Developers of Sympa

["Nicolas Brouard" <address@concealed>]

Bonjour,

 

Je suis nouveau sur cette liste mais ai pas mal utilisé listserv déjà à l'époque de EARN puis listproc et j'envisageais de passer toutes mes listes sur "sympa" à l'INED.

 

Je dois avouer que j'ai eu quelques difficultés avec la documentation qui ne correspondait pas à la version chargée (il s'agissait de la 2.7.3 d'octobre dernier et depuis quelques secondes j'ai chargé la 3.0.3 mais ne l'ai pas encore installée) était bourrée de fautes d'anglais. Les versions RPM de Mandrake par exemple étaient également inopérationnelles. 

 

Certes sympa est fait de bric et de broc, mysql, myhonarc, ce qui le rend sympathique mais on passe évidemment plus de temps à installer le tout surtout si la documentation est déficiente et éparse. Je parle du tout, c'est à dire avec les accès WEB, les inscriptions et la gestion en général par le WEB etc. Bref ce qui rendait Sympa complet, moderne et attractif.

 

Je n'ai certes plus autant de temps qu'auparavant à consacrer à l'informatique mais j'ai également laissé tomber l'installation opérationnelle de sympa pour une raison majeure dont je n'ai malheureusement pas eu le temps de vous entretenir en octobre dernier.

 

En effet, j'ai bien compris qu'avec les accès par le WEB aux échanges de listes privées, les personnes inscrites oublient très fréquemment leur mot de passe. Ainsi il faut pouvoir leur fournir un nouveau droit d'accès et on trouve très souvent sur le WEB une invitation à cliquer du genre "Vous avez oublié votre mot de passe". Mais ce n'est pas une raison suffisante pour ne pas encrypter les mots de passe des inscrits !

 

Tout gestionnaire de liste sait que les individus mettent fréquemment leur mot de passe préféré et qu'ainsi, détenir des mots de passe personnels en clair, constitue une violation grave qui relève de la CNIL.

 

Les solutions éthiques existent un peu partout, en particulier dans les mailing listes pour gamins qui sont plus contrôlées que les mailing listes scientifiques. Elles exigent un retour par mél de plus et donc une programmation supplémentaire mais le détour en vaut la chandelle. Il suffit que ce clic sur la perte de mot de passe renvoie un mél à l'intéressé. Lequel mél contient par exemple un petit mot sur les caractéristiques du souscripteur et, à la place du mot de passe en clair, une URL cgi-bin avec pas mal de chiffres hétéroclites et personnalisés qui, lorsque le souscripteur clique dessus, l'invite à entrer un nouveau de passe. Si ma mémoire est bonne je crois que c'est ce système que j'ai du expérimenter avec intérêt auprès d'une liste pour mes enfants.

 

Il doit y avoir d'autres solutions techniques mais je crois qu'il faut bannir le stockage des mots de passe en clair dans les bases de données.

 

Qu'en pensez-vous ? Et en tout cas, bravo pour votre logiciel.

 

Nicolas Brouard
Paris
mailto:address@concealed http://sauvy.ined.fr/brouard