Hello,
Je suis en train de réfléchir à un problème purement théorique. Actuellement, il est de plus en plus facile de créer un service où on peut se connecter en utilisant un compte existant sur un autre service. Typiquement, on peut se connecter à des sites en utilisant son identifiant Facebook, Twitter ou Google.
Mais le problème sur lequel je penche est de ne permettre qu'un seul et unique accès par personne tout en permettant au plus grand nombre d'avoir cet accès.
Je suis bien conscient qu'il est toujours possible de créer plusieurs comptes pour se connecter plusieurs fois. Mais dans certains cas, c'est plus difficile que dans d'autres.
Facebook, Twitter, Google
Utiliser un de ces trois est la solution de facilité. Alors certes, on n'évite pas les multis mais ceux-ci sont rendu relativement difficiles à faire en grande quantité et, de plus, sont facilement détectables.
Rien de plus facile en effet que de détecter si un compte Twitter ou Facebook est faux (nombre de contacts, activité récente, date d'ouverture du compte). Quand à Google, un compte est effectivement invérifiable mais il est difficile de produire de multiples comptes de manière automatique.
Pour moi, le plus facile à utiliser serait donc Twitter car c'est celui où c'est le plus facile de détecter un faux compte.
Problème: tout le monde n'a pas Twitter. En utilisant Twitter, on restreint donc fortement l'audience possible.
L'email
À l'opposé, l'email permet de toucher le plus grand nombre. Rares sont les internautes qui n'ont pas d'email. Le problème ici est l'inverse: il est trivial de créer des milliers d'alias et d'automatiser un processus nécessitant un email.
OpenID
En théorie, tout le monde peut avoir un openid. Cependant, le problème est identique à celui de l'email: il est aisé de créer des dizaines de milliers de comptes sans qu'aucune vérification ne soit possible.
Status.net, Diaspora
Status.net et Diaspora permettent, comme Twitter et Facebook, d'utiliser le compte sur un service externe.
Étant donné que chacun peut créer sa propre instance, il est plus facile de créer des faux comptes que sur les équivalents centralisés. Cependant, les faux comptes restent aisément détectable.
On arguera que très peu de gens ont un compte Status.net ou Diaspora. Oui, mais contrairement à Twitter/Facebook, je ne vois aucune raison de ne pas avoir de compte. On peut très bien avoir un compte et ne pas l'utiliser sans vendre pour autant sa vie privée ou utiliser un service propriétaire centralisé. (rappelons que je me place ici dans une discussion purement théorique).
En théorie, Status.net ou Diaspora me semblent donc un bon compromis. Les faux comptes sont possibles mais la tricherie à grande échelle serait, je pense, aisément détectable.
Permettre plusieurs méthodes
Beaucoup de sites permettent plusieurs méthodes. Ici, ce n'est évidemment pas possible car cela voudrait dire qu'une personne avec un compte Twitter, un Facebook et un Google pourrait se connecter trois fois au service. Il n'existe en effet aucun moyen de connecter les comptes entre eux.
En conclusion
Ai-je raté une solution ? Personnellement, je pense donc que le choix se ferait en Diaspora et Status.net. Avec la question suivante: lequel choisir ? Et pourquoi ?
Voilà, c'était la petite branlette théorique du dimanche soir. Bon lundi !
# La vrai question
Posté par Tonton Benoit . Évalué à 10.
Pourquoi ?
Pourquoi vouloir identifier de façon unique chaque utilisateur d'un service ?
On peux avoir de très bonne raisons (genre un système de vote) mais dans ce cas on as d'autres éléments que le simple login (adresse physique, liste d'émargement...)
[^] # Re: La vrai question
Posté par ploum (site web personnel, Mastodon) . Évalué à 3.
Je pensais à des systèmes de vote/sondages en ligne pour des choses non critiques. C'est un cas de figure où la tricherie est tolérable à petite échelle mais fout tout en l'air à grande échelle.
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: La vrai question
Posté par ✅ ffx . Évalué à 3.
Pas sûr de bien comprendre ce que tu entends par "à petite échelle" et "à grande échelle", mais un captcha ne suffirait-il pas ?
[^] # Re: La vrai question
Posté par ckyl . Évalué à 9.
À petite échelle de toute facon il suffit qu'un mec rameute ses 300 potes pour que ton truc serve à rien.
À partir du moment ou la population ayant le pouvoir de voter n'est pas clairement définie ca sert à rien de perdre son temps. Le résultat à 0 valeur
[^] # Re: La vrai question
Posté par Sufflope (site web personnel) . Évalué à 1.
(Je réponds techniquement à Tonton Benoit pour rebondir sur sa question qui est la seule bonne, mais évidemment je m'adresse à ploum).
D'accord donc les gens qui ont un compte Twitter atypique (par exemple créé il y a longtemps, 0 tweet, peu de contacts, créé pour lire les tweets protégés des dits contacts) qui se feront gauler par ta métrique foireuse l'auront dans l'os.
Ton pavé gerbant est digne des plus grands abrutis de SSII qui n'ont rien compris au web. Habituel somme toute, mais étonnant venant de ta part.
[^] # Re: La vrai question
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 6.
Son « pavé gerbant » ??
Euh, qu'y a-t-il de vomitif dans son journal ?
Autant, je suis de plus en plus tenté d'utiliser un profil différent par "application" (genre, un navigateur pour le mail, un autre pour facebook, encore un pour twitter, etc. afin de bien séparer mes identités sur le web), autant je ne trouve pas que sa question « théorique » sur comment faire l'inverse soit « gerbante. »
[^] # Re: La vrai question
Posté par ✅ ffx . Évalué à 2.
J'utilise depuis peu l'extension Multifox pour Firefox qui permet d'utiliser plusieurs profils dans le même navigateur, initialement pour utiliser plusieurs comptes gmail à la fois, mais aussi avec l'idée de réduire le traçage. Après il faudrait un proxy différent par page en plus.
[^] # Re: La vrai question
Posté par ploum (site web personnel, Mastodon) . Évalué à 10.
Que tu répondes qu'il n'est pas souhaitable de pouvoir résoudre mon problème à cause des abus possibles aurait été une réaction pertinente, intéressante et enrichissante.
Que tu traites une question théorique où je ne voyais qu'un intérêt très limité (faire des sondages en ligne) comme un « pavé gerbant » parce que « je n'ai rien compris au web » est très interpellant. Pourquoi cette violence ? Et pourquoi ta vision du web est-elle la bonne et l'unique ?
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: La vrai question
Posté par MCMic (site web personnel) . Évalué à 2.
Il répond au journal et non à ton commentaire précédent (ou plutôt il répond à Tonton Benoit qui répond au journal.
Tu n'as pas répondu à sa remarque sur les faux comptes twitter…
On a du mal à voir comment tu différencies un compte forgé d'un compte rarement utilisé. La date d'inscription peut-être?
Créer un compte 6 mois à l'avance pour pouvoir faire un multi-compte semble peu probable…
[^] # Re: La vrai question
Posté par Olorim . Évalué à 4.
Bien que je soit sceptique sur cette problématique, je ne pense pas qu'il soi nécessaire d'insulter l'auteur.
Sur ce, une authentification unique, cela vue dire la fête à l'usurpation d'identité : Je chope ton ident et ton mot de passe et j'ai accès à tout? Que du bonheur…
En plus, cela ne mène qu'à une chose : La centralisation a outrance et donc, Minitel 2.0
# unité, identification, nommage
Posté par Thomas Debesse (site web personnel) . Évalué à 6.
Au delà de la question «mais pourquoi vouloir garantir l'unité d'une personne (si ce n'est son identité)», ton travail me rappelle un autre sur un sujet un peu différent mais à la démarche proche :
Inventer un meilleur système de nommage : pas si facile.
Stéphane Bortzmeyer réfléchissait lui-aussi à la question de l'unité, mais pour les ressources. Toi tu reposes la question pour les personnes. En listant les besoins il avait constaté la difficulté (l'impossibilité ?) de pouvoir tous les satisfaire. Je trouve ta démarche intéressante.
La question de l'unité pose la question de l'identité, et sans la généraliser (l'identité n'est pas toujours nécéssaire), elle est un vrai besoin.
Ce que je trouve intéressant dans ta démarche, c'est la position de celui qui identifie.
Quand il s'agit de s'identifier soi-même il y a des solutions comme les signatures (que tu n'as pas évoqué), mais ta démarche est inverse : tu ne demandes pas comment quelqu'un peut garantir son unité à un autre, mais comment un autre peut garantir l'unité de quelqu'un (et c'est peut-être ça qui peut faire tiquer certains).
J'ai l'impression que lorsqu'on prend cette question dans ce sens, on ne pourra jamais vraiment y répondre.
Si on veut garantir une unité à 100%, la solution est de restreindre les fournisseurs d'identité (l'exemple de l'élection qui n'est ouverte qu'aux inscrits sur les listes électorales), mais cette solution est une discrimination (terme employé ici sans connotation négative) et donc par nature incompatible avec un quelconque besoin qui ne supporte pas les discriminations (comme la recherche de clients). Au final, un peu comme les URL, il faudra peut-être un pis-aller ?
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: unité, identification, nommage
Posté par ploum (site web personnel, Mastodon) . Évalué à 1.
Tout à fait d'accord, il faut un compromis.
Le compromis que je suggère ici est de permettre la tricherie mais de la rendre « coûteuse » et détectable dans la grande partie des cas.
Cela peut entrainer des tricheries non-détectées ainsi que des non-tricheurs évincés du système (faux-positifs) mais, dans une application non-critique (comme un sondage), cela me semble acceptable.
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: unité, identification, nommage
Posté par Grunt . Évalué à 1.
Faire payer l'inscription en bitcoin ? (Ou autre unité représentant du temps de calcul)
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: unité, identification, nommage
Posté par jbar (site web personnel) . Évalué à 2.
En gros, j'ai une plus grosse puissance de calcul, donc j'existe "plus" (que toi) …
Joli, cette absurdité à laquelle (entre autre) nous amène les solutions basé sur la preuve de travail (CPU, aka "proof of work").
Comme le dit Caner, les solutions qui nous semblent meilleurs sont celles basés sur les toiles de confiances (qu'on devrait pouvoir rapprocher des cercles google+), mais c'est vrai que concernant ce concept propice pourtant à des études et des thèses passionnantes : les francophones sont franchement à la ramasse !
(et l'on trouvera peu de choses à propos sur le web francophone, d'ailleurs c'est nous qui avions crée la page fr de wikipedia : https://fr.wikipedia.org/wiki/Toile_de_confiance )
Pour aller plus loin et voir comment OpenUDC s'attaque au problème :
https://github.com/Open-UDC/open-udc/blob/master/docs/OpenUDC_Authentication_Mechanisms.draft.txt
Je moinsse, tu moinsses, il moinsse, nos bots moinssent ...
[^] # Re: unité, identification, nommage
Posté par Frank-N-Furter . Évalué à 2.
http://thedailywtf.com/Articles/The_Complicator_0x27_s_Gloves.aspx
Depending on the time of day, the French go either way.
# hash de l'ADN
Posté par jay . Évalué à 9.
tout est dans le titre. Sinon pourquoi tu veux un compte unique ? Moi je n'en veux pas en tous cas.
[^] # Re: hash de l'ADN
Posté par Kaane . Évalué à 6.
Oui ben entre les vrais jumeaux (ou plus si affinités) et les collisions de hash ça risque de pas le faire. En plus à moins de faire les prises de sang toi-même tu ne peux pas garantir que le mec ne va pas modifier la séquence génétique qu'il t'envoie pour créer un multi.
En plus il va falloir gérer à part les cas médicaux spéciaux, jumeaux siamois, cancers, chimères (mosaicisme) etc.
Non le hash ADN c'est pas le pied.
[^] # Re: hash de l'ADN
Posté par Framasky (site web personnel) . Évalué à 2.
Le no de carte d'identité : unicité, fiabilité… pour le password, il y aura une puce pour ça. Ah, on me susurre à l'oreillette qu'ils veulent faire un truc comme ça en chine.
Being a sysadmin is easy. As easy as riding a bicycle. Except the bicycle is on fire, you’re on fire and you’re in Hell.
[^] # Re: hash de l'ADN
Posté par mxt . Évalué à 6.
Je propose la promulgation d'une loi obligeant chaque citoyen à fournir son ADN dans une base centralisée. Tout moyen d'information serait alors obligé d'utiliser le code ADN pour authentifier les utilisateurs.
A l'instar des ordinateurs portables qui fournissent des lecteurs d'empreintes digitales on pourrait imaginer un système obligatoire sur tout système informatique qui prélève une goutte de sang de l'utilisateur pour l'authentification.
