
<div dir="ltr">On Thu, Aug 29, 2013 at 3:25 AM, Antoine Musso <span dir="ltr"><<a href="mailto:hashar+wmf@free.fr" target="_blank">hashar+wmf@free.fr</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote">


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Le 28/08/13 23:38, Ryan Lane a écrit :<br>

<div class="im">> Not without having 3 unique attributes, which is incredibly painful. If<br>

> you want your git username to be your full name, then use your fullname<br>

> as your wikitech/gerrit username.<br>

<br>

</div>Well we already have uid, sn and cn:<br>

<br>

 uid: hashar<br>

 sn: hashar<br>

 cn: Hashar<br>

<br>

Or for you:<br>

<br>

 uid: laner<br>

 sn: laner<br>

 cn: Ryan Lane<br>

<br></blockquote><div><br></div><div>sn isn't actually used for anything. inetorgperson requires sn be set (which is stupid), so it's set. It isn't unique and we could set it to anything we want.<br></div><div>


 </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Some entries even have a displayName entry which seems to be used by<br>

gitblit.<br>

<br>

Gerrit has:<br>

<br>

  # Query to search a user account<br>

  accountPattern = (&(objectClass=person)(cn=${username}))<br>

  # The full name field<br>

  accountFullName = cn<br>

<br>

The default Gerrit value for accountFullName is displayName, though that<br>

is not apparently populated for everyone, it is for a bunch of accounts<br>

already and I guess that will solve the issue.<br>

<br></blockquote><div><br></div><div>displayName surely shouldn't be set. If it is then it is set by accident and we should remove the attribute from the account in question.<br><br></div><div>If we allow people to set their displayName it could be used to impersonate others, unless we force it to be unique and check it against cn as well, and that *still* doesn't mean it can't be used to impersonate others.<br>


<br></div><div>If someone signs up for an account using "Ryan Lane." we can simply block the account. If someone briefly changes their displayName to that to sneak in a change, then changes it back afterwards it's much harder to detect.<br>


<br></div><div>Past just that, ensuring unique attributes is hard and having 3 of them is simply insane.<br><br></div><div>- Ryan<br></div><div><br></div><div>- Ryan<br></div></div></div></div>