home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #20 / NN_1992_20.iso / spool / bit / listserv / edtech / 1815 < prev    next >
Encoding:
Text File  |  1992-09-10  |  11.8 KB  |  209 lines
  1. Comments: Gated by NETNEWS@AUVM.AMERICAN.EDU
  2. Path: sparky!uunet!paladin.american.edu!auvm!PLAINS.NODAK.EDU!SACKMAN
  3. Approved-By:  "EDTECH Moderator" <21765EDT@MSU.BITNET>
  4. Message-ID: <EDTECH%92091101510652@OHSTVMA.IRCC.OHIO-STATE.EDU>
  5. Newsgroups: bit.listserv.edtech
  6. Approved: NETNEWS@AUVM.AMERICAN.EDU
  7. Date:         Fri, 11 Sep 1992 01:36:08 EDT
  8. Sender:       "EDTECH - Educational Technology" <EDTECH@OHSTVMA.BITNET>
  9. From:         Gleason Sackman <sackman@plains.nodak.edu>
  10. Subject:      GopherCon '92-Trip Report, Pt. 2 of 2 (from PACS-L) (fwd)
  11. Lines: 196
  12.  
  13. Date: Tue, 8 Sep 1992 08:36:25 CDT
  14. To: Multiple recipients of list PACS-L <PACS-L@uhupvm1.bitnet>
  15. From:    riddle@is.rice.edu (Prentiss Riddle)
  16. Subject: GopherCon '92 trip report
  17.  
  18.  
  19.                        GopherCon '92: Trip report
  20.                             Prentiss Riddle
  21.                             riddle@rice.edu
  22.                                 8/17/92
  23. Part 2 of 2
  24.  
  25. HARDWARE OFFER FROM NeXT: One of the few non-university attendees was
  26. Greg Smedsrud of NeXT, who surprised us on the second day by making a
  27. special offer.  NeXT has 120 NeXT 040 cubes which they are willing to
  28. sell to be used as Gopher servers at 70% off list.  There are various
  29. configurations available, but a 16 Mb/400 Mb cube with NeXTStep 3.0
  30. would go for about $3200.  There was some discussion of how much
  31. performance this would mean; Allan Tuchman of UICU said he had a
  32. similar configuration running as a Gopher server which took
  33. approximately 100K Gopher connections per day with no problem.  (An
  34. important distinction was made between a telnet connection to a public
  35. Gopher client and a Gopher protocol connection; Allan of course meant
  36. the latter.)  This offer will only be good for the next two weeks.  I
  37. don't know that it was clear whether the offer extended to everyone in
  38. Gopherland or only the conference attendees.  Serious inquiries only go
  39. to gsmed@next.com.
  40.  
  41. REPORTS FROM THE OTHER BOFS: The "Usability" BOF liked Gopher+,
  42. suggested "gophernews" or the ability in a client to limit a view to
  43. only new or changed items.  The "Gopher+/RFC" BOF went into detail on
  44. the proposed protocol extensions.  Some ideas: more types (archive and
  45. binary archive and the ability for a client to "peek inside" a .tar.Z
  46. file on a server), the ability for the client to ask the server for
  47. specific attributes, and SEE-ALSO, PREVIOUS and NEXT attributes to
  48. allow items to include links to other items.
  49.  
  50. The "Distributed Workload" BOF divided the Gopher development job up
  51. into three main areas: (1) code development, (2) documentation, and (3)
  52. resource management.  Documentation in particular was agreed to be an
  53. area where the Gopher community at large could help the UMinn
  54. Gopher Team.  Andrew Gilmartin (Andrew_Gilmartin@brown.edu) volunteered
  55. to head up a Gopher documentation effort.  Three areas for enhanced
  56. documentation which need people to work on them: server installation
  57. and administration, porting existing Gopher software to new platforms,
  58. and product development.
  59.  
  60. SERVER ADMINISTRATION PANEL: A common theme among everyone on the panel
  61. was the need for some degree of centralization of Gopher administration
  62. in order to provide a reliable and high-quality CWIS.  This is not to
  63. say that an institution as large as a university should have only one
  64. Gopher server: we should look forward to "competing" top-level views,
  65. perhaps in the form of departmental Gopher servers, but someone
  66. mandated to bring up a CWIS would not be well advised to pursue the
  67. "Gopher server on every desktop" model of totally decentralization, if
  68. only because desktop users tend to turn their machines off and go on
  69. vacation.
  70.  
  71. Joel Cooper of Notre Dame reported on his organization's Gopher
  72. administration methods.  Notre Dame uses its campus-wide Andrew File
  73. System as the place for individuals to maintain data intended for the
  74. CWIS.  Each data provider registers with the CWIS administrators and is
  75. assigned a node in the CWIS data tree (perhaps shared with others).
  76. Henceforth, anything which the user puts in her ~/gopher directory is
  77. automatically examined for inclusion in the CWIS.  All documents
  78. submitted to the CWIS must include a template at the top specifying an
  79. expiration date, title, and optional keywords.  The collection robot
  80. adds to this the provider's name, organization, e-mail address, a
  81. posting date, and, at the bottom of the document, a disclaimer to avoid
  82. "kill-the-messenger" problems.  All of this information appears
  83. together with the document text itself in a single file and is visible
  84. to the Gopher user.  Subdirectories under the provider's ~/gopher
  85. directory will be mirrored in the CWIS's data tree.  Micro users who do
  86. not wish to work in an AFS directory can use ftp or a mail interface.
  87. Mail forgery problems are avoided by a feedback loop: when a document
  88. is accepted by mail, the provider receives an acknowledgement by return
  89. mail.  Similarly, documents are expired from the CWIS on the expiration
  90. date and mailed back to the providers, who are free to extend the
  91. expiration date and resubmit them.  Notre Dame's CWIS was designed by a
  92. committee and quality control is ensured by peer review (providers who
  93. do a bad job managing their Gopherspace are asked to do better).  The
  94. Notre Dame method has certain limitations (no indexing, no links out
  95. into Gopherspace, and poor scalability to very large bodies of data)
  96. but it seems to work well for the majority of Notre Dame's information
  97. providers.  It has certain site-specific dependencies (AFS, the CSO
  98. nameserver and the local mailer) but it may be useful as a design model
  99. for other sites.
  100.  
  101. Dennis Boone of Michigan State reported on several tools he has
  102. developed (largely as perl scripts) for Gopher administration.   They
  103. include his well-known gophertree and gopherls tools and a recently
  104. released pair of scripts which allow keyword searches of Gopher item
  105. titles.  His CWIS allows multiple views of the same data to suit
  106. different needs (topical, organizational and and indexed).
  107.  
  108. SECURITY AND PRIVACY: This was one of the liveliest sessions at a
  109. lively conference.  I went into it with concerns about possible
  110. security problems in Gopher+, but was surprised by something I hadn't
  111. thought of: the privacy issue raised by the Gopher server's logging
  112. mechanism.  Gopher logs show what was read at what time from what IP
  113. address, often sufficient information to point to an individual user.
  114. While the computer people in the crowd immediately thought of the
  115. possibly trivializable issue of sexual materials on the net, librarian
  116. Nancy John pointed out that (1) libraries constantly face subpoenas for
  117. their user records in court cases involving intellectual property and
  118. other matters, and (2) this is a serious intellectual freedom issue
  119. with far-reaching implications.  In addition to subpoenas,
  120. administrators at state-funded universities must face the fact that
  121. "everything is FOIAble!" (under the Freedom of Information Act).
  122. Librarians have responded by retaining detailed user records only until
  123. materials are returned, then replacing them with general demographic
  124. information.  A short-term solution for concerned Gopher administrators
  125. may be to turn off logging.  Long-term, the server may be modified to
  126. record only a partial IP address or to decouple what is read from what
  127. site is doing the reading.
  128.  
  129. The discussion turned to access control.  It was pointed out that
  130. hostnames are easily forged, so the Gopher mechanism of restricting
  131. access by hostname or IP address is not perfect.  Wide-area equivalents
  132. of Kerberos may be coming which will allow real authentication,
  133. although not everyone was equally optimistic about that.  An important
  134. distinction was drawn between two levels of authentication: (1)
  135. licensed data (Clarinet, Medline, etc.) when a reasonable effort at IP
  136. address authentication or simply asking the user to enter an ID number
  137. may be sufficient, and (2) sensitive internal data for which only
  138. Kerberos or some not-yet-Gopherized mechanism is good enough.  The
  139. second class of data should not yet be served out using Gopher.  A
  140. complication of authentication for Gopher is that the protocol does not
  141. maintain a connection for multiple transactions and the server does not
  142. maintain state between transactions, so authentication can only apply
  143. to a single transaction.