Bien entendu comme cette solution serait très couteuse à mettre en place et à maintenir, on pourrait en déléguer la gestion à un conglomérat d'entreprises privées qui seraient dans l'obligation de signer une charte de bonne conduite, on pourrait imaginer retrouver l'ensemble des forces vives du privées: Orange, Sanofi Aventis, Facebook, Microsoft, Google, Halliburton … : chacune des ces sociétés auraient libre accès à la base ADN.
Afin de financer ce conglomérat, les plus petites structures qui devront avoir accès à cette base ADN, si elles veulent pouvoir gérer des comptes utilisateurs, devront payer une redevance mensuelle au conglomérat.
P.S: c'est de l'humour
[^] # Re: hash de l'ADN
Posté par Sébastien B. . Évalué à 7.
Euh, ça existe déja ça non ? Ça s'appelle "voler un bonbon quand on a 4ans" je crois.
[^] # Re: hash de l'ADN
Posté par 2PetitsVerres . Évalué à 3.
Moi je propose le numéro de sécurité sociale. C'est aussi unique, fiable, … puis j'en ai 4 diférents, ça me laisse le temps de voir venir (un belge, un luxembourgeois et deux français…)
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: hash de l'ADN
Posté par claudex . Évalué à 1.
Le cas doit être suffisamment rare pour que ce soit négligeable. Mais je pense qu'il est beaucoup plus facile de forger un numéro qui semble (ou qui soit) valide (il suffit de les générer avec la même regexp que celle utilisée pour vérifier) que de trouver quelqu'un qui en a plusieurs.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: hash de l'ADN
Posté par neil . Évalué à 1.
Ou sinon la Facebook ID (cf ce post).
# Persona (ex browserid)
Posté par Framasky (site web personnel) . Évalué à 3.
de chez mozilla http://identity.mozilla.com/
Being a sysadmin is easy. As easy as riding a bicycle. Except the bicycle is on fire, you’re on fire and you’re in Hell.
[^] # Re: Persona (ex browserid)
Posté par feth . Évalué à 2.
De ce qu'on m'a expliqué :
l'identité personna est tripartite et composée de :
Charge à chaque admin, notamment, de décider s'il fait confiance à tel ou tel serveur d'auth.
# Détection impossible
Posté par claudex . Évalué à 5.
Comment veux-tu détecter les faux comptes si tu restreint à Twitter/Status.net ? Beaucoup de gens vont créer un compte sur une de ces plateformes pour pouvoir rentrer sur ton site, il passeront donc pour des multi (compte récent sans activité) alors qu'ils ne le sont pas.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Détection impossible
Posté par Jux (site web personnel) . Évalué à 4.
J' ai un compte twitter vide car je l'utilise uniquement pour suivre des gens.
[^] # Re: Détection impossible
Posté par claudex . Évalué à 2.
Un compte qui suit d'autres comptes n'a pas une activité nulle pour moi.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Détection impossible
Posté par walken . Évalué à 3.
Donc suffit de se créer un compte bidon, de cliquer sur une dizaines de "Follow" et le tour est joué !
[^] # Re: Détection impossible
Posté par Misc (site web personnel) . Évalué à 2.
Y a plus de rss ?
[^] # Re: Détection impossible
Posté par 2PetitsVerres . Évalué à 2.
Il y a peu de gens qui ont un flux rss qui dit juste "cet article d'une tierce personne est intéressant parce que" (oui ça coupe là parce qu'il n'y a plus la place…) Rien n'empêche de faire un rss ou tu fais ça, c'est sûr… Par contre si tu veux répondre au commentaire du rss (genre "parce que quoi ? Tu as été coupé") ce n'est pas faisable (enfin si mais…) par rss, tout en ayant un lien entre les deux, qui permet à une quatrième personne de répondre ("il est intéressant car il est écrit en Comic Sans ms")
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Détection impossible
Posté par claudex . Évalué à 2.
Je crois qu'il parlait du fait qu'avant (c'est peut-être toujours le cas), il était possible de suivre quelqu'un via un flux RSS sans avoir de compte.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# Vas pas les encourager dans leurs conneries
Posté par ckyl . Évalué à 7.
