Une question sur la s?curit? des sites spip

Bonjour,

raforum.apinc.org s'étant enrichi d'une rubrique chinoise, le rédacteur de
cette rubrique a quelques inquiétudes concernant non pas la sécurité des
sites.. mais la sienne propre.
Il veut savoir s'il serait possible à un cyberflic chinois (je schématise)
de retrouver les traces des gens qui participent à ce site. Bon, à part de
ne pas répondre directement aux courriers provenant du site, je ne vois pas
ce que je peux lui dire pour le rassurer (ou pas le rassurer).

Merci de vos conseils

JMB

JMB a écrit :

Bonjour,

raforum.apinc.org s'étant enrichi d'une rubrique chinoise, le rédacteur de
cette rubrique a quelques inquiétudes concernant non pas la sécurité des
sites.. mais la sienne propre.
Il veut savoir s'il serait possible à un cyberflic chinois (je schématise)
de retrouver les traces des gens qui participent à ce site.

Je ne suis pas expert mais amha le FAI chinois peut balancer comme il veut. Bon après il faut que les autorités chinoises demandent à tous les FAI de fliquer le serveur de raforum mais bon, s'ils sont vraiment motivés je pense qu'il a moyen.

Bon, à part de

ne pas répondre directement aux courriers provenant du site, je ne vois pas
ce que je peux lui dire pour le rassurer (ou pas le rassurer).

Dis lui que les choses changent petit à petit...

JMB wrote:

Bonjour,

raforum.apinc.org s'étant enrichi d'une rubrique chinoise, le rédacteur de
cette rubrique a quelques inquiétudes concernant non pas la sécurité des
sites.. mais la sienne propre.
Il veut savoir s'il serait possible à un cyberflic chinois (je schématise)
de retrouver les traces des gens qui participent à ce site. Bon, à part de
ne pas répondre directement aux courriers provenant du site, je ne vois pas
ce que je peux lui dire pour le rassurer (ou pas le rassurer).

Merci de vos conseils

JMB

Une reponse ne concernant pas que SPIP :

Il existe des systèmes permettant de "pister" l'ensemble des sites vus par une personne, a installer au niveau d'un ISP ou d'un pays. C'est ce qui est fait en Arabie Saoudite actuellement. Ce sont des matériels assez cher et pour lesquels il existe des limites d'exportations pour des pays comme la Chine, la Lybie, l'Irak et la Syrie (ou j'habite c'est pour cela que je m'interese au probleme)
Je ne sais pas si la Chine a ce genre d'installation.
La solution est d'utiliser ce qu'on appelle les sites de surf anonyme, mais la aussi ces pays tendent a les bloquer. Je pense que les chinois de chine utilisant internet savent se debrouiller avec ce genre d'outils autant que chez nous.
Pour un chinois hors de Chine, la seule chose que le chinois pourrais pister c'est l'adresse IP du redacteur. Sauf a ce que cette adresse soit une adresse fixe (toujours la même), il faudra aux cyberflic chinois l'aide du fournisseur d'acces pour savoir qui etait connecte a cette adresse a l'heure de la mise a jour.
Donc, sauf a vouloir mettre des bombes quelquepart, je ne pense pas que la loi francaise le permette... pour l'instant, nous verrons ce que donnera les "lois anti terroriste" que nous concocte les américains. Internet espace de liberté... pour l'instant c'est encore vrai.

J'espere que ces infos vous sont seronmt utiles

Cordialement
Armelle Nedelec

------------------------------------------------------------------------

_______________________________________________
liste spip
spip@rezo.net - désabonnement : spip-off@rezo.net
Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Documentation de SPIP : http://www.spip.net/
irc://irc.freenode.net/spip
FAQ : http://www.spip-contrib.net/spikini/FaQ

Salut,

JMB a écrit :

raforum.apinc.org s'étant enrichi d'une rubrique chinoise, le rédacteur de
cette rubrique a quelques inquiétudes concernant non pas la sécurité des
sites.. mais la sienne propre.
Il veut savoir s'il serait possible à un cyberflic chinois (je schématise)
de retrouver les traces des gens qui participent à ce site. Bon, à part de
ne pas répondre directement aux courriers provenant du site, je ne vois pas
ce que je peux lui dire pour le rassurer (ou pas le rassurer).

