Les "Logins" en tant que sécurité créent la même entrave psychologique que peut le faire une barrière. La plupart des barrières ne sont pas des protections pour quiconque parce quiconque ayant déjà suffisamment gambadé les connaît, mais ces barrières constituent de solides indices pour ne pas interférer sur la propriété de quelqu'un. Ce qui veut dire, que les barrières sont simplement des BilletsGuide plus solides.
Cependant, pour une communauté ouverte, les LoginsSontMal. C'est presque la même chose que d'avoir le même identifiant à chaque fois que vous entrez à l'intérieur d'un magasin. Mis à part le fait que les logins ne sont pas une authentification ; ce sont des pseudonymes. Ils ne fournissent aucune garantie que quelqu'un est bien celui qui dit qu'il prétend être. En fait, c'est son appel du chef. Il n'existe pas quelque garantie qu'il n'y ait qu'un unique login par personne. (cf ComptePublic pour un bon exemple.) Pour les organisations qui sont plus des parties de masquarade que du travail, c'est un petit jeu que de changer d'identité. (cf CestQuoiLaMultiplicité.)
Ne vous attendez pas simplement à ce que les logins puissent éloigner les démons au dehors. Quiconque peut se créer une nouvelle identité ici plus vite qu'un clignement de paupière. Quelle est la réputation d'un costume ?
Voir aussi EnregistrementEnligne? pour le modèle commercial "one to many" consistant à tracer LePublic.
Adapté d'un billet sur la liste du JournalismeParticipatif, 13 mars 2001...
Les logins en-ligne ne veulent pas dire n'importe quoi. Ils sont bon marché à produire. Ils existent pour donner une présence aux personnes, mais ne sont pas de la sécurité. Je pense que les logins sont simplement un accessoire pour la gloriole afin de donner aux personnes des pseudonymes cools. Comme le soulignait RustyFoster sur #kuro5hin@irc.slashnet, il est vraiment aisé d'obtenir le statut de modérateur de confiance sur KuroShin. Créez simplement deux logins, écrivez beaucoup de commentaires dans un des journaux en ligne, et modérez-les tous jusqu'à cinq sur l'autre compte. Avec un peu d'ingéniosité, vous pouvez prendre l'intégralité du site. Leur ProtecteurMontéeSubite est bien plus utile pour les protéger.
Telle est la raison aussi pour laquelle j'ai des problèmes avec les signatures cryptées PrettyGoodPrivacy. Pourquoi devrais-je croire que vous êtes vraiment vous ? Sans le réseau de confiance sociale (ce que le WebDeConfiance? cherche à représenter), les IDs digitales ne valent pas toute la littérature qu'on veut bien leur accorder. Et la confiance sociale est en quelque sorte brisée. Si vous vous souvenez du fiasco "esr" sur AdvoGato quand les personnes évaluaient simplement les trois lettres jusqu'à un niveau de Master sans vérifier l'identité derrière ces trois lettres. De l'évaluateur de la boîte noire tit-for-tat.
Ceci nous amène à constater que les personnes qui font le plus de dégâts à la communauté en ligne sont celles qui sont les plus expertes avec elle. Par exemple, en avril 2000, quelqu'un doté d'une haute compréhension des programmes a attaqué le site à partir de anonymizer.com, créant des noms d'utilisateurs, mettant du bazar dans les historiques d'éditions, modifiant les ModificationsRécentes. Mais ce n'était rien. Un autre individu bien connu changeait les déclarations des personnes pour privilégier ses arguments et en y effaçant l'HistoriqueVersion. L'attaquant qui avait pris d'assaut KuroShin durant l'été 2000 savait comment fonctionnait le système et malgré toutes les indications, il se présentait comme un membre en colère.
ZwikiClone s'est fait une fois SlashDotted, ce qui attiré un idiot. WikiWiki se fait tout le temps attaquer par ses propres membres. Disons tout le temps sur une base mensuelle. Quel est le plus gros problème ?
Comme je l'indiquais, les blogs (CarnetWeb) se sont pas immunisés contre cela tout simplement parce qu'ils ont des systèmes compliqués de modération. Regarder le BavardageTroll. La dernière fois que j'ai regardé, les chics types sur le BavardageTroll jouaient bien avec KuroShin et ce parce que kuro5hin les respecte. Sur SlashDot, RobMalda parmi d'autres allume les guerres de mots avec les "PuteKarmas". Les plus grandes "attaques" proviennent des membres parce que ce sont ceux qui connaissent le mieux le système et ceux qui sont les plus impliqués émotionnellement pour frustrer le reste de la communauté.
Ce phénomène est ancien. MrBungle et LambdaMoo par exemple. -- SunirShah
Dans le vieux Laboratoire du MIT AI-Lab il n'y avait pas de mécanismes de sécurité (portes non verrouillées, fichier système). Le fait d'avoir lu cela récemment à nouveau, m'amène à remettre tout cela en rapport avec les wikis. Avant que je ne pense aux universités et aux systèmes libres (comme ceux que nous utilisons sur nos serveurs). -- ReiniUrban
(Extrait de [Hiroo Yamagata's interview with Richard Stallman], 1997.)
Plus sur les Robots.
Un moyen d'améliorer que la probabilité qu'un nouveau compte soit produit par un humain est d'avoir l'email de réponse exigeant toute action non-uniformisée. Comme générer tout un tas d'expressions mathématiques à évaluer en anglais. Cependant, tout ce qui est généré peut être parsé (à moins que vous n'ayez généré un contenu ambigü ou une information vague). Néanmoins, il est plus facile de générer des instructions qu'il n'est facile de les parser et de les évaluer. Cependant, cela accroîtra l'angoisse existentielle de votre site et un taux d'enregistrement plus faible.
Une autre solution est de combattre le feu par le feu. Si les seules actions possibles sont les ModificationRéversibles, alors un autre robot peut être écrit par un chapeau blanc pour défaire toutes les actions des robots attaquants. Dans ce cas, les logins sont une bosse de vitesse. Un meilleur ProtecteurMontéeSubite peut aider. Néanmoins, le compromis se situe entre la sécurité et l'accessibilité. Mais gardez en tête que lors d'une attaque les lecteurs passifs n'ayant pas de logins seront aussi bloqués ou ralentis pour réparer le vandalisme. C'est dans ce type de situation affreuse que vos amis cachés se montrent vraiment.
Un des points essentiels ici semble être une hypothèse comme les logins-sont-bon-marché. Mais il existe des situations -limitées- où des logins proprement authentifiés font partie d'une solution commmunauté (pas la SolutionCommunauté). Pensez aux employés ou aux étudiants sur un campus.
C'est ridicule -- défendre un système de login si mal écrit peut être subverti sans l'application quelle que soit sa qualité, parce que l'alternative est quelque big brother répressif ? Le fait d'être identifié au moment de rentrer dans le magasin, parce que je crois que la discussion le mets ? Enfer ? Regardez "excluded middle" sur c2 ou wikipedia et revoyez la discussion à nouveau. J'ai beaucoup d'amertume à rejoindre ceux qui laissent l'idéologie tromper le pragmatisme, mais je suppose que je ne m'en soucierais simplement pas. Ce n'est pas mon wiki après tout. -- ChuckAdams
D'abord je te rappelle que nous n'avons pas de système de login. Il n'y a nul lieu d'avoir un 'log into'. Tes préférences ne signifient pas quoi que ce soit dans notre modèle de sécurité. La discussion porte essentiellement sur le fait que les logins sont un Wiki:CargoCult. Un système de login ne fait rien pour nous sans une politique sociale de valider ce qui est autorisé pour devenir membre de notre communauté. Comment un système de login pourrait t'il empêcher un spammer de créer un nouveau compte login et de spammer de nouveau ? Nous pourrions faire une ModérationPrématurée? sous une certaine forme ou charger un DroitAccès?. En fin de compte, la crainte est que nous passions vers une CommunautéMurée. Quel est notre but social ?
