I2P 开发者会议 - 2007年2月6日

15:02 <jrandom> 0) 嗨 15:02 <jrandom> 1) 网络状态 15:02 <jrandom> 2) Syndie 开发状态 15:02 <jrandom> 3) 1 月漏洞收集竞赛获奖者！ 15:02 <jrandom> 4) ？？？ 15:02 <jrandom> 0) 嗨 15:02 * jrandom 挥手 15:02 <jrandom> 每周状态说明已发布在 http://dev.i2p.net/pipermail/i2p/2007-February/001333.html 15:03 <jrandom> 跳到 1) 网络状态 15:03 <jrandom> 我这边没什么可补充的（你大概也能看出来；） 15:03 <jrandom> 有人要提关于网络状态的什么问题吗？ 15:04 <+void> 以前好一些，不知怎的…… 15:04 <+void> 但也不差 15:05 <jrandom> 挺奇怪的，过去一周左右我们的构建率又回升了，依据 stats.i2p 15:05 <tethrage> 有没有长期的模式？ 15:06 <tethrage> （指构建率的变化） 15:07 <jrandom> 据我所见，这些模式与高性能 router 的容量有关，但那只是对网络的一个非常有限的视角（因为我基本上只知道公开可见的内容） 15:07 <tethrage> 明白 15:08 <tethrage> 有没有什么信息可以提供来帮忙？ 15:08 <tethrage> 我是说来自普通 router 的信息 15:08 <jrandom> 从我的角度看，并没有 15:09 <tethrage> 明白 15:09 <jrandom> （基本上，我们只需要先实现一些代码改动，然后再推进） 15:10 <tethrage> 明白 15:11 <jrandom> 好，还有别的关于 1) 网络状态 的事吗？ 15:12 <jrandom> 如果没有，那我们跳到 2) Syndie 开发状态 15:14 <jrandom> 这边进展很多，你们可以看一下 15:14 <+fox> <mk> 小建议：也许把 'signed by' 改成 'authorization'？论坛、身份、签名等之间的界限有点模糊，我有点担心 15:14 <+fox> <mk> -d 15:15 <jrandom> 啊，这主意不错 15:16 <+void> mk：一个论坛就是一个身份 :) 15:16 <+void> 反之亦然 15:17 <jrandom> 嗯，不过我们不想把这种怪异的二重性暴露得太明显，以免把人弄糊涂 15:17 <+fox> <mk> 我知道，但还是模糊。我现在能理解，不过我担心新用户会因为缺少区分而困惑 15:18 <+void> 啊 15:18 <jrandom> 对——大家对“论坛”的理解跟对“身份”的理解不同，所以需要确保我们的行为符合预期 15:18 <+fox> <mk> 还有一点也许值得在论坛或身份管理中实现：明确限定“仅以作者 x、授权 y 在此论坛发帖”，这样可以避免混淆。新帖消息里都不必放下拉框了 15:19 <+fox> <mk> （用于密钥的下拉框） 15:20 <+void> 我更希望有一个全局身份下拉框，始终可见 15:20 <+fox> <mk> 比如，你当前以谁的身份发帖？ 15:20 <jrandom> 嗯 15:21 <+fox> <mk> 也许吧，但我觉得它一直在顶部显示和只在发帖时出现，差别其实不大 15:22 <jrandom> 好，在我们深入之前，先提一点：Syndie 目前没有处理的一个侧信道可以把多个身份关联起来 15:22 <+void> 不过你的身份除了发帖之外不会用在别处 15:22 <+fox> <mk> 你指什么？ 15:23 <+void> 推送新帖子？ 15:23 <jrandom> 如果你需要完全不可关联的身份，你得运行多个独立的 Syndie 实例——它们之间可以相互同步，并且只用其中一个去对其他存档执行拉取/推送，但本地存档包含一些只有某些身份可访问的信息 15:23 <+fox> <mk> （我同意这类大讨论最好留到开发论坛，但现在大家一起聊也挺好） 15:24 <+void> 是的 15:24 <jrandom> 然而，本地存档上的所有身份都能访问那些信息，如果它们对这些信息采取行动（用那些密钥发帖等），就会泄露可关联性 15:25 <jrandom> 也许我们可以通过 GUI 以透明方式实现这一切 15:26 <jrandom> （在本地运行多个存档，而无需启动 Syndie 两次） 15:26 <+fox> <mk> 还有很多其他问题——比如把某些存档标记为互斥——这有助于匿名性。我们应该尝试定义这些场景，并找出一种非常易用的处理方式 15:27 <tethrage> Syndie 的目标不是匿名，而只是安全 15:27 <tethrage> 匿名应该由它运行所依赖的传输层来处理，对吧？:/ 15:27 <jrandom> Syndie 的目标包含匿名 15:27 <tethrage> （如果我错了请纠正） 15:28 <jrandom> 传输层只处理匿名性的一小部分——剩下的需要我们来处理 15:28 <jrandom> s/small// 15:28 <tethrage> 是吗？:/ 15:28 <+fox> <mk> 是的。Syndie 尤其要处理信息泄露问题 15:29 <jadeSerpent> IP 地址匿名 vs. 身份匿名 15:29 <tethrage> 明白。我记得你之前说过，Syndie 是个使用加密的安全应用，但并不严格追求匿名？ 15:29 <tethrage> （至少不像 I2P 等那样） 15:29 <+fox> <mk> 信息安全通过存档的冗余来实现 15:29 <jrandom> mk：关于“给存档打标记”你的意思我不太确定，但我很希望你在 Syndie 开发论坛发帖讨论一下 :) 15:29 <jrandom> tethra：Syndie 可以用于不需要匿名的事情 15:30 <jrandom> 但 Syndie 也必须能用于需要匿名的事情 15:30 <jrandom> （否则，就没必要把它作为 I2P 项目的一部分来实现了） 15:31 <tethrage> 是啊 15:31 <+void> jrandom：不过公允地说，如果 Syndie 通过利用 I2P 来提供匿名，那也还是有意义的 15:31 <+void> 但算了 15:31 <+void> c 15:31 <tethrage> 除了防止信息泄露和避免糟糕的代码之外，Syndie 还能做些什么来保持匿名？ :/ 15:32 <tethrage> 除非另有指定，否则你不是直接访问存档之类的吗？ 15:32 <+fox> <mk> tethrage，各种各样的信息泄露。如果你愿意，我们等会儿可以更详细地谈 15:33 <jrandom> tethra：比如，有人启用 JavaScript 去访问一个 eepsite 15:33 <jadeSerpent> 我认为，在这方面，运行你自己的可公开访问的存档反而会提高你的匿名性 15:34 <tethrage> jrandom：是啊，JS 可能暴露信息之类的。但如果你没有使用某种匿名网络，那这更像是安全问题而非匿名问题吧？ 15:34 <tethrage> 不过话说回来，我大概只是纠结术语，所以我不说了 15:34 <tethrage> :/ 15:34 <jadeSerpent> 我认为，在这方面，运行你自己的可公开访问的存档反而会提高你的匿名性 15:34 <+fox> <mk> jrandom，我会发那篇帖子。另外，我一直在折腾一个浏览器的设计（我不喜欢为新部分打开新标签），所以我会尝试做个原型，也许还会把一些草图发到开发版 15:34 <jrandom> “防止信息泄露”是匿名的核心——控制谁可以了解关于你身份的事实 15:35 <jrandom> 太棒了 mk，谢谢！ 15:35 <jrandom> jadeSerpent：当然 15:35 <tethrage> 明白 15:35 <tethrage> 受教了 15:36 <jrandom> mk：如果有更好的 Syndie UI 呈现方式，我 100% 支持（只有很小一部分代码绑定在这些基于标签的组件上） 15:36 <jrandom> 而且我们毕竟还在 alpha 阶段 15:38 <+void> jrandom：我想把标签式界面改成窗口式界面应该不难吧？ 15:38 <+fox> <mk> 是的。如果有些人更喜欢全标签式的方式，那也可以 15:38 <+fox> <mk> （和浏览器标签并存） 15:39 <jadeSerpent> 请不要用 mdi，我建议在标签和 mdi 之间折中，比如 Eclipse 的 perspectives 15:39 <+void> mdi 不好，我同意 15:40 <jadeSerpent> NetBeans 也有类似的东西，忘了叫什么了 15:40 <jadeSerpent> 好像是 views 或 workbenches 之类的，记不清了 15:41 <jrandom> .webp 草图欢迎 :) 15:41 * jrandom 采用全标签风格是因为大家都爱 Firefox（/etc） 15:42 <jadeSerpent> 我把图标做完后，可能会动手搞点这个 15:42 <+fox> <mk> 两周发布周期是好事。