Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 51 reacties
Bron: The Register, submitter: VisionMaster

Andrew McNab van de Universiteit van Manchester heeft software ontwikkeld die een eind zou kunnen maken aan Wiki-vandalisme. Als onderdeel van zijn GridSite-project heeft hij diverse softwaretooltjes ontwikkeld voor het secure bewerken van grid-computingsites, en die heeft hij nu aangepast om Wiki's te beveiligen. Wiki-sites geven iedereen de mogelijkheid om toevoegingen en wijzigingen op een pagina aan te brengen. Wijzigingen zijn vaak ten goede, maar vandalen brengen niet alleen onjuiste wijzigingen aan, ze ondergraven bovendien de betrouwbaarheid van de Wiki-sites.

Wikimedia logo GridSiteWiki zou ervoor moeten zorgen dat gebruikers niet meer anoniem rommel kunnen maken. De software is in feite een aangepaste versie van MediaWiki, waarbij de authenticatie met gebruikersnamen en wachtwoorden is vervangen door het gebruik van X.509-certificaten. Het systeem staat of valt uiteraard met de bona fide distributie van dergelijke certificaten. Volgens McNab worden die voor de gedistribueerde rekenprojecten echter al op zo'n grote schaal verspreid, dat Wiki's er ook profijt van moeten kunnen hebben.

Moderatie-faq Wijzig weergave

Reacties (51)

En zo groot was het probleem volgens mij ook niet; op diverse grote wiki's als wikipedia kan je het zelf zien door bij Recent Changes te kijken.
Als er iets aan verandert komt dit in dat lijstje te staan, en er zijn genoeg mensen die die lijst af en toe eens controleren en vernielde teksten reverten naar een eerdere versie. Je komt dus ook bijna nooit vernielde info tegen op deze manier, en de authenticiteit kan je dus makkelijk controleren door te kijken hoe grondig de laatste wijziging was van een pagina.
Dat zal je tegenvallen.
In mijn werkomgeving is worden de Wiki's steeds vaker gebruikt. Als er soms wat foute of misleidende teksten, configuratie voorstellen en dergelijke worden gedaan door niets vermoedende en soms goed bedoelende sysadmins, dan ben je de pineut met je grote cluster. Althans ... je bent langer bezig om de fout te vinden, omdat je de inhoudt vertrouwde wat er op beeld staat.
En niet door te kijken wie dat geschreven heeft.

Daarom dit stukkie software. Zo kan je namelijk dat bijhouden opbasis van goed identificerende technieken, zoals deze certificaten.
Sorry, maar ben je dan wel geschikt om grote clusters te beheren als je klakkeloos op Wiki's afgaat zonder 2e of 3e bron te raadplegen? Lijkt mij niet.
De Wiki's zijn bedoeld als een gesloten community informatie bron die gehost worden op een vertrouwde site bijvoorbeeld: www.cern.ch of elders.
Het cluster opzetten heb je meestal geen wiki nodig, voor de juiste instellingen om het op het Grid operationeel te maken kan nog wel eens spannend zijn. Gezien dat de software flink in beweging is en dus nogal eens wat wijzigt. Dan is de history ook erg nuttig :D

De oude methode van onze gegevens vinden is Google... niet echt geweldig, maar ja... wij gebruiken het WWW nogal vrijelijk op die manier uitnoodzaak voor slechte documentatie soms. Daarbij is het een gewoonte sinds het begin van het WWW om alles online te zetten (8>
Op zich is het gebruiken van x509 certificaten alleen geen oplossing. Dit is namelijk wat men heeft veranderd in gridwiki.

Als je net zo makkelijk een x509 certificaat als een login/wachtwoord combinatie zou kunnen krijgen, is er geen verschil m.b.t. de mogelijkheid om misbruik te maken.

Ik zie niet in hoe deze oplossing de titel kan rechtvaardigen.
Ben ik het mee eens.

Ik vraag me af waarom ze het niet gewoon bij de username/password combinatie gehouden hebben.

Nu moeten mensen eerst gaan uitzoeken wat certificaten zijn en eerlijk gezegd snap ik er zelf ook niets van.
Buiten mijn bovenstaande opmerkingen om ... username/password is zo eenvoudig te sniffen...
Kunnen ze het niet zo maken dat wijzigingen altijd nog goedgekeurd moeten worden door minimaal 2 anderen ofzo?

