06:09 Mot de passe oublié ?

30

Meowcate (./24) :
Pour ma part bof bof bof, comme dit plus haut : si tu reçois l'email de quelqu'un avec qui tu n'as aucun lien social, il serait automatiquement en spam ? ex : un type que tu rencontres (nouveau collègue, nouvel élève...) à qui tu passes ton email et qui t'écrit ? pouf.


Pas forcement, il peut être mis dans une "salle d'attente" pendant 1 à 2heures en attendant de voir si plusieurs de tes amis recoivent le même mail. Si c'est le cas => spam

Mais il reste le problème des listes de diffusions, qui dans ce cas, seraient toujours tagguées spam !
ENST Bretagne

Courtier en travaux - devis - réalisation : www.alpespanorama.fr

Coureur du chablais (mon blog)
www.coureurduchablais.eu

31

J'ai déjà pas mal réfléchi sur ce sujet, et voila, en vrac, ce que je peux en dire.

- Le problème de la falsification du champ From: n'est pas grave. Il peut se contourner en exigeant une signature cryptographique.
- Si on s'oriente vers un Trust network comme ça, ça ne doit pas être un réseau préexistant, et encore moins un réseau centralisé comme Facebook. Même un réseau décentralisé comme les serveurs de clés GPG n'est pas adapté, car quand tu signes la clé de quelqu'un, tu certifies juste que « untel est bien celui qu'il prétend être », et non pas que « untel n'est pas un spammeur ».
- Le problème de la compromission des identités est grave. Un botnet reste complètement faisable si les identifiants ou clés privées sont stockés sur l'ordinateur. Comme il est à peu près impossible en pratique de forcer les gens à sécuriser leurs machines et/ou mémoriser leurs mot de passe sans jamais les donner à des tiers (ne serait-ce que par phishing), il restera assez simple de voler l'identité et donc l'accès aux contacts de quelqu'un.
- Sachant cela, il faut qu'il existe un système de révocation rapide et efficace, pour blacklister immédiatement les identités compromises (détectées par exemple par de l'antispam classique).
- Seulement, après discussion avec des experts en « Trust Networks », il semblerait qu'il soit possible de compromettre à grande échelle des réseaux, de manière à ce que la ou les identités compromises soient difficiles à détecter (il suffit d'infiltrer le réseau avec plusieurs identités fortement interconnectées, se certifiant entre elles mais aussi avec des tiers de confiance, et dont la majorité soit honnête).
- Par ailleurs, les notions de sécurité nécéssaires aux utilisateurs d'un trust network sont bien trop élevées pour la population en général (genre « ne pas certifier n'importe qui », « ne pas laisser trainer ses identifiants », etc ...)

C'est pourquoi la création d'un trust network qui marche à grande échelle est probablement très difficile à réaliser, et que ça risque de rester un joujou de geek.
avatar
I'm on a boat motherfucker, don't you ever forget

32

nEUrOO (./23) :
a condition d'avoir un mdp associe a chaque compte, non?


oui, ou du moins des mots de passes par "groupements de site", mais sans regroupement logique entre eux, genre pas tous les forums avec le même mot de passe, etc.
dualmoo (./31) :
- Si on s'oriente vers un Trust network comme ça, ça ne doit pas être un réseau préexistant, et encore moins un réseau centralisé comme Facebook. Même un réseau décentralisé comme les serveurs de clés GPG n'est pas adapté, car quand tu signes la clé de quelqu'un, tu certifies juste que « untel est bien celui qu'il prétend être », et non pas que « untel n'est pas un spammeur ».


Sauf que dans ce cas, tu peux blacklister une personne, et celle ci ne peut que re créer un "compte". Il suffit alors de rendre rédhibitoire l'inscription (je pense par exemple à une confirmation d'adresse postale + carte bancaire, comme ça en cas de problème, on a a priori un moyen de retrouver la personne).


Par contre, je crayonne ta conclusion, joujou de geek, pas crédible à grande échelle, etc.
avatar
Il n'a pas de mots
Décrire son mépris
Perdre les rênes
Il a perdu la foi

33

Oui mais s'il est facile de blâmer (puis de blacklister) une personne dans les cas simples (une personne se met à spammer), il peut y avoir des cas pathologiques pour lesquels la désignation d'un responsable est en fait nettement plus ardue.
avatar
I'm on a boat motherfucker, don't you ever forget

34

kim (./32) :

Sauf que dans ce cas, tu peux blacklister une personne, et celle ci ne peut que re créer un "compte". Il suffit alors de rendre rédhibitoire l'inscription (je pense par exemple à une confirmation d'adresse postale + carte bancaire, comme ça en cas de problème, on a a priori un moyen de retrouver la personne).


Par contre, je crayonne ta conclusion, joujou de geek, pas crédible à grande échelle, etc.


en faite, je pensais à ca en complement des filtres anti-spam classique.. et forcement ca pourra jamais être niquel à 100%... bon ben je vais retourner reflechir sur mon joujou de geek..
ENST Bretagne

Courtier en travaux - devis - réalisation : www.alpespanorama.fr

Coureur du chablais (mon blog)
www.coureurduchablais.eu

35

./34 : dis toi que tu n'auras jamais rien de bien à 100% avec les mails, et ça, c'est dû au protocole qui n'est pas taillé pour la lutte anti spam des le départ, donc on met des rustines qu'on peut, et puis...
M'enfin, trouvera-t-on un jour un remplaçant 100% fiable... J'en doute
avatar
Il n'a pas de mots
Décrire son mépris
Perdre les rênes
Il a perdu la foi

36

C'est une bonne question... En tt cas, tant qu'on aura la possibilite d'envoye un email librement avec du contenu HTML etc. Y'aura du spam ^^
avatar
Aide Charte Contacts Crédits Réalisé avec yAronet 56 ms