Üblich ist, dass der Newsserver das stellvertretend für die Benutzer
macht (so dass es auch mit Newsreadern ohne Cancel-Lock-Unterstützung
funktioniert).
Für die Übergangszeit sollte man bei Versand und Prüfung beides
verwenden.

Bei ausreichend breiter Unterstützung von SHA256 kann man irgendwann
die Prüfung für SHA1 abschalten.

Theoretisch sehe ich das ebenso, praktisch gibt es nur noch eine Handvoll
Newsreader, die überhaupt noch weiterentwickelt werden, so dass der Header
für eine relevante Verbreitung sinnvollerweise auch vom Server gesetzt
werden sollte. Für Admincancel muss er das sogar.

Zudem erfolgt die Umsetzung - also die Prüfung des Cancel-Keys - ja in
jedem Fall auf dem Server. Das ist m.E. eher kein Client-Thema.
Wenn, dann findet man da ja diejenigen, die das serverseitig
implementieren und Deine Frage beantworten können, ob es sha256 bereits
ausreichend verbreitet ist. ;-)

-thh

cleanfeed.local ist eigentlich unverändert zum alten sha256 Stand. Ich
habe 2 minimale Änderungen gemacht.
1) Erfolgreiche Cancel protokolliert, zumindest zunächst einmal. Gab es
als Kommentar im Code schon.
2) minimale Änderung der erfolgreichen Protokollierung

if (exists($lock{$key})) {
# INN::syslog('notice', "Valid Cancel-Key $key found.$msg");
INN::syslog('notice', "Valid $lock{$key} Cancel-Key $key found.$msg");
# -thh
# article is canceled now

$lock{$key} enthält den genutzten Hashalgorithmus, also "sha1" oder "sha256". ist aber nur etwas Verschönerung.


cleanfeed.local:

# vim: set syntax=perl ts=4 ai si:

use Digest::SHA qw( sha1_base64 sha256_base64 sha512_base64 );
use Digest::MD5 qw( md5_base64 );

#
# local_filter_cancel
#
sub local_filter_cancel {
unless($hdr{Control} =~ m/^cancel\s+(<[^>]+>)/i) {
return "Cancel with broken target ID";
}
return verify_cancel(\%hdr, $1, 'Cancel');
}

sub local_filter_after_emp {
if (exists( $hdr{'Supersedes'} )) {
#return verify_cancel(\%hdr, $hdr{'Supersedes'}, 'Supersedes');
# verify_cancel is called, but not returned, so the
# posting is unconditionally accepted
# verify_cancel calls INN:cancel() if verification suceeds
verify_cancel(\%hdr, $hdr{'Supersedes'}, 'Supersedes');
}

return undef;
}

sub verify_cancel($$$) {
my $r_hdr = shift || die;
my $target = shift;
my $descr = shift;

my $headers = INN::head($target) || return "$descr of non-existing ID $target";

my %headers;
for my $line(split(/\s*\n/, $headers)) {
if ($line =~ m/^([[:alnum:]-]+):\s+(.*)/) {
$headers{$1} = $2;
}
}

my $lock = $headers{'Cancel-Lock'};
if (defined($lock)) {
my $key = $r_hdr->{'Cancel-Key'} || return "$descr of $target without Cancel-Key";
#return verify_cancel_key($key, $lock, ' target=' . $target);
return verify_cancel_key($key, $lock, $target);
} else {
# -thh
# no cancel-lock: go ahead and cancel anyway!
INN::cancel($target);
}

return undef;
}

sub verify_cancel_key($$$) {
my $cancel_key = shift;
my $cancel_lock = shift;
my $msg = shift;

$msg = '' unless(defined($msg));
# -thh
my $target = $msg;
$msg = ' target=' . $msg;

my %lock;
for my $l(split(/\s+/, $cancel_lock)) {
next unless($l =~ m/^(sha512|sha256|sha1|md5):(\S+)/);
$lock{$2} = $1;
}

for my $k(split(/\s+/, $cancel_key)) {
unless($k =~ m/^(sha512|sha256|sha1|md5):(\S+)/) {
INN::syslog('notice', "Invalid Cancel-Key syntax '$k'.$msg");
next;
}

my $key;
if ($1 eq 'sha512') {
$key = sha512_base64($2);
}
elsif ($1 eq 'sha256') {
$key = sha256_base64($2);
}
elsif ($1 eq 'sha1') {
$key = sha1_base64($2);
}
elsif ($1 eq 'md5') {
$key = md5_base64($2);
}
$key = pad_b64digest($key);

if (exists($lock{$key})) {
# INN::syslog('notice', "Valid Cancel-Key $key found.$msg");
INN::syslog('notice', "Valid $lock{$key} Cancel-Key $key found.$msg");
# -thh
# article is canceled now
INN::cancel($target) if ($target);
return undef;
}
}

INN::syslog('notice',
"No Cancel-Key[$cancel_key] matches Cancel-Lock[$cancel_lock]$msg"
);
return "No Cancel-Key matches Cancel-Lock.$msg";
}

sub pad_b64digest($) {
my ($b64_digest) = @_;
while (length($b64_digest) % 4) {
$b64_digest .= '=';
}
return $b64_digest;
}

1;

Im Zweifel mit einem Account dort?