Le but en fin de compte est de créer un texte de qualité. Quelle est la menace ? Beaucoup de poussière. Quelle est la solution ? Une plus grande pièce. C'est pourquoi l'ArrêtCitoyen est mieux qu'un système de login, parce que cela attaque le problème tant qu'il reste reconnu. Nous n'avons pas quelque idée pour savoir qui est un spammer/troll/vandale avant qu'il n'interagisse avec nous. Par conséquent pour la majorité des gens qui sont bons, cela ne sert vraiment pas en tant que bon point départ pour qu'ils nous démontrent qu'ils ne sont pas des spammers. (PrincipeDePremièreConfiance). -- SunirShah
Ainsi dois-je comprendre que tu souhaites disposer d'un ArrêtCitoyen sans responsabilité de la part de ceux qui utilisent un tel pouvoir ? Tu veux donner un pouvoir destructif égal aux vandales et aux trolls comme à ceux qui sont présents depuis des années ? Est-ce que la confiance signifie vraiment quelque chose quand ce n'est pas étendu aveuglément à tout le monde ? Ma dernière supposition folle, si le système de Préférences imposait l'unicité des noms, ce serait un système de login (avec des mots de passe en texte clair, mais c'est simplement un détail), il n'y aurait pas de ballottement autour des termes comme "le culte du cargo"[1] (très scientifique !), et nous ne verrions pas cette forme de jujitsu commun dans la culture wiki justifier une insuffisance technique grossière du fait de quelque forme de force sociale. -- ChuckAdams
L'absence de système de login n'est pas une insuffisance technique. Ce n'est pas la même chose que de disposer d'un système de sauvegarde au cas où le matériel défaillit. C'est une insuffisance de gouvernance. Une SolutionTechnologie peut ou peut ne pas être demandée, mais ce n'est pas le problème fondamental.
Je pense que la mauvaise communication entre nous tourne autour de "ceux qui sont là depuis des années". Un système de login, comme tu le proposes, protégerait ceux qui étaient là depuis des années, et ce n'est pas beaucoup d'entre nous. Je ne crois pas que la confiance puisse se créer même sur la séniorité, parce que les personnes font tout le temps sauter leurs couvercles et les étrangers amis sont tout autour de nous. La confiance dans un système social est créée par des EquilibreDeForces, de façon à ce que structurellement nous soyons plus importants sur n'importe quel mal en accablant le bien. Le problème du spam est dû à ce devenir déséquilibré.
Cependant, alors qu'au mieux une HaieEpineuse (qui n'arrêtera pas les spammers et c'est une illusion de sécurité, et nous préférons EviterIllusion), un sytème de login est au pire une CommunautéMurée (par ex. une MesureConfiance?) cela transformera Meatball en une CommunautéMurée qui échouera pour attirer de nouveaux membres (cf. NousEtEux). Pire, ma plus grande crainte est que je (ou peut-être le NousRoyal, mais principalement moi parce que c'est mieux de se faire peur d'abord à soi-même) j'abuserai du système de login pour plaire à mes propres désirs, comme un RoiDieu. Si Meatball démarrait avec un tel système, il serait limité à mon ('notre') petit réseau social. C'est beau si c'était le but, mais ce n'est pas le but. Le but est d'être ouvert aux personnes comme vous pour nous dicter la tâche.
En outre, parce qu'à nouveau nous avons été très longtemps sur internet, une fois qu'il existe des outils techniques en place qui contrôlent les accès, BannirDurement devient la solution de gouvernance préférée d'un propriétaire exaspéré (communauté), qui devient à la fois la cible prioritaire pour les attaques et la seule dotée des pouvoirs du RoiDieu. Nous avons tous des limites sur les manières d'abuser de ce que nous prenons (la limite est le pont où la communauté ne donne plus de support émotionnel au chef).
J'admets qu'avoir des tonnes de spam, des vandales et des trolls rebute les nouveaux membres, mais je ne me sens pas en l'état de jeter le bébé avec l'eau du bain.
