Re: comment ignorer les cancels non authentifiés

Bonjour Jean-Daniel,

je lis dans https://www.rfc-editor.org/rfc/rfc8315.html:
 A posting agent that uses a dedicated local secret <sec> for every
    user should use an empty string for the <uid> part.
 Le fait de ne pas avoir d'uid affaiblit le système mais ne le rends pas inefficace

Nous ne sommes pas dans ce cas.
Le "posting agent" est le logiciel que tu utilises pour lire/poster (Thunderbird pour toi), et il ne génère pas de Cancel-Lock lui-même. Bien sûr qu'il est inutile d'ajouter l'identifiant de l'utilisateur quand c'est l'utilisateur lui-même qui gère son mot de passe et les en-têtes Cancel-Lock / Cancel-Key :-)
Ce qui s'applique pour INN ("injecting agent") :
    If an injecting agent (or moderator) wants to act as a representative
    for a posting agent without support for the authentication system
    described in this document, then it MUST be able to positively
    authenticate the poster and MUST be able to automatically add a
    working Cancel-Key header field for all proto-articles with
    cancelling or superseding attempts from that poster.
Ce n'est pas l'IP de la connexion (qui peut d'ailleurs être partagée avec plusieurs utilisateurs) qui permet d'authentifier un utilisateur. C'est ici un MUST pour pouvoir ajouter un Cancel-Key.
Un compte générique ne doit pas utiliser ce mécanisme.
--
Julien ÉLIE
« Un voyage de mille lieues commence toujours par un premier pas. » (Lao
   Zi)