11 de Septiembre, 2004

Validación de comentarios por Jabber

En la bitácora de Diego Martín hay una anotación muy interesante, con sus correspondientes comentarios, sobre la validación ideal de comentarios.

Yo no tengo un problema real con el spam en los comentarios, ventaja imagino de tener una bitácora de poco o ningún interés. No obstante me parece un tema muy atractivo.

Diego hace una revisión de la moderación de los comentarios mediante TypeKey, un producto de la gente de MT. Se trata de poder identificarnos en todas las bitácoras con la misma clave. De esta forma el editor sería capaz de dar votos de confianza a los 'buenos comentaristas', evitando así parte del trabajo que supone aprobar uno a uno los comentarios que llegan a nuestra bitácora para filtrar el molesto spam.

Además, si obligamos a todos los usuarios a emplear ese sistema de identificación, tener la certeza de quién es quién acaba directamente con el spam. Pensémoslo bien... el que envía spam nos tiene que decir quién es, como el resto de usuarios, así que lo tiene complicado :D. Pero esto quizás resulte algo radical, ya que no todos nuestros usuarios querrán emplear el sistema de identificación elegido, y podría suponer perder buenos comentarios.

Ahora, ¿cómo hacer que los usuarios nos aseguren quienes son, de forma cómoda y sin causarles una molestia en el proceso que les lleve a dejar de participar en los comentarios?

La solución TypeKey tiene como principal problema la falta de independencia. MT, una empresa con sus propios intereses, controla el invento. En una situación ideal sería una organización o entidad completamente independiente la que gestionara el sistema. Y esto es posible y ya existe: Jabber.

Jabber es un conjunto de tecnologías abiertas basadas en XML y sometidas a estandarización mediante los cuales se pueden crear plataformas de comunicación. La aplicación más destacada y que seguramente muchos conoceremos es la mensajería instantánea.

La idea es que un usuario emplee su cuenta en Jabber para identificarse en las distintas bitácoras que visita a lo largo del día. No queremos que tenga que registrarse, solo demostrarnos que es quién dice ser (con su JID, o Jabber IDentifier).

En los comentarios del artículo de Diego se analizaban distintos puntos conflictivos de una posible implementación. Yo mismo apuntaba dos, uno de ellos insalvable. Bueno, quizás entendíamos mal el proceso.

La idea era que el usuario empleara su JID y su contraseña para identificarse, y nuestra bitácora comprobara de forma automática la validez de estos datos.

Los dos problemas que yo comentaba eran:

  1. Obtener esa información de forma segura para el usuario.
  2. Manipular esos datos de forma adecuada respetando la confidencialidad de los mismos.

El primer punto es delicado, pero se puede superar. Existen diversas formas de atacar el problema para que esa información no corra peligro y el usuario no se vea perjudicado.

Lamentablemente el segundo punto es insalvable. El editor de la bitácora tendría acceso a todos los JID y sus contraseñas asociadas, esto es: tendría todas las cuentas Jabber a su disposición.

Esto es inaceptable. Ojalá el mundo en el que vivimos nos permitiera confiar los suficiente en la ética y el buen hacer de las gentes, pero no es así. Seguramente el sistema no tendría mucha aceptación porque muy pocas bitácoras nos inspirarían un nivel de confianza suficiente. Y todo esto sin entrar en aspectos técnicos.

He pensado un poco más en ello y, modestamente, creo que quizás no hemos entendido bien la solución mediante Jabber.

Si nosotros pedimos JID y contraseña al usuario tenemos que participar del proceso de autentificación, y es ahí donde aparece el problema. Simplemente evitémoslo y que sea el propio servidor de Jabber el que haga ese paso comprometido.

Supongamos que el envío de un comentario va a constar de dos caminos posibles:

  1. El usuario introduce su JID.
  2. El usuario no introduce su JID y el comentario pasa a moderación por revisión del administrador del blog, o simplemente no permitimos el envío del comentario invitando al usuario a hacerse con una cuenta de Jabber.

Si el usuario nos indica su cuenta Jabber, mostramos el formulario nuevamente y con los datos que ya haya introducido el usuario, más un campo en el que deberá introducir una contraseña aleatoria.

¿Y de donde obtiene esa contraseña? El Software de nuestro gestor de contenidos debe hacer llegar por Jabber esa llave al usuario del JID indicado.

Si el JID es correcto y el usuario es quién dice ser, no tendrá ningún problema en ingresar en su cuenta Jabber con su cliente preferido y leer el mensaje que le ha dejado nuestra bitácora. Esto es sencillo, hay librerías para hacerlo en prácticamente cualquier lenguaje de programación.

Dicho mensaje contendrá esa contraseña o clave, que se trata de un código de validación que nos permitirá tener la certeza de que es el propietario de la cuenta indicada, y con ello tenemos un usuario identificado.

Hemos superado el problema de forma sencilla y más o menos cómoda para el usuario, y sin poner el peligro datos confidenciales.

Quizás el único pero que podríamos poner es la necesidad de estar ingresados en nuestra cuenta Jabber para mandar un mensaje a cualquier bitácora que adopte el sistema, pero siempre será más cómodo que tener que darnos de alta en varios sitios para mandar comentarios, y habiendo clientes Jabber basados en web, esto no es tan grave.

A partir de aquí la gestión sería la que más nos guste. Podemos dar por bueno cualquier comentario con JID asociado, o solo a los de confianza, publicar su JID u obtener información de su vCard, etc. Hay muchas posibilidades.

Esta es mi propuesta.

Anotación por Juan J. Martínez.

Hay 1 comentario

Gravatar

En el caso de Drupal, que como ya he comentado en la bitácora de Diego, tiene implementada la autenticación con Jabber, pero funciona introduciendo tanto el JID como el pasword correspondiente, con lo que nos encontramos con el problema de tener que confiar en los autores de los weblogs.

Con el procedimiento que propones el problema estaría solucionado, pero después de echar un ojo a TypeKey y si no lo he entendido mal, con TypeKey solo hay que autenticarse una vez en un servidor principal, y desde allí ya se encarga de darnos acceso a las bitácoras, sin tener que introducir más contraseñas. Desconozco la parte técnica de todo el proceso, pero de cara al usuario me parece más sencillo.

De todas formas veo muy interesante tu propuesta, y la idea de integrar jabber con los weblogs abre muchas posibilidades.

por Ivan, en 2004-09-11 16:16:07

Los comentarios están cerrados: los comentarios se cierran automáticamente una vez pasados 30 días. Si quieres comentar algo acerca de la anotación, puedes hacerlo por e-mail.