  144.  
  145. The security implications of Gopher extensions were a hot topic.  The
  146. use of the Gopher+ "ASKP" mechanism to ask users for passwords was
  147. considered quite harmful: it is not really a secure password method and
  148. it invites spoofing.  The Gopher Team has withdrawn it from the Gopher+
  149. proposal.  The Gopher+ "ASKF" mechanism, which allows the server to
  150. request a file to be uploaded from the client with the user's approval,
  151. was also considered dangerous: a naive user could be fooled into
  152. authorizing that "/etc/passwd" or other sensitive data be uploaded to
  153. the server.  Suggestions for making "ASKF" safer included limiting the
  154. requested file to the current working directory or to some
  155. predetermined temporary file name.
  156.  
  157. Next came security concerns involved in running a public Gopher client
  158. (a Gopher client accessible via telnet or on a public terminal which is
  159. not tied to a particular user's account).  There have already been
  160. cases of such Gopher clients being used by system crackers to "launder
  161. IP addresses".  The Gopher practice of leaving people at the "front
  162. door" of a telnet site is dangerous (library systems are particularly
  163. notorious about having crackable systems accessible through the same
  164. port as the online catalog).  This is ultimately the responsibility of
  165. the targeted systems, but a responsible public Gopher administrator
  166. will log connections and participate in the tracing of crackers.  This
  167. is an area where better documentation is needed: there should be a
  168. simple document on how to properly set up a public client.
  169.  
  170. Scripting got delayed till the "open mike", but I'll mention it here:
  171. it was stressed that any scripting language implemented in a Gopher
  172. client must not contain hooks for manipulating local files or uploading
  173. data under the control of the server.  This includes programs
  174. masquerading as simple data (e.g., clients should interpret PostScript
  175. only with a "safe" previewer).  One type of scripting which is strongly
  176. desired is the ability to script telnet or tn3270 sessions (e.g., to
  177. log into a library without the user having to type "NOTIS" once the
  178. telnet connection is made).  This is a problem if the communications
  179. protocol used includes a "send file" ability.  The Gopher Team has not
  180. yet proposed adding scripting capability to the protocol, but a number
  181. of independent efforts are pushing in this direction.
  182.  
  183. REGIONAL COOPERATION: This discussion was mostly of interest to CICnet
  184. members.  I will say that I was impressed with CICnet's determination
  185. to provide network services, not just connections.  The work they put
  186. into GopherCon was strong evidence of this.
  187.  
  188. FUTURE CONFERENCES: CICnet has indicated its willingness to continue to
  189. host GopherCons, perhaps every six months, although not always in Ann
  190. Arbor.  As with this one, they will be small regional conferences with
  191. a limited number of slots for attendees from outside, essentially by
  192. invitation only.  They were kind enough to "grandfather in" anyone who
  193. attended the first conference.  I expect that they will continue to be
  194. excellent.
  195.  
  196. -- Prentiss Riddle ("aprendiz de todo, maestro de nada") riddle@rice.edu
  197. -- Unix Systems Programmer, Office of Networking and Computing Systems
  198. -- Rice University, POB 1892, Houston, TX 77251 / Mudd 208 / 713-285-5327
  199. -- Opinions expressed are not necessarily those of my employer.
  200.  
  201. End of Part 2 of 2
  202.  
  203. -----------------------------------------------------------------------------
  204. Gleason Sackman                           BBS:       sackman@sendit.nodak.edu
  205. Coordinator                               Internet:  sackman@plains.nodak.edu
  206. SENDIT - NoDak's K-12 Telcom Network      Bitnet:    sackman@plains.bitnet
  207. BOX 5164,  NDSU Computer Center           Voice: (701)237-8109
  208. Fargo, ND  58105                          Fax:   (701)237-8541
  209.