SPIP Blog

Du logiciel libre et de la tendresse

Accueil > Développement > ToDo > A propos du web en accès restreint

A propos du web en accès restreint

jeudi 29 décembre 2005, par Franz

Une discussion récurrente dans SPIP (à tel point qu’elle a parfois tendance à devenir un peu trollesque) concerne la question de la restriction d’accès à tout ou partie d’un site à des utilisateurs autorisés. Est-il possible/facile/souhaitable de créer un forum en accès restreint pour les seuls membres d’une assoc ? Comment faire pour protéger des pièces jointes stockées dans le répertoire IMG/ ? etc.

En général, les réactions de la communauté sont assez peu entousiastes, voire parfois franchement négatives face à ce genre de demande, soit par manque d’intérêt (on peut comprendre), soit par manque de temps (on peut comprendre aussi), soit, me semble-t-il, en raison de considérations idéologiques sur l’aspect nécessairement ouvert du web (et là, on peut peut-être bien en discuter).

Ca n’empêche pas les contributions de proliférer [1], sans qu’il soit pourtant évident pour les webmestres souhaitant installer ce genre de fonctionnalités de trouver leur bonheur (c’est-à-dire un système fiable, bien documenté, facile à installer et facile à maintenir) [2].

A mon avis, l’idée vaut pourtant la peine qu’on s’en préoccupe et je crois même qu’elle rentre à plein dans ce que je perçois comme l’objectif central de SPIP et la motivation première de beaucoup de ses développeurs, à savoir fournir un outil de publication web puissant et facile à utiliser à tous les « changeurs de monde ».

Or, s’il y a une réalité à laquelle tous les gens qui ont envie de lutter, de faire bouger les choses, sont de plus en plus confrontés, c’est le flicage généralisé de la société en général et du web en particulier. Au nom de la « lutte contre le terrorisme » et autres antiennes du même genre, les lois ouvertement liberticides sont en train de se multiplier partout, y compris et d’abord dans nos prétendues « démocraties libérales » européennes, les divers modes de surveillance (vidéosurveillance dans l’espace public, conservation des logs, biométrie à tous les étages, carte d’identité électronique gérée par du logiciel propriétaire, écoutes téléphoniques, et tout ce que la technique rend chaque jour plus facile) se banalisent de façon inquiétante.

Bref, la vie privée a tendance à devenir largement une vue de l’esprit et les militants anticapitalistes de tous poils — qu’ils s’engagent dans des actions illégales ou en restent à des méthodes parfaitement autorisées —, savent qu’ils sont de plus en plus surveillés, chose qui est assez désagréable pour qu’on ait l’envie de dépenser quelque énergie pour s’en protéger, ce à quoi SPIP pourrait peut-être bien contribuer.

Sans doute le principal risque à s’engager dans cette voie est-il de créer une « sécurité » illusoire, en mettant en place des systèmes prétendûment sûrs, mais en fait facilement cassables ; sans doute l’idée même de protéger des données stockées sur un serveur web est-elle un peu naïve ; sans doute, si l’on peut faire quelque chose, faut-il le faire plutôt au niveau du serveur http lui-même en implémentant un système de cryptage des échanges entre serveur et client etc, etc.

Je ne pense donc pas que SPIP ait vocation a fournir une réponse globale à ce problème, mais je me dis qu’il y a peut-être quand même moyen d’en tenir compte, idéalement en renforçant les systèmes de protection existant et au moins en publiant une documentation indiquant les possibilités existantes, la manière de bien les utiliser et les risques et limites inhérents à ces systèmes (et donc le degré de confiance qu’on peut leur accorder).

Y’a des gens intéressés par l’idée ?


[1Ce qui a d’ailleurs suscité une réaction de James dans ce même blog.

[2Soit dit en passant, le créateur de Xprotector nous signale aujourd’hui qu’il arrête le développement de ce module.

Messages

  • En tout cas, ce billet est un excellent résumé du problème.

  • Joli billet, la première fois que je lis des arguments intéressants sur le sujet...

    Faire un article de synthèse sur « comment protéger l’accès à son site » ça m’intéresse un peu, ce serait une bonne contrib didactique pour spip-contrib, si je peux je me lancerais mais j’aurais besoin d’un peu d’aide.

    PS : pour Xprotector, son dev a toujours dit que c’était une rustine pas belle et n’a jamais été au fond du truc (et il dit souvent qu’il arrête d’ailleurs)

    à suivre...

  • Il est vrai que spip n’a pas pour vocation de gérer des accès restreints.
    Demander d’intégrer cette fonctionnalité dans le noyau n’est à mon avis pas une bonne idée ! tu as déjà répondu à la problématique dans ton billet.

    La nouvelle version de spip devrait permettre de résoudre le pb grâce à :
    - squeletisation de l’interface privée ?
    - et surtout la gestion de plugins.

    j’ai déjà commencé quelque chose qui va dans ce sens... je propose ça dès que la gestion des plugins est finalisée.

    Voir en ligne : webjsb.net

  • sans rentrer dans des conditions de cette globalité, oui big brother est parmi nous, j’en suis convaincu, farouche défenseur de l’ostéopathie, vue d’un mauvais oeil par les lobbies pharmaceutiques j’ai taquiné plusieurs fois son oeil paternel. Mais S’il est illusoire de tout protéger sauf à se taire il est bon de restreindre une partie du site à ceux qui vous font vivre pour passer des heures derrière un ordi...sans s’occuper du hacker qui arrivera toujours à passer.
    Donc sympa spip d’exister, merci et merci de se préoccuper de ce détail qui fait partie de mes préoccupations de rédacteurs restreindre l’accès de ma revue à ceux qui en ont payé l’abonnement

    Voir en ligne : l’ostéo4pattes

Un message, un commentaire ?

Qui êtes-vous ?
Se connecter
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.