2008/12/9 g.d <[EMAIL PROTECTED]>: > Le 9 déc. 08 à 10:21, [EMAIL PROTECTED] a écrit : > >> - ATTENTION AU RISQUE DE MAUVAISE UTILISATION : un tel outil >> permettrait, d'un coup, de tout casser, de façon involontaire OU >> VOLONTAIRE. >> Il est vrai qu'on peut aussi tout casser avec JOSM, et qu'il est >> difficile de limiter l'usage d'un robot, sauf à créer un statut de >> super-utilisateur (après X kilomètres tracés, Y années >> d'ancienneté, etc.) Mais le robot pourra toujours se faire passer >> pour JOSM. >> Bref, il faut avoir ça en tête ; peut-être que je soulève une >> fausse alerte. > > Non, pas "fausse alerte", c'est LE point crucial ! > > Il ne s'agit pas, de vouloir bloquer des hackers : > Chacun de nous osm'eurs arriverait à ficher le binsse, sans la > moindre difficulté. > Pas besoin d'être hacker, pour ça... > > Peut-être le fait, qu'OSM soit tellement ouvert, en quelque sorte > protège OSM : > Ce serait tellement facile d'y fout' la merde ou un gag, > que ça ne pose aucun challenge à un hacker digne de ce nom, > ce ne serait pas plus "honorifique" que d'enlever son bib' à un bébé... > au point que la personne qui s'y mettrait, probablement se ferait > huer par toute sa communauté ! > > Non, > ceux que je crains sont les bénévoles de bonne foi et pleins de > bonnes intentions louables - > (y compris en tout premier nous-mêmes, ici !) > qui s'apercevront seulement après, > que leur action bien intentionnée a fait des dégâts irréversibles à > d'autres endroits, non prévus : > > Ouups, pardon, > où est le bouton "reset", le dernier point de sauvegarde, le "pomme-z" ? > Y en a point ? > Oups, euh, bhen merd'alors :-((... > --- > > C'est là, que je pense qu'un tel outil "robot" potentiellement > hyperdangereux doive > soit être enfermé sous sept serrures, > et que seulement ceux qui ont notre confiance > qui pourront l'employer > (personnellement je ne verrais que Pieren et Denis, ça ne fait pas > sept...),
le truc c'est que le robot attaque l'API, donc n'importe qui peut le lancer... à moins non pas d'obscurcir, mais de protéger son exécution dans le code directement. exemple, la liste des tag à checker se trouvent dans un fichier .lst à côté du script. Celui-ci calcul un hash md5 du fichier et va le comparer avec la version livrée officielle qui se trouve sur un de nos serveurs privés sur lesquels seul chaque propriétaire a accès. ça peut être moi, sylvain, pieren,etc... Ajoutons à cela que le script ne peut modifier la base que s'il se trouve derrière une ip publique définie en dur, et que sa conf par défaut n'effectue aucun changement sur la base mais ne fait qu'un rapport d'anomalie... et je pense qu'on peut livrer là un script opensource qui évite que n'importe quelle personne l'éxécutant avec des tag à sa sauce n'aille tout casser. Certe c'est contournable, mais je me dis que si la personne prend le temps de comprendre comment contourner, elle va aussi prendre le temps de voir ce qu'elle est en train de faire. > > soit que ça soit intégré à un éditeur comme josm sylvain parlait de php non ? python serait pas mal aussi. Dans JOSM ça veut dire java. ça peut aussi être une modif du plugin validator... > (Pas dans potlach, s'il vous plaît... > Je n'ai rien contre potlach, si si si :) potlatch : c'est mal ! d'ailleurs... c'est écrit là : http://potlatch.saimal.fr/ > et jumelé à une interface / layer (euh, "calque" ou "couche") > qui demande validation par l'humain, point par point, tag par tag, un > à un, > sans qu'il soit possible de faire du "batch treatment", > disons 1/3 de seconde entre chaque validation. hmm ça ne me semble pas du tout la même quantité de developpement ici... > --- > > Aussi, la proposition de tester ça d'abord sur un exemplaire off-line, > me paraît une sage précaution... indispensable... > > My two cents, en tout respect. > Amicalement > Gerhard > --- -- Steven Le Roux Jabber-ID : [EMAIL PROTECTED] 0x39494CCB <[EMAIL PROTECTED]> 2FF7 226B 552E 4709 03F0 6281 72D7 A010 3949 4CCB _______________________________________________ Talk-fr mailing list Talk-fr@openstreetmap.org http://lists.openstreetmap.org/listinfo/talk-fr