S'il y a vraiment des raisons de flipper, il faut peut-être éviter à ton rédacteur chinois de se connecter sur ton domaine, c'est trop facile à repérer dans les logs (il doit pas y avoir des masses d'internautes chinois qui se connectent à l'adresse "raforum.apinc.org/ecrire").

Plusieurs solutions:

- communiquer avec lui par mail crypté, pour lui fournir les textes à traduire et recevoir ses traductions.

- installer un spip de travail à une autre adresse (ce qui est quand même plus facile pour le travail collaboratif que de tout devoir faire par mail), complètement anodine, non publique (et, tant qu'à faire, protéger ce site par SSL). Ensuite, mirorer régulièrement les données de ce serveur de travail vers le site public raforum.apinc.org (y'a des scripts qui font ça tous seuls).

Dans tous les cas, même si je crois que les développeurs de spip y sont assez attentifs, c'est intéressant de creuser cette question de la protection de la vie privée et de spip (pour les cas extrêmes des rédacteurs vivant sous des régimes totalitaires mais pas uniquement) et de publier une belle contrib sur le sujet.

François

François Schreuer a écrit :

Dans tous les cas, même si je crois que les développeurs de spip y sont assez attentifs, c'est intéressant de creuser cette question de la protection de la vie privée et de spip (pour les cas extrêmes des rédacteurs vivant sous des régimes totalitaires mais pas uniquement) et de publier une belle contrib sur le sujet.

En fait, il y là matière à un super article pour le Mag', non?

François

Bien
bien

je vous remercie tous pour vos réponses et je vais les lui faire suivre pour
que nous puissions voir ce qu'il est possible de faire ou de ne pas faire.
Ce rédacteur est en France pour le moment, donc c'est vrai que la pression
est un peu différente. Mais je vais essayer de creuser un peu plus car, en
fait, nous ne le connaissons peu. Il écrit déjà pour d'autres sites
libertaires mais ces contributions ne sont pas directes.

Je vous tiens au courant.

JMB

attention aussi au risque inverse : certains personnes pourraient demander
ce genre de rensignement pour justement empêcher la liberté... (en faisant
la liste de ce qu'il faut prévoir pour gêner les non-pensée unique..., ou en
disant les logiciels qu'il faut interdire...)

Feeling, intuition vous dis-je...

je vous remercie tous pour vos réponses et je vais les lui faire suivre

pour

que nous puissions voir ce qu'il est possible de faire ou de ne pas faire.
Ce rédacteur est en France pour le moment, donc c'est vrai que la pression
est un peu différente. Mais je vais essayer de creuser un peu plus car, en
fait, nous ne le connaissons peu. Il écrit déjà pour d'autres sites
libertaires mais ces contributions ne sont pas directes.

Je vous tiens au courant.

JMB

Franck Saint Germain wrote:

attention aussi au risque inverse : certains personnes pourraient demander
ce genre de rensignement pour justement empêcher la liberté... (en faisant
la liste de ce qu'il faut prévoir pour gêner les non-pensée unique..., ou en
disant les logiciels qu'il faut interdire...)

Feeling, intuition vous dis-je...

Security by obscurity?
Non, Spip peut permettre ce genre de fonction et le dire.

Exemple d'implémentation.
Le serveur a une clef public GPG accessible simplement via un lien. Cette clef est signé par des sites de renoms hebergé sur différents serveurs.
La personne qui veut poster à un spip en local et fait son article normalement, avec previsualisation, import d'image ou de données.
L'article est dumpé en XML avec les pièces jointes, soit en base64, soit dans un dossier comme openoffice. Compression. Encodage avec la clef public. Envoit par mail à une adresse officiel ou non (compte gratuit et banalisé).
Le serveur Spip avec son cron releve son courrier regulierement, dés qu'il a un message, l'article est inséré dans le workflow classique.
Les modification de l'existant pour arriver à ça sont minimes : recupération de courrier, gestion GPG, insertion dans le workflow.

On peut pousser le vice un poil plus loin. Dans le flux XML, on peut rajouter la clef public du publieur, ainsi que l'adresse mail où il souhaite recevoir la réponse, le nouveau mail d'envoie ou même des demandes de corrections.

Et le cran d'aprés, c'est le passage à de la stéganographie pour que le mail de publication soit anodin.

M.

