FMS
De Freenet Doc.
FMS n'est pas un programme officiel développé par l'équipe de Freenet. Il est développé par un utilisateur, en langage C, contraire aux spécifications de sécurité de Freenet. Le code source, libre, n'a pas été étudié scrupuleusement par l'équipe officielle, et les mises à jour fréquentes et les versions précompilées, ne sont pas vérifiées.
Un programme officiel similaire, Freetalk, est en cours de développement depuis novembre 2008. Il devrait être développé pour la version 0.8 de Freenet, initialement prévue pour avril 2009, puis reportée de quelques mois, d'ici fin 2009 normalement.
En attendant, FMS peut être utilisé sans risque. Mais nous devons rappeler une règle générale valable pas uniquement dans Freenet : prudence.
FMS n'a jamais vu le moindre spam, et les discussions entre personnes peu recommandables y occupent moins de 1%, notamment grâce à une possible utilisation alternative de l'antispam collaboratif, qui en fait un média assez peu pratique pour ces gens, même s'ils ne sont pas censurés entre eux.
FMS est actuellement le meilleur moyen de se faire une bonne opinion de Freenet.
FMS (Freenet Messaging System) est un moyen de discussion puissant via Freenet.
Il se présente sous forme d'un serveur newsgroup qui tourne en tâche de fond, et qui récupère et envoie les messages. Pour afficher les messages, vous avez deux solutions. Soit vous vous connectez via une interface web qui fonctionne comme un forum, soit vous vous connectez via un lecteur de news (Thunderbird pour citer le plus connu). L'interface web permet aussi la configuration.
- Installer FMS
- Configurer FMS
- Configurer un lecteur de news pour FMS
- Discuter avec FMS
- Fonctionnement de FMS
Il existe une documentation sur Freenet à la clé suivante :
Problèmes de sécurité
Dans le passé, FMS a laissé échapper les adresses IP des utilisateurs au moment de la résolution des captchas (les images qui servent à lutter contre les créations automatiques d'identités).
Conversation entre Toad (développeur officiel) et SomeDude (développeur de FMS), traduit de l'anglais :
La page des Captchas n'a pas été validée, ce qui a rendu possible la récupération d'adresses IP d'utilisateurs. Elle impliquait l'insertion de lignes vides dans les en-têtes afin d'envoyer des en-têtes supplémentaires (en particulier des redirections), et a été activement exploitée par nextgens pour collecter des adresses IP. Une variante possible serait d'envoyer un contenu embarqué mais dangeureux type Flash.
Une vulnérabilité de format de chaine de caractères. Il me semble qu'elle rendait possible l'exécution de code à distance, ou au moins la génération d'un segfault. Ca a été corrigé, mais c'est un bel exemple de pourquoi il faut être extrêmement vigilant quand on utilise du C/C++ pour du code dont la sécurité est critique. J'ai essayé à plusieurs reprises de leur en parler, sans succès. Maintenant je refuse d'utiliser FMS pour les raisons que j'ai soulignées. Je n'ai pas le temps d'effectuer une revue du code, et il a par le passé souffert de sérieuses vulnérabilités. Quoi qu'il en soit, SomeDude affirme que ça a été corrigé, ou quelque chose comme ça.
