est de la sécurité du mail, il n'y a pas vraiment d'alternative à GPG, a mon avis. Mais bon, si il faut sortir l'artillerie lourde pour juste gérer son abonnement à une ML qui est de tout façon publique, ça n'a pas trop d’intérêt, ce serait juste chiant comme le serait le fait de porter un casque de moto en voiture. Cela aurait surtout de l’intérêt quand tu veux assurer de ton identité réelle les autres membres de la liste. Pour gestion de l'abo, un code donné à l'inscription suffit pour éviter les abus, dans la très grande majorité des cas.
Faut pas gonfler Gérard Lambert quand il répare sa mobylette.