我喜欢这些目标被明确出来，但我也想看到一些“更软”的目标——开发者以及后续的用户文档、架构图等 15:42 <jrandom> 太酷了 15:42 <jadeSerpent> 在我看来，暂时用标签就行，够用 15:42 <jrandom> mk: http://syndie.i2p.net/roadmap.html ? 15:42 <jrandom> （不过路线图上没有日期） 15:43 <+fox> <hottuna> 不错 :=) … 刚把它发到待办任务里了 :P 15:44 <+fox> <mk> 是的，不过我指的是更小的目标。“记录 syndie.gui 中各类之间的一般交互”，或者“写一份关于封禁的文档”等等。 15:44 <jrandom> 啊，说得好 15:45 <jrandom> 我一直想着再把各个小/中/高层次的待办事项整理一遍 15:45 * jrandom 把这条加进待办清单 15:47 <jrandom> 好，关于 2) Syndie 开发状态 还有别的要提的吗？ 15:48 <jrandom> （当然，Syndie 里一直有开发论坛，但 IRC 方便快速来回交流） 15:49 <jrandom> 如果没有，那我们跳到 3) 1 月漏洞收集竞赛获奖者！ 15:50 <jrandom> 恭喜 Darn、voyde、mk 和 Anonymous，也感谢所有参与帮助的人 15:51 * jrandom 意识到比赛最初是给前三名的，但计数太接近了 15:51 <jrandom> 本月也有新比赛，规则与之前相同 15:51 <jadeSerpent> 你怎么知道“Anonymous”只是一个人？ ;) 15:51 <+fox> <mk> 总共 225 个（按我统计）bug——厉害 15:51 <+void> :) 15:52 <+fox> <mk> jade，我想是密钥吧 :) 15:52 <jrandom> jadeSerpent: urn:syndie:meta:d7:channel44:Ffn4RhCunO6gwMfAYfOoPY7FGwPNDy65dS4DyuyorME=e :) 15:53 <jrandom> 不过也可能是五个人共享那把密钥 15:53 <jrandom> 不过那他们就得平分这 $50USD ;) 15:53 <jrandom> （第一个用私钥给我签名并指定要汇到哪个 egold 帐号的人赢 ;) 15:53 <jadeSerpent> 除非其中一个把其他人干掉 15:54 <jadeSerpent> 不过那种事只会发生在罗马尼亚 15:54 <tethrage> 还有俄罗斯 15:54 <jrandom> （还有英国、澳大利亚，以及……） 15:55 <+fox> <mk> 50USD 可是很多钱啊…… 15:55 <jadeSerpent> 在俄罗斯他们会全被干掉，房东会把钱拿走，然后上交给黑帮当保护费 15:55 <tethrage> 换成 GBP 就不多了 ;p 15:55 <+fox> <mk> 我知道，我为了它都愿意“杀人” 15:55 <tethrage> 我想问你来自哪里你也不会回答，是吧，mk？ 15:55 <tethrage> :/ 15:56 <+fox> <dw_g> 好，我来拿 ;) 15:56 <+fox> <mk> 最初在俄罗斯 :D 现在在加拿大 15:56 <jadeSerpent> 225 个 bug 很厉害，其中有多少已经关闭了？ 15:56 <tethrage> ice. 15:56 <tethrage> +n 15:57 <jrandom> jadeSerpent：我估计大概有 75-80% 已处理 15:57 <jadeSerpent> 不错 15:58 <jrandom> （另外可能有 5-10% 是 invalid/wontfix） 15:58 <jrandom> 不过实际上，那是高层级待办之一——给 bug 跟踪弄个真正的管理 UI 15:58 * jadeSerpent 推荐 trac 15:58 <jrandom> （我花了不少时间把帖子都过了一遍手工数的） 15:58 <+fox> <mk> 在 Syndie 之外？ 15:59 <jrandom> 嗯，加一个 Syndie-->track 的导出系统？ 15:59 <jrandom> s/ck// 15:59 <+fox> <mk> 把 Syndie 接到一个缺陷跟踪器上会是个不错的项目 15:59 <jadeSerpent> 是啊 15:59 * jrandom 打赌用几条 SQL 查询和插入就能搞定 16:00 <jrandom> 不过这很值得，至少从 readonly-trac 的角度看是这样 16:00 <+void> 但我觉得，要把在 trac 里的更新同步回 Syndie 肯定很棘手 16:00 <jrandom> 全流程集成非常难 16:00 <jrandom> 对 16:00 <+fox> <mk> 在某个时候也许值得考虑一种“修订”类型的系统 16:00 <jrandom> 不过能在 trac 里查询、下钻并生成报表等 16:01 <+fox> <mk> 让新帖子取代旧帖子 16:01 <jrandom> 啊，是的，这方面有钩子，但目前不会处理 Overwrite* 头 16:02 <jrandom> 不过也不难，只要做个 UI 开关，能跳转到同一帖子的先前版本，再加几行代码验证该帖子是否有权限覆盖旧帖子 16:03 <jadeSerpent> 我理解想用 Syndie 自身来报 bug 的想法，但它的设计并不包含问题跟踪，对这类任务始终不会是最佳选择，我认为你应该用一个真正的 issue tracker 16:04 <+fox> <mk> 看到提交的 bug 数量，我同意 jadeSerpent 的看法 16:05 <jrandom> 不过反过来说，有多少 bug 是因为大家用 Syndie 来报 bug 才被发现的？ 16:05 * jrandom 并不完全反对用 trac 或其他缺陷跟踪系统 16:05 <jadeSerpent> 那类 bug 反正都会被发现 16:05 <+void> 嗯，严重级别、组件、版本以及关闭/打开/重新打开 bug 都可以通过 Syndie 的标签来做 16:05 <jrandom> 对 16:06 <+void> （而且大多数已经这么做了） 16:06 <jadeSerpent> 就像前几天，有人发 bug 报告时卡死了——不管他发的是什么主题都会卡死，并不因为它是 bug 报告 16:06 <jrandom> 如果我们能通过带有化名（且可验证）的消息把数据喂给真正的 issue tracker，那就太好了 16:06 * jrandom 也收到过一些包含敏感信息的私下 bug 报告——这些由 Syndie 的加密来保护 16:07 <+fox> <mk> 那为什么不两者都保留？ 16:08 <jadeSerpent> 不过我同意，确实没有以匿名或较强机密性为目标设计的 issue tracker 16:09 <+fox> <mk> 如果 Syndie 能有那样的缺陷跟踪器当然很好，但提交大多数 bug 报告时匿名并不是太大的问题 16:10 <jadeSerpent> 也许可以改造 trac 来利用 Syndie 的那些特性 16:10 <+fox> <mk> jade，这很难。浏览器不支持签名 16:12 <jrandom> 嗯。我们现在的东西最初基于：http://syndiemedia.i2p.net:8000/blog.jsp?blog=ovpBy2mpO1CQ7deYhQ1cDGAwI6pQzLbWOm1Sdd0W06c=&entry=ovpBy2mpO1CQ7deYhQ1cDGAwI6pQzLbWOm1Sdd0W06c=/1132012800003 16:12 <jrandom> 再加上 http://dev.i2p.net/~jrandom/bugsp1.txt 和 http://dev.i2p.net/~jrandom/bugsp2.txt 16:13 <jrandom> 我同意我们需要比现有方案更好的东西来跟踪这些问题，我对任何能最好推动我们前进的方案都持开放态度 16:13 <jrandom> 但如果可能，我希望尽量保持它的最小化，因为我们在构建的是 Syndie，而不是一个缺陷跟踪器 :) 16:14 <jadeSerpent> 是啊，你现在看起来不用它也管得过来 ;) 16:14 <jrandom> 但我肯定还是会有一些被遗漏，其他人也会更难找到已知问题/等信息，并贡献修复 16:15 <+fox> <mk> 我们可能都不需要通过 Syndie 来实现它。在 Syndie 里有一定用处，但 200+ 个 bug 实在不少。我们应该选一个跟踪器，并通过 WWW 和 I2P 提供访问 16:16 <+fox> <mk> 在 Syndie 的“提交 bug”界面上方提供一个链接，这样我们两种方式都有。