Si vous prêtez un autre regard à l'ArrêtCitoyen, une partie de ma recommandation traite de l'abus. Cependant, la première brique dans ce mur est une défense de ProxyOuvert?, qui est celle sur laquelle je travaille actuellement, bien que lentement car je suis fatigué. -- SunirShah
Les chefs se fatiguent à la longue à donner du support à la communauté, ce qui généralement donne un support seulement par réciprocité. Quand le chef s'essouffle, la communauté devient toute aussi bien renfrognée (cf. ma réaction vers la débâcle WikiWiki). Je suppose néanmoins que je devrais prendre mon propre exemple et SupposerBonneFoi au moins sur la partie des chefs de communautés et descendre d'un cran la rhétorique (ayez à l'esprit que cette affirmation ne traduit pas les politiques du vrai monde). Mon ton amer et strident est dû en grande partie du fait que j'ai déjà vu ça avant. Les communautés sont construites sur la confiance, et là où existent des éléments hostiles, la confiance doit être gagnée. Si vous trouvez même une responsabilité sous pseudonyme (où les éléments non forgeables sont des choses comme la création du temps, le karma, les mesures de réputation) se montrant hostile à la communauté, vous allez trouver que les vandales sont même encore plus nuisibles à long terme. Si les proxy ouverts sont bien sûr un vrai problème, je peux pointer vers quelques contre-mesures raisonnablement efficaces comme les divers DNSBLs. Tout ce qui est fait de votre chef est en effet probablement très rétroactif, le bannissement après l'abus a pris place. --ChuckAdams
Je suis tout spécialement concerné par le fait que les communautés soient construites sur la confiance, mais les MesureDeConfiance?s sont construites sur la méfiance. J'ai écrit le PrincipeDePremièreConfiance comme un principe contre l'AntiModèle d'utiliser des mécanismes de contrôle pour 'valider' la confiance. La confiance n'est pas donnée en portions, gagnée ou contestée (CestQuoiLaConfiance). De la facilitation de groupe, j'ai trouvé que la confiance est facilement allouée mais rapidement perdue. Le secret, je pense, est de simplement créer et renforcer un LieuSûr?. Alors que nous tenons clairement ce ButSuperCoordonné, la question est comment ?
En pratique, j'ai trouvé que les vandales sont mieux traités par le fait de ne pas accuser la personne, en se concentrant sur l'impact de notre objectif ultime, qui reste une haute qualité de texte et une communauté au service de notre MissionMeatball globale. C'est une distraction que de commencer à courir après des individus (tout spécialemnet les gamins désoeuvrés de 13 ans) quand nous devrions mettre toutes nos énergies à l'intérieur de LaLève de Grange. Parfois les personnes passent et sont des nuisances, mais il est critique de continuer à travailler sur le BusinessCommeDab. Je ne veux pas passer mon temps en ligne à défendre et à attaquer des personnes. De plus les approches punitives génèrent de la vengeance. Il est tellement plus facile (moins d'énergie) de se montrer suffisamment solide pour envoyer promener les attaques que de se montrer si faible comme de devoir aller au devant du problème d'organiser et d'aller sur une contre-attaque. Si vous regardez la nature c'est le modèle du conflit. Si une espèce peut EviterConflit, elle sauve une énergie précieuse (cf MotivationEnergieEtCommunité? !). Chaque espèce dispose d'un ensemble de Signaux d'Alarme tout comme des Défenses Passives et un SystèmeImmunitaire? parce qu'elle doit s'engager avec le monde ; elles ne peuvent pas s'en dégager. Les Défenses Actives, comme les épines du porc-épic et le jus de moufette sont si chères que les espèces dotées tendent à avoir même des atours plus larges de Signaux d'Alarme.
Par conséquent, au lieu d'aller vers le probème de PunirRéputation, il est simplement meilleur de prendre une RéponseDouce? pour LimiterLesDommages (par ex. à travers les ModificationRéversible). Je ne suis pas contre le fait d'aller sur la contre-attaque, mais je veux m'assurer que c'est vraiment tellement important que je veux me distraire moi-même pour faire que cela se produise.