Bonjour, j'ai un traitement php qui sort un numéro d'article

<?//choix de l'article en page d'accueil
if (...)
  { $home_page=12;}
  else
  { $home_page=1;}
?>

Ensuite j'aimerai afficher les infos de cet article. J'ai essayé ça :
<BOUCLE_article_un(ARTICLES){id_article=$home_page}>
...

Mais cela ne fonctionne pas. avez-vous une idée ?

: Bonjour, j'ai un traitement php qui sort un numéro d'article
:
: <?//choix de l'article en page d'accueil
: if (...)
: { $home_page=12;}
[...]

Salut. Pourquoi ne pas faire :
<?//choix de l'article en page d'accueil
if (...)
{ $id_article=12;}
[...]

puis

<BOUCLE_article_un(ARTICLES){id_article}>
[bla]
</BOUCLE_article_un>

Ca devrait marcher... non ?

Yannick

regarde cet article:
http://www.spip.net/threadspip2015-388.html

Le mardi 26 Octobre 2004 08:11, Guimbert Dan a écrit :

Bonjour, j'ai un traitement php qui sort un numéro d'article

<?//choix de l'article en page d'accueil
if (...)
{ $home_page=12;}
else
{ $home_page=1;}
?>

Ensuite j'aimerai afficher les infos de cet article. J'ai essayé ça :
<BOUCLE_article_un(ARTICLES){id_article=$home_page}>
...

Mais cela ne fonctionne pas. avez-vous une idée ?
_______________________________________________
liste spip
spip@rezo.net - désabonnement : spip-off@rezo.net
Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Documentation de SPIP : http://www.spip.net/
irc://irc.freenode.net/spip
FAQ : http://www.spip-contrib.net/spikini/FaQ

Et le cran d'aprés, c'est le passage à de la stéganographie pour que
le mail de publication soit anodin.

Bonjour

On n'ira pas jusque là mais tout est à creuser.

par contrairement à ce que je disais, notre rédacteur n'est pas en France
mais à Hong-Kong (cmme quoi, l'internet, ça trompe).
Il m'a envoyé un long message sur la situation dans ce genre de coins et
c'est vrai que, pour nous, en Europe, cette question ne se pose pas !

"L'Internet est une vraie obsession des flics
chinois. Je connais bien le sujet. Et ça s'agrave
d'année en année. (Il faut dire qu'ils ont raison, de
leur point de vue, car le net est un grand danger
pour eux, comme déjà de nombreux évenements l'ont
montré)"

Sa crainte n'est pas tant pour lui (son passeport le "protège") que pour une
partie de sa famille qui est de l'autre côté, dans la "vraie" Chine. Et,
comme il le dit : faire un site sur la peinture, ça ne pose pas de problèmes
mais sur l'anarchisme et le syndicalisme révolutionnaire, c'est très mal vu
;-)))

Je vais donc essayer de creuser ces pistes.

François parlait d'un site spip dans un endroit crypté et de copier ensuite
ce site sur le site actif. Quelques questions à ce sujet : cela veut dire
que tout le monde publie dans le site crypté et que l'on fait ensuite une
copie du dossier IMG et de la base de données ? J'avoue que je ne suis pas
assez pointu sur ce sujet.

Mathieu, c'est pas mal, ce qu'il dit : mais comment l'implémenter ?

En fait, la solution ne serait-elle pas d'avoir deux serveurs pour spip: un
pour l'espace privé et un autre pour l'espace public ?

Je vais poster sur la liste dev pour voir s'il y a des idées
complémentaires.

JMB

Tu trouveras la réponse à ta question là

Attention, il faut modifier le noyau de SPIP. Ce qui n'est pas vraiment
conseillé.

Aurélien

Le mardi 26 octobre 2004 à 10:11 +0200, Guimbert Dan a écrit :

Bonjour, j'ai un traitement php qui sort un numéro d'article

<?//choix de l'article en page d'accueil
if (...)
  { $home_page=12;}
  else
  { $home_page=1;}
?>

Ensuite j'aimerai afficher les infos de cet article. J'ai essayé ça :
<BOUCLE_article_un(ARTICLES){id_article=$home_page}>
...

Mais cela ne fonctionne pas. avez-vous une idée ?
_______________________________________________
liste spip
spip@rezo.net - désabonnement : spip-off@rezo.net
Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Documentation de SPIP : http://www.spip.net/
irc://irc.freenode.net/spip
FAQ : http://www.spip-contrib.net/spikini/FaQ

Salut

ne pourriez-vous pas vous loger sur un autre fil ? Ce fil est consacré à un
problème qui, à mon avis, est plus sensible question "sécurité" des
individus.