Le problème de leur politique à la con c'est que ça rejette pleins de cas d'utilisation valides. Genre c'est devenu la pire misère pour avoir deux comptes; un pour sa personne physique et l'autre pour sa personne morale :-/
[^] # Re: Vas pas les encourager dans leurs conneries
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
On me dit que la détection de vrai personne moral se fait uniquement grâce à la présence d'achat de publicité. Sinon, tu es un fake.
"La première sécurité est la liberté"
[^] # Re: Vas pas les encourager dans leurs conneries
Posté par ckyl . Évalué à 3.
Vu que chez FB ca n'existe pas comme concept je pense que tu es à côté de la plaque ;)
Il ne veulent pas de comptes pour personne morale. Un point c'est tout.
[^] # Re: Vas pas les encourager dans leurs conneries
Posté par Nicolas Boulay (site web personnel) . Évalué à 3.
Lors d'un reportage, il citait le cas de personne qui avait du mal à garder leur présence sur FB. Étonnamment ceux ayant des relations commercials (app ?), on eu des réponses rapides.
"La première sécurité est la liberté"
# Adresse email "provider"
Posté par mansuetus (site web personnel) . Évalué à 0.
J'avais subi une telle restriction, et c'est effectivement assez efficace dans la mesure ou pratiquement personne n'en utilise en double.
Toutefois, cette solution te prive des utilisateurs qui, comme moi, ne connaissent ni ne l'utilisent cette adresse. Mais je pense qu'on est minoritaires si tu vises le "grand public".
Tu peux ensuite checker que le domaine utilisé par la connexion correspond bien au provider de l'adresse email (avec des subtilités : *dartybox.fr -> dbmail.com ; proxad -> free ; …)
Bref, ça sera pénible à mettre en place, ça suppose que les gens DOIVENT voter de chez eux, ça garantit rien, mais c'est un peu mieux que "toute adresse email".
Sinon, tu fais un truc "par parrainage" : tu dis que c'est sur invitation uniquement. Ca suppose un peu d'organisation, mais t'es sûr que les gens vont pas coopter de doublons (sous peine de se voir démolir le karma).
[^] # Re: Adresse email "provider"
Posté par claudex . Évalué à 4.
J'ai l'impression que de moins en moins de gens utilisent leur adresse du provider (sans compter que je ne suis pas sûr que tous les FAI, notamment à l'étranger) fournissent une adresse. Et ça m'étonneraient que les gens qui ne l'utilise pas fassent l'effort de l'activer juste pour un site.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Adresse email "provider"
Posté par Grunt . Évalué à 8.
C'est très triste ta vision d'Internet. Faut pas être chez un petit FAI pas très connu, sinon le service est simplement bloqué.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
# bof
Posté par fearan . Évalué à 5.
Sinon tu as la manière fourbe, tu n'empêches pas, tu interdis juste sous peine de ban. Tu joues avec les cookies (flash et html), et lorsque tu détecte un/des multi tu ignore simplement leur actions sur tous leurs comptes, cela bloque ceux qui sont à plusieurs sur un même pc avec un même compte, mais t'as juste à espérer que ce soit marginal.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: bof
Posté par ✅ ffx . Évalué à 2.
Ah oui je me souviens avoir vu une façon de faire de ce type :
http://panopticlick.eff.org/
# webid & webfinger
Posté par pilouche (site web personnel) . Évalué à 2.
Il me semble que tu as laissé de côté deux solutions existantes :
* webid
* webfinger
# Les multis c'est bien
Posté par alice . Évalué à 10.
Les multis permettent de gérer des cercles d'amis, d'éviter le spam, de différencier les communications pros et loisirs, de pouvoir accéder à un service en environnement hostile sans laisser trainer un mot de passe important, de se faire oublier si on a dit de grosses conneries et qu'on le regrette…
Bref interdire les multis c'est aussi vicieux que de mettre une caméra dans les toilettes.
[^] # Re: Les multis c'est bien
Posté par claudex . Évalué à 1.
Le but, c'est de faire un système de vote, le but est donc d'éviter que quelqu'un puisse influencer le résultat avec plusieurs comptes.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Les multis c'est bien
Posté par ckyl . Évalué à 10.
En même temps y'a que deux cas:
Tu fais un vote interne à un site et c'est très facile de détecter les multi utilisés seulement pour le(s) vote(s). Suffit de solutions basiques comme regarder leurs stats d'usages.
