Re: Verification du propri taire

[Aumont - Comite Reseaux des Universites <adresse@cachée>]

> Bonjour
> 
> Je me suis aperçu qu'en modifiant le champ FROM de ma messagerie, et en
> mettant comme adresse, celle du propriétaire d'une liste, je pouvais
> envoyer des messages dans cette liste sans problème.

En effet, les entêtes SMTP d'un message ne présentent aucune sécurité.
Ceci n'est pas spécifique à Sympa, tout les robots de listes et toutes
les applications en mode messagerie se basant sur les From: sont sensibles
à cela.
C'est la raison pour laquelle les scénario de Sympa disposent pour chaque
opération (add, del, subscribe, ... et diffusion) les 2 notions différentes

-1 Qui a le droit de faire quoi ?
-2 Quelle méthode d'authentification permet de s'assurer qui est qui ?

La méthode smtp est basée sur le from du message. Pratique mais pas sur...

La méthode md5 est basée sur une confirmation par retour de courrier d'une
clef qui prouve que le demandeur peut lire les réponses.
Cette méthode s'applique aux confirmations par mail et aux actions par le web
authentifiées par un mot de passes (reçu par mail).

La méthode S/MIME allie la sécurité et la facilité du mail. Elle est 
disponible
pour la diffusion de message dans la version 2.7a et sera généralisée à toutes
les opérations en scénario dans la 2.7 que nous pensons diffuser avant 
Juillet.

S/MIME n'est certainement pas la solution idéale, il y a des contraintes
fortes pour les utilisateurs qui doivent en particulier disposer d'un
certificats X509, mais j'espère arriver dans pas trop longtemps à imposer des
opérations S/MIME pour les propriétaires de nos listes.

A noter que l'exploitation d'une connection web sécurisée
par https (avec exploitation du certificat du client) devra être possible
et qu'elle peut être considérée comme équivalente à une signature S/MIME.