Accéder au contenu.
Menu Sympa

fr - Re: Verification du propri taire

Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa

Archives de la liste

Chronologique Discussions  
  • From: Aumont - Comite Reseaux des Universites <adresse@cachée>
  • To: miguel <adresse@cachée>
  • Cc: adresse@cachée
  • Subject: Re: Verification du propri taire
  • Date: Tue, 06 Jun 2000 17:35:17 +0200

> Bonjour
>
> Je me suis aperçu qu'en modifiant le champ FROM de ma messagerie, et en
> mettant comme adresse, celle du propriétaire d'une liste, je pouvais
> envoyer des messages dans cette liste sans problème.

En effet, les entêtes SMTP d'un message ne présentent aucune sécurité.
Ceci n'est pas spécifique à Sympa, tout les robots de listes et toutes
les applications en mode messagerie se basant sur les From: sont sensibles
à cela.
C'est la raison pour laquelle les scénario de Sympa disposent pour chaque
opération (add, del, subscribe, ... et diffusion) les 2 notions différentes

-1 Qui a le droit de faire quoi ?
-2 Quelle méthode d'authentification permet de s'assurer qui est qui ?

La méthode smtp est basée sur le from du message. Pratique mais pas sur...

La méthode md5 est basée sur une confirmation par retour de courrier d'une
clef qui prouve que le demandeur peut lire les réponses.
Cette méthode s'applique aux confirmations par mail et aux actions par le web
authentifiées par un mot de passes (reçu par mail).

La méthode S/MIME allie la sécurité et la facilité du mail. Elle est
disponible
pour la diffusion de message dans la version 2.7a et sera généralisée à toutes
les opérations en scénario dans la 2.7 que nous pensons diffuser avant
Juillet.

S/MIME n'est certainement pas la solution idéale, il y a des contraintes
fortes pour les utilisateurs qui doivent en particulier disposer d'un
certificats X509, mais j'espère arriver dans pas trop longtemps à imposer des
opérations S/MIME pour les propriétaires de nos listes.

A noter que l'exploitation d'une connection web sécurisée
par https (avec exploitation du certificat du client) devra être possible
et qu'elle peut être considérée comme équivalente à une signature S/MIME.





Archives gérées par MHonArc 2.6.19+.

Haut de le page