Met wat eisen daaraan gekoppeld (email op ander domein bijvoorbeeld), elimineer je zo volgens mij ook al 90% van de mensen die even snel wat wilen verprutsen.
dan gaan ze als vandalen zich groeperen! En krijg je Wiki-Basher Clans. En ontstaat er competitie over welke clan de 'beste' vernaggeling tot stand brengt.
Op ./ is vandaag een link verschenen met de oprichter en eigenaar van Wikipedia en de aanverwante projecten, Jimmy Wales. Hier gaat hij ook in op het vandalisme wat besproken wordt in het nieuws bericht hierboven;
(..)
So within the community there's never really been any real controversy about say the George Bush article. Of course the article is edited a lot and there are a lot of editorial disputes over exactly how to word things, but there's no real fundamental question there. The article should be comprehensive, factual, sourced. It shouldn't be a one-sided political rant on either side. It should discuss criticisms of the President and it should discuss support of the President.

And so the article has always been, you know, fine within the community. But there are some times vandals, some people come in and they just think it's funny to post a disgusting picture or something, you know, replace Bush's picture with a picture of Hitler. Well we revert that within a minute ...

LAMB: Who is we?

WALES: ... because there's ... the community. So there's ...;

LAMB: I mean you don't even know who does that?

WALES: Well, I mean, I can ... I can look it up. I mean you can on the site ... part of the reason the site works is it's ... you can be anonymous but the people in the community have a consistent identity and so there's accountability. So people gain reputations within the community for doing good work, so you can look at the history of the article and see who is fixing the vandalism and things like that.

And even, you know, ordinary, reasonable people who intensely dislike the president will agree that an encyclopedia article shouldn't replace his picture with Hitler, I mean it's ridiculous.
iets voor http://www.uncyclopedia.org

daar kunnen de vandalen zich uitleven, mits ze grappig zijn. :)
Zelfs daar hebben ze last van vandalisme en chronisch niet-grappige personen. Zo is het niet de bedoeling om er flauwe onzin op te zetten over de lokale knutselclub in Lutjebroek, waar alleen jezelf en je 3 vrienden om kunnen lachen. Nav een GoT topic zijn er echter al aardig wat "dijenkletsers" aan toegevoegd van het niveau 0,niks. ;(

Dit is een fenomeen dat je iedere keer ziet bij laagdrempelige toegang tot internetfenomenen als Wikipedia. Er zijn maar heel weinig mensen met echt talent of kennis op een bepaald gebied. Gaat iedereen ineens meedoen, dan kan er dus niets anders uitkomen dan grijze middelmatigheid. Je ontkomt er dus niet aan allerlei beperkingen in te bouwen om dit te voorkomen.
Briljante site! Bedankt voor de link, ik lach me dood! :D
Het probleem met de meeste vandalen zal voor een gedeelte ook wel te maken hebben met politieke kwesties.

Zo kan ik mij voorstellen dat de Chinese overheid graag wil doen geloven dan Mao een fijne vent was enz.

Plaatsen die openbaar zijn zijn nu eenmaal gevoelig voor personen/groeperingen die schade willen toebrengen. Dat los je alleen op door je data af te schermen.
Wiki-vandalisme. Ik wist niet eens dat het bestond.
De realiteit is vaak nog vreemder dan mijn grootste fantasieën. Wat een sneue lui moeten dat zijn zeg :r
De anonimiteit van het internet haalt het slechtste in mensen naar boven.

Dat wil zeggen, ze kunnen zo ongestraft hun duistere kanten eens testen.
sommige mensen zijn onwetend of te zielig voor woorden om verkeerde of misleidende informatie te veranderen op een Wiki. De ergste situaties zijn als de he;le pagina niet noemenswaardig is veranderd.
Vroeger ging je naar een persoon toe en kon je als hacker/cracker met je sociale skillz wat gegevens ontfutselen om iets te kunnen bereiken. Nu zijn er Wiki sites (niet zoals wikipedia) waar gedetailleerd info staat beschreven hoe bijv. Grid systemen zijn geconfigureerd. Dat wil je niet door iedereen kunnen laten aanpassen.
Tja, toen ik zo'n wiki voor het eerst zag en merkte dat er door iedereen wat ingekalkt kon worden, wist ik al dat dit een keer fout zou gaan, kwestie van tijd. Triest, maar het is nu eenmaal de wereld waarin we leven. :r
Geautomatiseerde wiki-spam bestaat al een hele tijd, en is verwant aan 'comment spam' op blogs. Zelf zie ik bijvoorbeeld veel wiki-paginas waarop links naar gok-sites worden gepost. In de meeste gevallen wordt de originele inhoud van de pagina dan helemaal verwijderd of verminkt.
Ik zie echt niet hoe dit het probleem op lost, het verplaatst alleen de problemen.
Besides, met deze feature ben je verplicht in te loggen, m.a.w. je moet dus een account aan maken. In plaats van een user\pass heb je een user\certificate. Als je certificate revoked word voor die op die site gebruik je toch gewoon een nieuwe certificate. Net zo lang dat de gratis CA die je gebruikte compleet gebanned word. Dus user\pass of user\cert is niet veel anders. Tenzij je alleen betaalde CAs toe laat. Maar dan kan je net zo goed je wiki sluiten (of tenminste, niet meer als wiki gebruiken).

Het grootste probleem met Wikis (zo ver ik mee maak) is spam. Op de UnrealWiki hebben we nu een aantal features die spam detecteren en een tijdelijke\permanente ban op die host zetten. Tot nu toe werkt het zeer effectief. Destructie of spam die er door gekomen is is binnen een redelijk korte tijd gecorrigieerd. Voor de UnrealWiki is het niet verplicht om in te loggen om een edit te maken.
Ook als reactie op 'dikkechill' en 'quincy2you':

Het idee van x509 certificaten komt uit de gridwereld. Iedereen in het project heeft een certificaat. Daarmee identificeer je iemand. Jullie hebben identificatie en autorisatie met elkaar gemixed, wat zal leiden tot problemen.
In de grote nieuwe Grid wereld die er nu voor vooral wetenschappers is, heeft iedereen zo'n certificaat. Dit certificaat heeft alleen waarde als deze door een vertrouwde CA is uitgegeven en getekend, die vertrouwd wordt door deze Wiki bijvoorbeeld. Certificaten die je kan kopen zoals Thawte en Verisign komen hier niet in voor, je kan deze alleen persoonlijk ontvangen met je paspoort.
Zie bijv. http://www.gridpma.org (en vooral de europese versie :D)
Om een lang verhaal misschien kort te houden :z Met deze methode kan je uitgaan van een identiteitsgarantie. Met de 'gegarandeerde' identiteit kan je dus lees en/of schrijf uitdelen aan de gebruikers.
Er worden dus geen gratis CAs toegestaan. Dat wil zeggen wel gratis CAs, maar niet zomaar CAs die aan alles en iedereen meerdere certificaten geven.

Rare CA zou dat trouwens zijn.
Mijn CA die gehuisvest is bij het NIKHEF (www.nikhef.nl) is gratis. Iedereen kan zo'n certificaat laten tekenen, mits je in de academische wereld (of aan verwant) werkzaam bent. Zo werkt het hier. Het gaat niet om geld. Het gaat om vertrouwen in je identiteit die je met paspoort laat controleren. Zo'n certificaat is geen speelgoed in dit geval, je kan aangeklaagt worden als je verkeerde dingen doet. (tenzij je identieit is gestolen natuurlijk).

GridSiteWiki kan met iedere zelf gemaakt certificaat werken. Het is alleen wel zo, dat je de software moet duidelijk maken welke CAs allemaal vertrouwt moeten worden. Als dat alleen jou eigen gemaakte CA is en dus alle certificaten die daarvanaf komen kunnen worden geverifieerd, dan heb je al je vertrouwens domein gedefinieerd.
Daarnaast kan je dan nog op basis van de identiteit die er wordt afgegeven in je certificaat, kun je nu bepaalde privileges geven, zoals schrijf rechten.

Waarom zou je trouwens certificaten die je kan kopen bij VeriSign of Thawte of andere CAs zomaar vertrouwen? Als je een hoog geclasificeerd certificaat langs ziet schuiven getekend door bijv. VeriSign weet je zeker en vast dat de identieit goed gecontroleerd is. Maar of dit persoon nu ook gelijk schrijfrechten mag krijgen in een Wiki is pas een stap daarna.
Daarbij ben ik persoonloijk nog erg sceptisch over VeriSign certificaten, omdat je hier al snel hebt dat iedereen met een beetje centen een certificaat kan halen, dus dat het niet enorm veel meer waarde geeft.
Ik heb zelf namelijk geen idee hoe VeriSign en soort gelijken de identiteits controle doen. Moet je bij een kantoor langskomen met je paspoort? of kan je via een online creditcard transfer een certificaat bemachtigen...? Mij te vaag!
Wikipedia is een leuk en interessant concept. Echter, ik vind persoonlijk dat het veel teveel afhankelijk is van de menselijke goedheid. Mensen kunnen naar hartelust hele pagina's verwijderen of onbruikbaar maken. Er zijn nou eenmaal van dat soort mensen op de wereld, en niemand kan daar wat aan veranderen.
Mensen met een beetje gezond verstand hadden dit vanaf het begin al zo hard aan kunnen zien komen.
Hopelijk leren de makers van Wiki hiervan. Wat mij betreft zijn ze iets te naïef geweest.
Hele pagina's verwijderen? Dat kan net zo goed met 1 klik worden teruggedraaid en degene die dat gedaan heeft krijgt een ip-ban. Ik vind het systeem van Wiki perfect!
Lekker nuttig die ip ban, je moet dan al een (vaak zelfs duurdere) verbinding hebben met een vast ip adres. Als een vandaal met dynamisch ip adres een scriptje maakt dat hij telkens opnieuw verbinding maakt met z'n ISP en dan een willekeurige wikipedia pagina verwijderd kan niets hem tegenhouden.
Daarin heb je gelijk, maar ik denk toch dat de meeste vandalen het na 1 keer wel beu zijn.
Dan brengen ze tog gewoon de ISP op de hoogte? Die kan er zo stappen tegen ondernemen...
ALs een vandaaltje zoveel moeite wil doen dat hij z'n IP adres gaat wijzigen apart om Wikipedia te verkloten, kan Wiki in theorie zover gaan dat ze (een gedeelte van) de IP range van zijn ISP blokkeren.
wat schiet je daar dan mee op?

dat gaat toch tegen de winkel van Wiki in? als een bepaalde range wordt geblokkeerd en ik krijg toevallig een van die ip's toebedeeld van diezelfde isp dan kan ik dus ook niet meer op wiki??
Ik snap niet waarom ze geen 'vote' optie maken, zoals bij deze Tweakers-frontpage. Alle slechte artikelen worden er zodoende uitgefilterd.

P.S. Het is natuurlijk geen middel tegen alle soorten van misbruik, maar wel weer een xtra barriere....
De vote bij Tweakers vind ik ook verre van perfect. Er worden vaak hele nuttige bijdragen weggefilterd doordat een of andere grapjurk het niet met het standpunt van de poster eens is en 'm omlaag stemt. Zeker met dingen waarbij enkele grote kampen van meningen zijn komt dit vaak voor als de hele meute gaat stemmen...
Objectiviteit is iets wat ik bij Wikipedia nog niet heb mogen ontdekken.
Voor statische technische zaken vind ik het prachtig maar van politiek gearangeerde stukken gaan dikweils mijn haren overeind staan.

Vaak zie ik wijzigingen welke juist aanvullingen zijn weer weggeaan of besproken worden of het wel of niet politiek correct is. Wiki pedia en vooral de nederlandse versie zouden zich bezig moeten houden of iets juist is en niet of iets correct is. Twee zaken die verschillend zijn waarvan het eerst het streven moet zijn.
... gaan dikweils mijn haren overeind staan...
'dikweils'??? Daar gaan mijn haren nu eens van overeind staan. Kennis van de moedertaal lijkt hier vaak mijlenver (of was het nu meilenver?) weg. Het taalkundig niveau is hier héél vaak om te janken, deze keer kon ik het even niet laten van te reageren...
gearangeerde = ge-engageerde

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True