Peut-être qu'une métaphore pour les attaquants non intéressés pour une PremièreLecture (c'est à dire les spammers, vandales adolescents, robots) serait : écrasons les moustiques, épuisons leurs marais, aspergeons des pesticides dans les marais, brûlons leurs dards pimpants, couvrons nous-mêmes de moustiquaires, piquons-nous à la quinine (contre la malaria) ou déménageons vers un climat plus froid ? -- SunirShah
Je pense que nous sommes ici dans un AccordViolent? -- je ne crois pas au fait de donner aux trolls et vandales l'attention et la validation qu'ils recherchent en les considérant comme des menaces dévorantes. Mais quand la technologie gagne la capacité de répondre efficacement, et permet aux vandales bien plus de pouvoir parce qu'elle requiert beaucoup plus d'énergie pour les combattre et les combat continuellement, elle *est* une menace. Le fait que j'ai volé votre nom pour un billet devrait vous pousser à faire une pause : je combat le phishing pour la vie, et je peux vous dire que les dommages produits aux réputations des banques et à la confiance est gigantesque quand ils ne peuvent pas efficacement affirmer même leurs identités. C'est devenu une situation de méfiance par défaut précisément parce qu'il n'y a pas grand chose sur lequel on peut efficacement fonder la confiance.
Je ne suis pas un fana des mesures de confiance tels qu'elles sont implémentées à cette heure, aussi je préfère des critères plus objectifs pour quelque chose comme un wiki, tels qu'un nombre d'éditions, le nombre d'éditions remises en arrières (comme un négatif), le temps de création, les pages créées et ainsi de suite. Les privilèges d'une telle séniorité ne font pas quelque type de "classe dirigeante", ils sont simplement pratiques, comme pouvoir accéder à une remise en arrière en un clic pour LimiterLesDommages (toujours révisé par les pairs). Les contributeurs à long terme ne méritent pas de venir des contrôleurs de contenu, non, mais je pense qu'ils ont droit à une petite pratique en échange de tous ces efforts de contributions. L'abus d'autorité pourrait précipiter une crise de leadership comme cela se passerait n'importe où ailleurs, et les décisions concernant de tels abus peuvent pour conclure être passées à un RoiDieu ou à un DictateurBienveillantPourLaVie? (BenevolentDictatorForLife?) ... ce qui n'est pas différent de la manière dont c'est fait maintenant avec les bannissements IP que j'aimerais souligner. --ChuckAdams
L'accord violent (ConflitSain) est la manière Meatball. ;) Nous avons tous le même ButSuperCoordonnée?, mais nous sommes en désaccord (souvent violemment) sur la manière d'y parvenir, ce qui est le meilleur moyen de penser à des choses tant que nous continuons à nous amuser.
D'abord, vous pouvez aimer la FormuleDétectionTroll pour une discussion sur les manières de tromper la mesure.
La méfiance par défaut est ce que je n'aime pas, naturellement. Mais ton exemple de signer mon nom avec un faux est attaquer tout de ce qui fait les wikis. Tu peux signer avec mon nom tout ce que tu veux parce que le texte est éditable. La seule protection reste la RévisionParLesPairs adéquate. C'est aussi la meilleure protection pour bien des raisons. L'alternative est de séparer le texte d'un auteur à partir du contrôle des autres, et alors que cela est bien dans beaucoup d'environnements, je ne veux véritablement pas de cela ici. J'aimerais évaporer (ne pas éjecter) les personnes à problèmes.
Les wikis et les banques ont des problèmes différents. Une banque doit comptabiliser chaque transaction pour chaque personne et faire que cela maintienne une structure de données appelée le compte. Les wikis d'un autre côté n'ont pas besoin de contrôle spécifique sur chaque interaction, mais plutôt comme un système cherchant simplement à améliorer au fil du temps sur la moyenne. Une meilleure analogie est le marché des actions : alors qu'une banque doit être précise, le marché des actions bien que construit sur des interactions précises à simplement à croître sur le long terme. Bien sûr un marché des actions volatil est une mauvaise nouvelle, tout comme l'est un wiki volatil.
Ma SolutionTechnologie personnelle préférée est TheGreatWallOfCornStarch? : un ProtecteurMontéeSubite automatique qui évolue vers du BannissementRégional (fondé sur la DistanceRéseau?), informé par des ArrêtCitoyens. Ceci est fondé plus sur la réalité du MeatballWiki existant en tant que RéseauService?. Il réside physiquement comme une certaine NetPropriété?, et vu de la perspective du wiki, il interagit seulement avec d'autres sections du réseau. Notre modèle de confiance sociale conceptuelle qui existe dans un domaine social qui est extérieure à l'Internet, qui est la raison pour laquelle il est si difficile de prouver l'identité sur internet sans quelque sorte de pont (par ex. les société de cartes de crédit).
A un niveau de politique sociale, notre serveur refusera de 'faire affaire' avec des sections de topologie réseau (net.geography) qui provoquent plus de dégâts que de bien. Cette approche voit UnIndividu comme membre d'une équation EquilibreDeForce de flux plutôt que chaque LeIndividu spécifiquement, ce qui est une sécurité et un cauchemar éthique. L'espoir est que de bons voisins dans de mauvais voisinages seront forcés à s'occuper de leurs problèmes locaux. -- SunirShah
C'est génial que vous et moi ayons suffisamment de styles de conversations, que nos hôtes de logins soient si complètement différents, et que tu sois assez connu pour que n'importe quelle tentative pour forger ton identité tomberait plus ou moins à plat. Bien que nous n'apprécions pas tous ce niveau de réputation. Je suis triste que ce soit vu comme une attaque sur la nature du wiki plutôt que comme une démonstration d'un bug, mais j'ai produit un point de vue aussi clair que j'ai pu. A ce stade, j'ai défendu le fait d'obliger aux logins pour poster, mais simplement pour accéder aux fonctionnalités destructives comme les retours en arrière instantanés ou les ArrêtCitoyens. Ce que je vois arriver avec une proposition comme l'ArrêtCitoyen sans logins à associer avec est une escalade dangereuse du conflit en opposition directe à la notion de RéductionBlessure? (HarmReduction), et les néologismes postmodernistes pour éviter d'utiliser des termes comme "bannissement" ne changent pas ce qui se passe effectivement. Je ne vois rien pour empêcher l'auto-bannissement de grands fournisseurs d'accès tels qu'AOL, et sans mécanisme pour le neutraliser sans enregistrement, parce que ... oui, regarde le titre de la page. C'est le même chemin que la non-solution du WardsWiki ... où apparemment il a dû détruire la communauté afin de la préserver. -- ChuckAdams
Sur ArrêtCitoyen, j'ai recommandé l'utilisation de PasswordlessLogins pour utiliser la fonctionnalité, ainsi au moins nous avons une bonne idée de qui est en train de produire le bannissement (emails +IPs). En outre, les bannissements ont des ModificationRéversibles, bien que ce soit une punition sévère. J'étudie l'ajout de PasswordlessLogins au site en tant que système d'authentification. Si mon adresse e-mail est affichée dans les ModificationsRécentes, ce serait plus clair qui j'étais. (SocialText, d'ailleurs utilise les adresses e-mail). Mais cela ne modifie pas les moyens infinis de produire de l'édition non éthique (Wiki:UnethicalEditing). La RévisionParLesPairs est encore importante, même si bien sûr je crois au processus de PisteAudit.
Mon oeuvre de réflexion maintenant est comment les PasswordlessLogins et les LoginsSontMal se réconcilient.
Parce que selon ta croyance seuls les membres 'de confiance' devraient être autorisés à faire de l'ArrêtCitoyen, je diverge parce que je n'ai ni le temps ni la patience de 'croire' quelqu'un (par exemple maintenir une base de données de points bonbons pour déterminer qui est bon ou mauvais à une certaine date). Je serais plutôt partant pour attendre et voir si quelqu'un fait quelque chose de mauvais, et puis répondrai soit en lui enseignant une meilleure façon de faire, en réparant le problème, par la RésolutionDeConflit ou en le forçant vers le processus d'ExiléCommunauté si le besoin s'en ressent. Avec l'ArrêtCitoyen, il existe au moins des vérifications et équilibres de la RévisionParLesPairs et de sérieuses conséquences pour AppliquerResponsabilité, ce qui veut dire qu'il n'est plus important pour un DictateurBienveillant de porter le fardeau et de risquer d'être impartial. -- SunirShah
Sunir, je ne sais pas à quel point tu as suivi les événements sur WikiWiki, mais je trouve que tes arguments sont indécrottables et insupportablement idéalistes. Il existe des personnes qui refusent simplement d'honorer une mission wiki et une culture, et qui imposent leurs volontés par tous les moyens disponibles. Je ne pense pas qu'il existe de solution parfaite, mais suis de plus en plus convaincu que quelque forme de login est un composant nécessaire de défense, parce que c'est un moyen d'identification et au moins temporaire de bloquer les individus qui se comportent mal. Bannir de grands segments du net ne fait rien, si ce n'est de désorienter et ennuyer les utilisateurs légitimes. Les proxies anonymes sont disponibles et sont actuellement utilisées vigoureusement pour entamer des procédures contre les GuerreEditions en dépit des blocages sur WikiWiki.