Merci d'avance.

JMB

JMB wrote:

François parlait d'un site spip dans un endroit crypté et de copier ensuite

ce site sur le site actif. Quelques questions à ce sujet : cela veut dire
que tout le monde publie dans le site crypté et que l'on fait ensuite une
copie du dossier IMG et de la base de données ? J'avoue que je ne suis pas
assez pointu sur ce sujet.

Pour respecter l'anonymat du redacteur, il faut 2 choses.
- son texte doit être crypté
- le site où il poste ne doit pas être surveillé.

d'où le GPG pour le cryptage, le système du mail anodin qui change pour le post.
Si ton bonhomme est surveillé et que régulierement il se connecte à une même IP et envoit des tartines de textes cryptés, c'est louche.
La notion de site crypté n'existe pas d'ailleur, la communication peut l'être, c'est du SSL, mais pas le site lui même.
Avec le système du mail, on rajoute une couche d'anonymat, le serveur Spip qui releve son mail ne connait pas l'IP de la personne qui a envoyé le mail, seul le serveur mail le sait.

Mathieu, c'est pas mal, ce qu'il dit : mais comment l'implémenter ?

demandes gentiment aux devs. Les briques existent, il n'y a rien de compliqué.

En fait, la solution ne serait-elle pas d'avoir deux serveurs pour spip: un
pour l'espace privé et un autre pour l'espace public ?

Non, un serveur en local sur la machine du publieur, et un serveur classique.

Je vais poster sur la liste dev pour voir s'il y a des idées
complémentaires.

M.

  > François parlait d'un site spip dans un endroit crypté et de copier ensuite

ce site sur le site actif. Quelques questions à ce sujet : cela veut dire
que tout le monde publie dans le site crypté et que l'on fait ensuite une
copie du dossier IMG et de la base de données ? J'avoue que je ne suis pas
assez pointu sur ce sujet.

Mathieu, c'est pas mal, ce qu'il dit : mais comment l'implémenter ?

il existe un script: SIEPS pour faire de l'import export d'article d'un site àun autre, ainsi, tu peux avoir un site privé/crypté sans accés à la partie public + un site public libre d'accés sur lequel tu exportes les articles.

Pierre

il existe un script: SIEPS pour faire de l'import export d'article
d'un site àun autre, ainsi, tu peux avoir un site privé/crypté sans
accés à la partie public + un site public libre d'accés sur lequel tu
exportes les articles.

Il y a effectivement cette solution, que j'avais livremarquée il y a
quelques temps.

Mais :

- est-elle compatible avec la dernière CVS de spip ?
- pas évidente à mettre en place chez un type qui, il le dit lui-même, ni
connaît rien en informatique.

JMB

JMB a écrit :

il existe un script: SIEPS pour faire de l'import export d'article
d'un site àun autre, ainsi, tu peux avoir un site privé/crypté sans
accés à la partie public + un site public libre d'accés sur lequel tu
exportes les articles.

Il y a effectivement cette solution, que j'avais livremarquée il y a
quelques temps.

Que tu avais marquepagée ?

Mais :

- est-elle compatible avec la dernière CVS de spip ?

J'espere que oui.

- pas évidente à mettre en place chez un type qui, il le dit lui-même, ni
connaît rien en informatique.

Ben fais le pour lui

@+
BoOz

- pas évidente à mettre en place chez un type qui, il le dit lui-même, ni
connaît rien en informatique.
   
Ben fais le pour lui

Si il veut pas se faire attraper, il faudrait qu'il se renseigne un minimum et qu'il utilise des outils adequats pour ne rien avoir de compromettant qui traine sur son disque. C'est pas que le serveur qui risque de le balancer, mais aussi son ordi.

De toutes façons, dés qu'on commence à mettre le nez dans la sécurité et autres cryptographie, on finit vite paranoïaque.

M.

Que tu avais marquepagée ?

Oui, livremarquée (comme bookmarkée) ;-))

- pas évidente à mettre en place chez un type qui, il le dit
lui-même, ni connaît rien en informatique.

Ben fais le pour lui

et je vais en Chine pour cela ?

JMB