现在不该在 Syndie 中实现一个缺陷跟踪器来消耗资源 16:17 * jrandom 的确喜欢集成缺陷跟踪（这样大家不用创建跟踪账号、用假邮箱等），但我对我们该用哪种方案的提案持开放态度 16:17 <+fox> <mk> 我认为应该把那个保留，同时也要有那个缺陷跟踪器 16:18 <jadeSerpent> 短期内只读访问就不错 16:18 <jadeSerpent> 我更喜欢更面向 bug 的搜索界面 16:18 <jrandom> 也不难，也许可以写一个单向的 Syndie-->issue tracker 导出，给那些不能或不想用 web 版的人 16:19 <jrandom> s/of r/for/ 16:19 <+fox> <mk> 集成的 bug 提交很棒，但我们不该用 Syndie 的存档去跟踪 200+ 个 bug 16:20 <jrandom> 不过它非常适合测试我们的搜索能力 :) [好吧，我被说服了] 16:20 <jrandom> 那么，一票给 trac。 还有其他投票吗？ 请发到 Syndie 开发论坛，当然要说明理由 16:21 <jadeSerpent> 两票给 trac，除非你已经把我的算进去了 ;) 16:21 <jrandom> 嗯，我说的就是这个 ;) 16:21 <+fox> <mk> 都有哪些选项？我对跟踪器一无所知 16:21 <jadeSerpent> 我还希望那是你自己的票，不过也行 16:22 <jadeSerpent> 我用过 trac，第三方支持很棒 16:22 <jadeSerpent> Bugzilla 我只想说：算了吧 16:22 <jrandom> 顺便说一句，如果有人对某个 issue tracker 很熟，那会有助于快速写出一个 Syndie-->issue tracker 的导出 16:22 <jrandom> 是啊，Bugzilla 是个怪兽 16:22 <jadeSerpent> JIRA 也不错，和 trac 类似 16:23 <+void> trac 对很多人来说也很熟悉 16:23 <jrandom> 嗯，人也很不错（他们给了 I2P 一个许可，虽然我们还没用） 16:23 <jadeSerpent> 你们有 JIRA 许可？ 16:23 <jrandom> 嗯，JIRA 和 Fisheye 16:24 <jadeSerpent> 不错，不妨试试 16:24 <jadeSerpent> 顺便说，Eclipse 的 Mylar 插件可以与 Bugzilla、trac 和 JIRA 完全集成 16:24 <jadeSerpent> 界面好评如潮 16:25 <jrandom> NetBeans/Eclipse 之争真是要命 16:25 <bar> （创建时自动上报 bug？ ;) 16:25 <tethrage> （哈哈） 16:26 <+fox> <mk> 哈，不错 16:26 <jadeSerpent> jrandom：如果我没记错，NetBeans 支持在 Mylar 的路线图上 16:26 <jrandom> 酷 16:26 <+fox> <modulus> 这就是那些狂热支持 Sun 的人的下场 :-) 16:27 * jrandom 用 JavaBeans 砸 modulus 16:27 <jadeSerpent> 尽管 Mylar 正式隶属于 Eclipse 基金会 16:27 <+fox> * mk 找不到 trac 的在线站点 16:27 <+fox> <modulus> http://trac.wordpress.org/ 16:27 <jrandom> mk: http://feedspace.i2p/ 目前 16:28 <+void> http://trac.edgewall.com/ 16:29 * jrandom 不想花很多时间评估各种系统，所以如果有人想主推某个具体系统，请到 Syndie 开发论坛发帖 16:29 <jadeSerpent> http://overlays.gentoo.org/proj/alt/wiki 16:29 <+void> （^ 官方的 meta-trac） 16:29 <+fox> <mk> 是啊，对我来说都一样 16:30 * jrandom 就当 3) 1 月漏洞收集竞赛获奖者！ 这一项说完了，我们进入 4) ？？？ 16:30 <jrandom> 会议还有别的要提吗？ 16:30 <+fox> <mk> “最好”被高估了。谁在这些东西上经验最多，谁就掷枚硬币吧 16:32 * jrandom 并不在找项目规划/发布规划系统，或源码浏览器（有个免费的 wiki 也无妨，不过我们还有 ugha.i2p） 16:32 <jrandom> 对我来说，跟踪问题是唯一在意的功能 16:37 <jrandom> 好，如果会议没有别的事…… 16:37 * jrandom 收尾 16:37 * void 把 baffer 递给 jrandom 16:37 * jrandom *baf* 地宣布会议结束