Tu peux avoir raison de te préoccuper des abus potentiels des logins. Je pense qu'un système qui autoriserait un signup automatisé, mais avec des délais significatifs dans le processus d'approbation peut être un compromis raisonnable. Pas de doute que quelques individus déterminés stockeront un lot d'identités et déchaîneront des attaques toutes en une fois, mais si les personnes qui ont le pouvoir de faire ainsi (un autre problème à débattre bien sûr) peuvent les faire taire rapidement, cela devrait même être un FeuDeForêt maîtrisable. Je suis très triste de devoir suggérer cela, parce que wiki perd vraiment quelque chose dans le processus. Mais j'étudie actuellement le fardeau WikiWiki sans quelque signe que les perpétrateurs le laisseront tomber, tout spécialement depuis qu'ils semblent avoir automatisé la plupart de leurs attaques et de ce fait ça ne leur coûte que très peu pour continuer. -- DanMuller
Les problèmes sur C2 proviennent de son fondement entièrement social, bien sûr, mais ceci ne veut pas nécessairement vouloir dire qu'il existe une solution efficace et accessible socialement ou une solution psychologique.
Je suis complètement d'accord pour dire que BannnirDurement? devrait être un dernier recours, mais nous avons des cas sur WikiWiki qui ont atteint ce point et sont allés bien au delà. Les nouveaux IPs sont facilement, même constamment et sans intention, créés par la plupart des utilisateurs à domicile. J'ai une aversion pour l'idée de bannir de grandes gammes d'adresses IPs assignées. La notion de voisinage IP appliquée à la pression pair pour éviter d'être banni comme un dommage collatéral semble joli, mais les cas où le bannissement dur est justifié sont aussi exactement les cas où la pression pair ne fait rien.
Vous pouvez contrôler la façon dont il est difficile ou facile d'avoir des logins. Vous n'avez pas le contrôle sur la façon dont il est difficile ou facile d'avoir de nouveaux IPs.
Dans n'importe quel cas, bannir les proxies devrait être un élément de défense contre les vandales. Quel est le niveau d'efficacité que vous avez trouvé dans les mécanismes de bannissements du ProxyAnonyme? et du ProxyOuvert? ? Je les lirai moi-même bien sûr, mais je suis intéressé par vos expériences. -- DanMuller
Je ne suis pas en train de penser à quelque chose de terriblement restrictif, mais plutôt simplement à une porte qui permet à la vitesse du flux d'être mitigée. Peut-être qu'un enregistrement complètement automatisé, avec vérification d'email, peut-être un délai sur la vérification, et une limite sur les logins accordés par domaie per diem. Ceci ne fait pas empêcher l'anonymat et exclut tout jugement humain dans l'accord des logins. Mais si les logins des indidividus peuvent être rapidement désactivés par des membres wiki de confiance, alors ce pourrait au moins ralentir suffisamment les vandales pour permettre de la détection manuelle et nettoyer les activités pour tenir. Les logins seraient bien sûr seulement nécessaire pour sauvegarders des éditions, pas pour lire. Je suis très en faveur de conserver WikiWiki aussi ouvert que possible, mais un délai d'enregistrement pour les privilèges en écriture, même autant qu'une journée, ne me semblent pas terriblement onéreux. Si les pages de bac à sable peuvent être exemptées de cette restriction, ainsi les visiteurs occasionnels pourraient tremper leurs pieds.