Tu fais un vote ouvert à tous et alors c'est rien de plus qu'un concours de popularité. T'as beau empêcher un mec de bourrer les urnes, rien de l'empêche de rameuter tout ses potes faire pencher la balance. Ce genre de vote ne veut de toute façon jamais rien dire. C'est pas les milliers de concours moisis ou il fallait suivre une procédure d'inscription ultra relou qui ont déjà été fait qui vont prouver le contraire. Du coup quel intérêt d'emmerder les gens avec encore une nouvelle restriction pour quelque chose qui de toute façon ne sert à rien ?
[^] # Re: Les multis c'est bien
Posté par mazarini . Évalué à 2.
Ca me fait penser au vote organisé par Hasbro pour faire un monopoly avec des noms de ville. Moncuq (doute sur l'orthographe) a fini largement premier.
Je doute qu'un vote ne se basant pas sur une liste de personne réelle puisse passer outre les diverses manoeuvres visant à fausser un vote.
[^] # Re: Les multis c'est bien
Posté par ckyl . Évalué à 6. Dernière modification le 27 février 2012 à 16:31.
Le problème c'est que baser le vote sur les personnes réelles n'apporte pas grand chose. Tu passes de très très pourri à très pourri. Super !
99% des gens en ont rien à faire du prochain Monopoly et ne voteront pas. Par contre fais un groupe Facebook "Pour que Moncuq soit dans le prochain Monopoly" et ca va faire marrer 1000000 personnes réelle qui vont voter dans la minute. C'est quoi la légitimité des résultats avec un biais comme ca ? De toute façon c'est voué à l'échec pour chercher une solution ?
Je crois qu'on a encore vu ca récemment avec les sondages politiques sur smartphone ou marine lepen arrivait en première place. Étonnamment les militants avait été fortement invités à voter…
De même si les marques remplacent de plus en plus les vrais concours par des concours ou le publique vote, c'est justement pour inciter les participants à faire leur pub gratos quand ils vont spammer leurs potes. Surtout qu'il y a de grosses chances que les amis des participants soient aussi dans la cible marketing. Le dommage collatéral, c'est que c'est juste des concours d'amis maintenant…
# Réseau de confiance
Posté par CanerCandan (site web personnel) . Évalué à 4.
Salut Ploum,
Dans le cadre du projet OpenUDC, il a fallu trouver un moyen d'identifier l'utilisateur pour qu'il reçoit son DU nominatif et ce même si ce dernier possède plusieurs comptes (portefeuille). Pour cela nous nous basons sur la toile de confiance. Un nouveau recrut se devant d'être valider par 2/3 des membres (jusqu'à 5 membres max). Les recrutements peuvent se faire grâce à des « key signing party » locaux.
Cdlt,
[^] # Re: Réseau de confiance
Posté par gUI (Mastodon) . Évalué à 4.
J'étais en train de penser à ça. En analysant le graphe des relations on doit pouvoir détecter facilement des "grappes feuilles" qui seraient alors des fakes (bcp de personnes n'ayant finalement que peu d'amis reliés au reste du reseau).
Ca rentre dans le cahier des charges : facile de faire un fake, mais finalement peu d'impact car si on en crée bcp, ça se verra vite.
Par contre c'est discriminent car pour rentrer, il faut connaître qqu'un. C'est parfait quand le système est amorcé et considéré par toute la population, mais dans les autres cas (si ça reste confidentiel par exemple), c'est foutu.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Réseau de confiance
Posté par ploum (site web personnel, Mastodon) . Évalué à 1.
Merci les gars, c'est exactement le type de réflexion que je cherchais à lancer (et, par mégarde, j'ai laissé échapper un troll).
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: Réseau de confiance
Posté par gUI (Mastodon) . Évalué à 2.
Discussion, troll… j'ai jamais vraiment compris la différence ;)
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Réseau de confiance
Posté par Jean-Philippe Garcia Ballester (site web personnel) . Évalué à 0.
J'allais proposer une identification par signature GPG, clé devant être dans un certain réseau de confiance (à la Debian).
# J'ai lu ça chez @kidehen
Posté par Enzo Bricolo 🛠⚙🛠 . Évalué à 0.
voir ici
# wtf
Posté par Guillaume Knispel . Évalué à 3.
j'ai absolument rien contre de la branlette théorique, mais à part vouloir faire chier le monde, c'est quoi ton problème ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.