#16 2005-11-04 20:59:54

volcom
Former Piwigo Team
2005-01-24
489

Re: refonte de l'historique, éthique et anonymat

1. Cette solution me parait pas mal

2. heu, je me demande vraiment quel est l'interet de stocker l'adresse IP si elle n'est pas exploitable ? Qu'entends tu par

elle reste quand même unique et donc a les mêmes propriétés pour l'administrateur de la galerie.

?

Et quid des visiteurs non identifiés ? Paradoxalement, c'est presque eux qui m'intéressent le plus.
Je propose de n'afficher qu'un simple message : "En tant que visiteur, vos consultations sont archivées pour les statistiques".

Hors ligne

#17 2005-11-04 21:47:21

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

Re: refonte de l'historique, éthique et anonymat

Juste une question:

"Pourquoi l'adresse IP ne serait pas systématiquement hashée MD5?"

Pour volcom:
J'ai simplifié en prenant deux cas simples.
Il est peut être interressant de savoir que xyz est allé voir la cat=46 jusqu'à l'image=2861 et pas au-delà.
Que zyx est allé voir la cat=18, puis la cat=66.
Du coup, on peut imaginer un retrait de certaines images (Ok sans IP aussi).
Et un changement de séquence d'affichage des catégories est probablement une bonne chose (il faut l'IP).
Si tu ne sais pas qu'il y a xyz et zyx, tu classeras peut être tes catégories (18, 46 et 66) mais pas dans l'ordre qui convient le mieux aux visiteurs de passage, voire aux membres, soit éventuellement les cat 18, 66 et 46.


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

#18 2005-11-04 23:00:34

volcom
Former Piwigo Team
2005-01-24
489

Re: refonte de l'historique, éthique et anonymat

heu.. j'ai rien compris :D je vois pas le rapport avec l'adresse ip dans tes exemples. Un "identificateur" quelconque suffit.

Hors ligne

#19 2005-11-04 23:05:02

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12672

Re: refonte de l'historique, éthique et anonymat

volcom a écrit:

2. heu, je me demande vraiment quel est l'interet de stocker l'adresse IP si elle n'est pas exploitable ? Qu'entends tu par

elle reste quand même unique et donc a les mêmes propriétés pour l'administrateur de la galerie.

?

L'adresse IP n'a pas d'intérêt, ce qui est intéressant (comme l'explique VDigital), c'est de tracer la visite. Une visite, c'est une série de pages visitées par un utilisateur unique. Le hash de l'adresse IP offre l'information du user. Voir f01e2e6c6b190f1 au lieu de 123.456.789.123 me permet de voir toutes les pages vues par f01e2e6c6b190f1. C'est l'objectif. On se fiche un peu de connaître l'adresse IP du visiteur.

Code:

123.456.789.123 : f01e2e6c6b190f1
123.456.789.124 : 5ceb5f414444778
123.456.789.125 : 15137e1db1fc60c
123.454.789.123 : 7cb1013f3e92a1e
123.457.789.123 : 0246e58146576ce
133.456.789.123 : 13da5d1bc64ba00

volcom a écrit:

Et quid des visiteurs non identifiés ? Paradoxalement, c'est presque eux qui m'intéressent le plus. Je propose de n'afficher qu'un simple message : "En tant que visiteur, vos consultations sont archivées pour les statistiques".

Comme pour tous les autres paramètres utilisateurs, il y aura l'équivalent dans la configuration pour les paramètres par défaut des utilisateurs non connectés (voir table config, les paramètres default_template, default_language, etc.) Et donc tout ce qui va avec :-) Si l'admin choisit que les visiteurs non connectés sont tracés, alors un message apparaîtra automatiquement en bas des pages. Si l'admin décide de masquer les adresses IP...


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#20 2005-11-04 23:05:58

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

Re: refonte de l'historique, éthique et anonymat

Pour volcom:

Heureusement que t'as compris, d'où ma question pourquoi ne pas hasher systématiquement l'IP.

;-)  Houps, pardon 8;-D


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

#21 2005-11-04 23:20:33

volcom
Former Piwigo Team
2005-01-24
489

Re: refonte de l'historique, éthique et anonymat

certes je vois.
Mais, *mon coté big brother prend le dessus*, les ips servent parfois à localiser les visiteurs anonymes (les département/ville sont très souvent présents dans le DNS associé à l'IP). Je m'en sers beaucoup *ouuuuuuuuui je suis curieux :)* ! Suis-je le seul ?

Et même si pour phpwebgallery, l'utilisation éventuelle des ips en cas d'abus est rare, pour de gros sites communaitres, sait-on jamais.

z0rglub a écrit:

Comme pour tous les autres paramètres utilisateurs, il y aura l'équivalent dans la configuration pour les paramètres par défaut des utilisateurs non connectés (voir table config, les paramètres default_template, default_language, etc.) Et donc tout ce qui va avec :-) Si l'admin choisit que les visiteurs non connectés sont tracés, alors un message apparaîtra automatiquement en bas des pages. Si l'admin décide de masquer les adresses IP...

Parfait ceci !