Les cookies accordées librement peuvent être facilement effacées. Les vandales qui provoquent toute cette affaire sont beaucoup trop malin techniquement pour même imaginer qu'il y a une bosse sur la route. Aussi loin que la pendule de l'identification se visse, elle sonne une cloche, mais je n'ai pas d'idée de la façon dont ce peut être pertinent. -- DanMuller
On peut jouer les mêmes jeux avec des cookies en utilisant les logins. Utilisez simplement un ProtecteurMontéeSubite contre les sections qui empêchent de requêter les cookies et considérez toutes les machines qui n'ont pas une cookie comme étant la 'même' (par ex. limiter la quantité d'activité totalemeent anonyme). Quelle est la raison pour laquelle avoir une personne qui saute à travers les cerceaux, quand une InterfaceHumaine serait pour leur ordinateur d'automatiquement se 'login' ? -- SunirShah
Mais qu'est-ce qui déclencherait l'allocation d'une nouvelle cookie ? S'il est si facile d'avoir une nouvelle 'identité' unique, l'intention est vaincue. Mettre quelque coût à acquérir des privilèges d'écriture, au moins en temps, est exactement la raison. -- DanMuller
Argh, il devient difficile de trier le fil quand personne ne rend son texte distinctif ou ne fait exploser ou quoi que ce soit... passons, toute sorte de bosse de vitesse ou cerceau à sauter pour gagner des droits en écriture va probablement avoir un impact très négatif sur la participation. je ne suis pas sûr que ce soit désirable ou même nécesairement garanti. Ce que j'ai discuté est garanti, exiger des logins et quelque niveau de confiance (tel que simplement avoir le compte depuis deux mois) pour accéder à des fonctionnalités comme l'ArrêtCitoyen. C'est vraiment du cristal pour moi qu'une telle proposition ne volera pas, et que quelque chose de plus "innovant" doit être envisagé (lire : discuté jusqu'à la mort). J'ai commencé à hacker à nouveau sur UseMod pour réparer le problème de login, mais j'ai décidé (à nouveau) que le code de base est simplement non maintenable, et nous devrions mieux tous le faire avec Moin, Twiki, Instiki, PHPWiki, ou JSPWiki (il existe un choix pour chaque implémentation langage majeure wiki) si nous voulons vraiment quelque chose qui soit hackable. La communauté compte plus que la technologie, vraiment.
D'ailleurs, l'identification vissée par l'horloge est un gadget, c'est quelque chose qui pourra être facilement vaincu, le papier récent offrant des revendications de la capacité de fingerprinter n'importe quel noeud n'importe était complètement pompeux et inexact. (au moins le compte-rendu l'était). --ChuckAdams
Chuck, renvoyer l'idée de quelqu'un d'autre comme infondée et puis prétendre que ton idée est fondée tout simplement parce que, et puis prétendre que ton processus est cassé parce que ton idée n'est pas instantanément acceptée comme de Confiance n'est pas chouette. Je ne suis pas encore convaincu que ta suggestion soit fondée. Il existe beaucoup de raisons pour lesquelles bon nombre d'entre nous ne veulent pas créer un cadre de magiciens ou de SysOps sur MeatballWiki, et ce n'est pas simplement parce que nous suivons sans réfléchir la 'culture wiki'. Les problèmes politiques qui en résulteront inévitablement de cela nous épuiseront plus que les attaques occasionnelles de spam. Alors que tout le monde peut au moins être d'accord sur le fait que le spam est mal, pas une raison pour savoir qui devrait avoir le pouvoir, qui devrait en être empêché, et tous ces problèmes organisationnels font que je ne vois pas beaucoup de besoin pour un petit environnement comme Meatball. Nous avons trois administrateurs sytèmes. Le fait que nous n'ayons pas de temps pour hacker UseModWiki est parce que nous sommes occupés à essayer de manger et d'apprécier nos vies. Le code est OpenSource (pas pensé comme un ScriptPublic), par conséquent les patches sont les bienvenus. Si tu ne veux pas faire ça, c'est bien, mais cela ne veut pas dire que rien d'utile n'est en train de se faire. -- SunirShah