<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On 22 May 2016 at 00:50, Sam Whited <span dir="ltr"><<a href="mailto:sam@samwhited.com" target="_blank">sam@samwhited.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Sat, May 21, 2016 at 6:44 PM, XMPP Extensions Editor <<a href="mailto:editor@xmpp.org">editor@xmpp.org</a>> wrote:<br>
> The XMPP Extensions Editor has received a proposal for a new XEP.<br>
><br>
> Title: User Rating<br>
><br>
> Abstract: This specification provides for the rating element.<br>
><br>
> URL: <a href="http://xmpp.org/extensions/inbox/userrating.html" rel="noreferrer" target="_blank">http://xmpp.org/extensions/inbox/userrating.html</a><br>
<br>
</span>This was an early draft that was discussed at the XMPP Summit 20. We<br>
went ahead and put it in the inbox so that discussion on the approach<br>
could begin.<br>
<span class="HOEnZb"><font color="#888888"><br></font></span></blockquote><div><br></div><div>Thanks for this.</div><div><br></div><div>I would suggest:</div><div><br></div><div>* The facility probably shouldn't be based on the user's account. This is not information conceptually held by and for the user, so it doesn't match semantically, and besides which, XEP-0355 would have some interesting interaction here.</div><div><br></div><div>* In 4.1, a simple mechanism is provided to issue spam reports which will increase the score of the target user and ultimately remove them from the server. While §7 offers some mitigation from the obvious attack, it assumes that such an attack would only occur from a single jid. Luckily no spam attacks whatsoever have used multiple source jids in a coordinated way... Perhaps including the offending spammy stanza, as a <forwarded/> copy, and verifying this was sent by checking the target user's archives? It should be reasonably simple to use a Bloom or similar to reject multiple reports of the same stanza efficiently, and an administrator could at least detect the possibility of a coordinated attack against an innocent user.</div><div><br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="HOEnZb"><font color="#888888">
—Sam<br>
<br>
<br>
--<br>
Sam Whited<br>
pub 4096R/54083AE104EA7AD3<br>
<a href="https://blog.samwhited.com" rel="noreferrer" target="_blank">https://blog.samwhited.com</a><br>
</font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br>
Standards mailing list<br>
Info: <a href="http://mail.jabber.org/mailman/listinfo/standards" rel="noreferrer" target="_blank">http://mail.jabber.org/mailman/listinfo/standards</a><br>
Unsubscribe: <a href="mailto:Standards-unsubscribe@xmpp.org">Standards-unsubscribe@xmpp.org</a><br>
_______________________________________________<br>
</div></div></blockquote></div><br></div></div>