Path: ...!weretis.net!feeder8.news.weretis.net!news.trigofacile.com!.POSTED.san13-h02-176-143-2-105.dsl.sta.abo.bbox.fr!not-for-mail From: =?UTF-8?Q?Julien_=c3=89LIE?= Newsgroups: fr.comp.usenet.serveurs Subject: =?UTF-8?Q?Re=3a_comment_ignorer_les_cancels_non_authentifi=c3=a9s?= Date: Sat, 26 Feb 2022 09:45:32 +0100 Organization: Groupes francophones par TrigoFACILE Message-ID: References: MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8; format=flowed Content-Transfer-Encoding: 8bit Injection-Date: Sat, 26 Feb 2022 08:45:32 -0000 (UTC) Injection-Info: news.trigofacile.com; posting-account="julien"; posting-host="san13-h02-176-143-2-105.dsl.sta.abo.bbox.fr:176.143.2.105"; logging-data="2696925"; mail-complaints-to="abuse@trigofacile.com" User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:91.0) Gecko/20100101 Thunderbird/91.6.1 Cancel-Lock: sha1:DT7aRjNHPmh+JqkhVEatOnGIx0U= sha256:h0J7xX7FNgtpJrrVgkZj3kKzCqzKb1KHR8XO7GCdGeI= sha1:1MAldcvDkqJE+3tYqNvCzer1sMU= sha256:2RiBG8yIP+ElyAk0k31MAo9WkH7wyMiRM2gTOcCN8v0= In-Reply-To: Bytes: 3210 Lines: 36 Bonjour Jean-Daniel, > je lis dans https://www.rfc-editor.org/rfc/rfc8315.html: > > A posting agent that uses a dedicated local secret for every >    user should use an empty string for the part. > > Le fait de ne pas avoir d'uid affaiblit le système mais ne le rends pas > inefficace Nous ne sommes pas dans ce cas. Le "posting agent" est le logiciel que tu utilises pour lire/poster (Thunderbird pour toi), et il ne génère pas de Cancel-Lock lui-même. Bien sûr qu'il est inutile d'ajouter l'identifiant de l'utilisateur quand c'est l'utilisateur lui-même qui gère son mot de passe et les en-têtes Cancel-Lock / Cancel-Key :-) Ce qui s'applique pour INN ("injecting agent") : If an injecting agent (or moderator) wants to act as a representative for a posting agent without support for the authentication system described in this document, then it MUST be able to positively authenticate the poster and MUST be able to automatically add a working Cancel-Key header field for all proto-articles with cancelling or superseding attempts from that poster. Ce n'est pas l'IP de la connexion (qui peut d'ailleurs être partagée avec plusieurs utilisateurs) qui permet d'authentifier un utilisateur. C'est ici un MUST pour pouvoir ajouter un Cancel-Key. Un compte générique ne doit pas utiliser ce mécanisme. -- Julien ÉLIE « Un voyage de mille lieues commence toujours par un premier pas. » (Lao Zi)