Hors ligne

#22 2005-11-05 00:22:30

Vassae
Membre
2005-01-13
127

Re: refonte de l'historique, éthique et anonymat

Pour les cas d'abus grave, je te rassure tout de suite :) : dans très peu de temps les FAI garderont pendant deux ans toutes les connexions de leurs abonnés et de leurs serveurs... grrrrrrrrrrrr enfin bon bref... tout ça pour dire que le flicage pour les abus répréhensibles par la loi, ce n'est pas de ton ressort :)

Hors ligne

#23 2005-11-05 00:40:09

volcom
Former Piwigo Team
2005-01-24
489

Re: refonte de l'historique, éthique et anonymat

[hors sujet mais bon..] heu, dans les cas extrêmes, un envoi de logs sur abuse@fai peut faire mal. [/hs]

Hors ligne

#24 2005-11-05 07:39:39

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

Re: refonte de l'historique, éthique et anonymat

[hors sujet encore...]Oui, mais suivant l'hebergeur tu peux avoir accès cette liste chez lui et lui dire ça c'est abusif. Certains hébergeurs te fournissent les IP et l'adresse en clair.

extrait non formaté d'un de mes hébergeurs a écrit:

atoulouse-151-1-56-48.w81-250.abo.wanadoo.fr 13 74 600.24 Ko 04 Nov 2005 - 19:04
shs-edsh.upmf-grenoble.fr 1 23 296.21 Ko 04 Nov 2005 - 15:44
afontenayssb-152-1-15-121.w82-121.abo.wanadoo.fr 5 56 612.79 Ko 04 Nov 2005 - 15:10
mailhost.esm-stcyr.terre.defense.gouv.fr 1 23 296.67 Ko 04 Nov 2005 - 14:52
machine220.bibu2.u-cergy.fr 6 62 1.00 Mo 04 Nov 2005 - 09:31
interne.cscapitale.qc.ca 1 24 293.89 Ko 03 Nov 2005 - 18:47
alagny-151-1-12-144.w82-121.abo.wanadoo.fr 7 79 513.75 Ko 03 Nov 2005 - 12:53
smtp.fr.airliquide.com 1 20 67.72 Ko 02 Nov 2005 - 14:50
aste-genev-bois-152-1-61-84.w83-114.abo.wanadoo.fr 5 29 233.84 Ko 02 Nov 2005 - 14:50
anantes-152-1-61-136.w83-195.abo.wanadoo.fr 3 25 337.86 Ko 02 Nov 2005 - 14:41
apoitiers-152-1-80-214.w83-203.abo.wanadoo.fr 8 82 707.71 Ko 02 Nov 2005 - 14:29
aorleans-151-1-78-109.w86-195.abo.wanadoo.fr 3 29 181.90 Ko 02 Nov 2005 - 08:50
alyon-152-1-64-95.w86-193.abo.wanadoo.fr 1 21 150.38 Ko 01 Nov 2005 - 17:26
astdenis-104-1-6-171.w81-248.abo.wanadoo.fr 5 65 783.90 Ko 01 Nov 2005 - 13:05
alagny-151-1-37-174.w83-114.abo.wanadoo.fr

J'adore la quatrième ligne... Ça prouve que je suis dans un monde libre puis que mon site n'est pas fermé.
Ils n'ont pas intérêt à s'en prendre à une organisation caritative mais petite.
J'adore aussi les wanadoo, c'est tellement clair. ;-D  [/hs]

Bref: Pour moi, je milite pour le hash MD5 systématique de l'IP sur l'historique interne.


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

#25 2005-11-05 11:16:53

Vassae
Membre
2005-01-13
127

Re: refonte de l'historique, éthique et anonymat

Moi aussiiiiiiiiiiiiiiiii :)

Et pour continuer dans la disgression, la Cnil en ce moment fait une levée de bouclier contre la conservation pendant 2 ans des données sur les connexions par les FAI, alors imaginez ce qu'ils pourraient dire pour un simple admin de site qui pourrait les conserver pendant des années...

Dernière modification par Vassae (2005-11-05 11:19:58)

Hors ligne

#26 2005-11-07 10:59:11

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

Re: refonte de l'historique, éthique et anonymat

Disgression sur disgression...
Ne faudrait-il pas savoir si MD5 de l'adresse IP constitue un procédé d’anonymisation
acceptable au sens de l’article 8 de la loi?
http://www.cnil.fr/index.php?id=301#Article8

Sachant que la modification du module d'historisation (retrait de l'utilisation de MD5) reste possible pour nos amis étrangers, non soumis aux rigueurs des lois françaises.
Et qu'un commentaire avisé pour les sites franchais, signalant que le retrait de cette fonction les placent en dehors du respect de la loi sus visée, ne serait éventuellement pas de trop sans doute.


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

#27 2005-11-07 11:46:51

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12672

Re: refonte de l'historique, éthique et anonymat

Attention tout de même, l'utilisation des 15 premiers caractères du hash MD5 de l'adresse IP ne constitue pas un moyen d'anonymisation sûr. Je m'explique... l'algorithme étant connu, une recherche par force brute est plutôt simple.

Si je cherche à savoir à quelle adresse IP correspond f01e2e6c6b190f1, alors je cherche 0.0.0.0 jusqu'à 255.255.255.255. Sur une machine correcte, ça doit pas être très long. Au final, le "cracker" va trouver une dizaine d'adresse IP qui donne cette sous-chaîne de hash. Par recoupement et par whois, le cracker trouvera l'adresse IP.

Trouver l'adresse IP ne serait plus immédiat, mais pas difficile non plus.


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#28 2005-11-08 22:11:59

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12672

Re: refonte de l'historique, éthique et anonymat

J'ajoute que mon précédent post est un peu stupide. Si l'administrateur est suffisamment compétent pour faire tester les adresses IP possibles par attaque force brute, alors il est suffisamment compétent pour supprimer le hashage dans le code de PhpWebGallery ! Non mais franchement...


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#29 2005-11-08 22:44:20

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

Re: refonte de l'historique, éthique et anonymat

z0rglub a écrit:

il est suffisamment compétent pour supprimer le hashage dans le code de PhpWebGallery ! Non mais franchement...

Tout à fait d'accord.
Mais c'est lui qui supporte les conséquences de son acte.
L'équipe ayant toujours livré un code propre: pas de problème à priori.


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact