Cesium: Connexion par clef publique > Problème de sécurité?

Bonjour,
Désolé si j’écris au mauvais endroit, mais j’aurais besoin d’entrer en contact rapidement avec les développeurs de l’appli android, quelqu’un sait à qui je dois m’adresser ?
Merci d’avance

1 J'aime

Le développeur principal est @kimamila

1 J'aime

Merci beaucoup pour cette réponse ultra rapide !

1 J'aime

Je me suis emballé, j’ai cru entrevoir une énorme faille qui n’en était pas une mais qui y ressemblait. Désolé pour le URGENT et la précipitation.
Les modérateurs peuvent supprimer ce sujet s’ils le souhaitent !
Merci

1 J'aime

Bonjour !

De quoi s’agit il ? :slight_smile:

Bonjour @SangfroidNiLoi,

en cas de détection d’une potentielle faille de sécurité la meilleure chose à faire est de créer une « confidential issue » sur le dépôt git du logiciel concerné :

Ainsi seuls les développeurs du logiciel auront l’information, et en plus elle sera tracée, donc cela maximise les chances que la faille soit traitée :slight_smile:

1 J'aime

Bonjour,

en effet je suis passé sur le git mais il faut être connecté pour déposer une Issue :wink:

Mais pour le coup, c’est moi qui me suis emballé trop vite, j’ai chargé l’application Cesium pour android par curiosité (j’aime pas les téléphones), et j’ai vu dans les méthodes de connexion « Clé publique ou pseudonyme », ça m’a paru bizarre comme méthode de connexion, et comme on arrive directement sur le profil recherché et que les boutons sont visibles comme si on était sur son propre portefeuille, j’ai paniqué et je me suis dit qu’il y avait un problème sur la version de l’application.

Et je n’ai pas cherché plus loin.

Je me serais vite rendu compte que tout était verrouillé et que la clé privée et le mot de passe serait demandés pour effectuer la moindre action si j’avais cherché un peu plus ;)Voilà toute l’histoire, comme quoi, il faut fouiller un peu, et réfléchir à deux fois avant de rameuter tout le monde :wink:

3 J'aimes

Ah ouai ce serait une bonne faille des familles ça, pouvoir s’authentifier uniquement avec la clé publique lol.
Heureusement que c’est techniquement absolument impossible même si le développeur le voulait :wink:

C’est vrai que l’UI/UX de Cesium porte un peu à confusion sur ce point là au début.

2 J'aimes

Oui, j’ai réagi après que ce n’était pas possible puisque les clés sont indispensables pour débloquer les transactions, on va mettre ça sur le compte de l’inattention et de la bière que j’ai bue à midi :wink:

Mais oui en fait, j’ai été confus par l’interface, on a l’impression d’être connecté avec le compte de quelqu’un d’autre et j’ai pas cherché plus loin :smiley:

1 J'aime

Et l’application et l’extension ont le même comportement !

En fait il convient de distinguer

  • la connexion => bandeau et bouton « bleu »
  • l’authentification => bandeau et bouton « rouge »

Tant qu’on est dans le bleu, aucune manip de clef secrète. :slight_smile:

2 J'aimes

Je me suis permis de reformuler le titre, afin de ne paniquer personne :slight_smile:

Oui oui, très bonne initiative :wink: Merci :wink: