En fait ça c’est fait comme ça parce qu’il fallait bien commencer quelque part en lancer le projets mais @cgeek ne souhaite pas rester l’hébergeur juridique du projets duniter, il nous faudra créer une fondation dans le pays de notre choix.
C’est drôle c’est justement la discussion que j’ai eu avec un nouveau lors de l’apéro Montpelliérain de mardi soir un expert des associations-fondations, c’est bon boulot. Il me demandais qu’elle était la structure juridique qui portait duniter (je lui est répondu la vérité) et il est près a nous aider a créer une fondation pour duniter, je pense que nous y viendrons naturellement, ça vas sans doute se discuter lors des rml10
En fait tu a raison d’être méfiant, je l’étais aussi quand j’ai découvert le projets, il m’a fallu venir au RML pour rencontrer le noyau dur et sentir qu’il s’agissait de gens sincères qui agissait par conviction et pas par vice.
nous aurons beau te donner tout les arguments et toutes les preuves de notre bonne foi tant que tu n’aura pas rencontrer les contributeurs ton mental trouvera toujours une bonne raison de douter
Je te rappelle quand même que c’est un logiciel libre et qu’il est très facile de le compiler soi-même, typiquement moi j’ai plusieurs nœuds dont certains installés depuis les binaires et d’autres compilés manuellement donc si un binaire se comporte de manière “différente” je m’en rendrai compte,et je ne suis pas le seul a veiller. Et comme les binaires duniter sont signés on saura qui est le responsable
De plus, si un jours l’un des dev perd la boule les autres dev pourront forker pour continuer la monnaie sur des bases saines, c’est aussi pour cela qu’il faut qu’on soit nombreux a bien maîtriser duniter, donc je t’invite a poursuivre ton travail de compréhension et de création de doc
“En fait ça c’est fait comme ça parce qu’il fallait bien commencer quelque part
…<=>… ça vas sans doute se discuter lors des rml10.”
Da !
" si un binaire se comporte de manière “différente” je m’en rendrai compte,et je ne suis pas le seul a veiller"
=> process ?
=> Comment ca , “je ne suis pas le seul” ??? Quid de ces personnes ? Des structures / des entreprises ?
“Je te rappelle quand même que c’est un logiciel libre et qu’il est très facile de le compiler soi-même”
Une partie du code est interpreté <= Le javascript => soit NON compilée puis le compilé…sécu blablabli…blablabla…voir les liens…
“En fait tu a raison d’être méfiant …<=>… sentir qu’il s’agissait de gens sincères qui agissait par conviction …<=>… nous aurons beau te donner tout les arguments et toutes les preuves de notre bonne foi …<=>…tant que tu n’aura pas rencontrer les contributeurs ton mental trouvera toujours une bonne raison de douter”
Méfiance…Méfiance…ce n’est pas une question de méfiance - ni de croyance sinon cela relève d’une forme de mysticisme.
Cela ne relève pas de mon mental
Cela ne relève pas non plus de la sincérité que peuvent laisser transparaître certains individus.
En passant "nous aurons beau te donner tout les arguments…" Oui elois, tu donnes de ta personne pour relever les points d’ombre. Je l’ai remarqué et c’est top.
La sécu / les enjeux qui en découlent et de communiquer sur ce point est -critique-. [ en mon sens ]
Une faille de sécu c’est un fait et est en partie intégrée de manière délibérée en toutes connaissances de cause selon des motivations qui ne relèvent que du choix de l’intéréssé.
Si je dois définir le domaine de la sécurité informatique en une phrase (on faisait des slogans récemment ) :
Elle se résume dans la difficulté pour un individu A d’obtenir une information sensible pour B.
Et par conséquent nécéssite de devoir définir ce qu’est une “information sensible” pour B et la relative “difficulté” que A va rencontrer.
Tel que je l’ai expliqué a cgeek en aparté il y a quelques jours, l’information est “mon” maître-mot.
Après quoi on est malgré tout fondamentalement pas d’accord sur certains points lui et moi et je fais avec.
Ce qui ne m’empêchera pas de venir titiller de temps en temps
Si je puis permettre d’ajouter mon grain de sel, malheureusement non, cette assertion est fausse !
La majorité des faille de sécurité repose sur une erreur de développement, une méconnaissance des bonnes pratiques de sécurité, sur une “broutille” à laquelle on n’aura pas prêté attention (par exemple, qui pense vraiment, à tous les coups, à vérifier strictement les valeurs récupérées dans les champs d’entrées ?).
Se prémunir contre les failles de sécurité ne se fait pas tout seul “si on agit par conviction et qu’on est de bonne foi”.
Promis, je ferai de mon mieux pour vous aider sur ce sujet compliqué qu’est la sécurité
Étant donné qu’il est impossible de démontrer l’absence de bugs (problème de l’arrêt, d’où l’intérêt des tests automatisés qui sont de bien maigres gardes-fous garants du bon fonctionnement du code), je suppose que tu n’as d’autre choix que de faire confiance pour avancer.
Cela dit, la confiance n’exclue pas le contrôle. Tu peux donc étudier les modifications que l’on pousse, vérifier que les releases sont signées par des auteurs dans lesquels tu as toi-même confiance, etc.
Mais donc à aucun moment tu ne pourras avoir la preuve de l’absence de bugs, la preuve de l’absence de ma corruption, de mes étourderies, etc.
Oui barbichette
J’en suis conscient que je pousse le bouchon et que je ne suis pas exempt de ces erreurs par ailleurs.
Sur le volet communication, comme quoi en changeant un ou deux mots dans une phrase:
“Une faille de sécu c’est un fait et peut être en partie intégrée de manière délibérée en toutes connaissances de cause selon des motivations qui ne relèvent que du choix de l’intéréssé.”
Et de revenir sur la notion d’erreur.
Car comme tu le dit : une méconnaissance des pratiques. <= l’information.
“à aucun moment tu ne pourras avoir la preuve de l’absence de bugs, la preuve de l’absence de ma corruption, de mes étourderies…”
c’est dit.
J’ai lu un article concernant l’engagement et la résponsabilité relatifs au developpement des logiciels libres (de Stallman de mémoire), c’est passionnant de voir a quel niveau cela hausse la barre.
Je précise pour ceux qui suivent de loin nos discussions, mes remarques n’ont rien de personnel contre cgeek.
“je suppose que tu n’as d’autre choix que de faire confiance pour avancer.”
J’ai fais mon choix, je suis venu sur le forum et comme je l’ai dit dans un de mes premiers posts “Je m’engage a être patient ce qui ne veut pas dire inactif”
Pour la patience, j’ai surement des points a revoir
Je me dois d’intervenir. On peut démontrer l’absence de bug, mais parfois l’analyse dira « je ne sais pas » ou « il y a un bug » alors qu’il n’y en a pas. Mais si elle dit « il n’y a pas de bug », alors c’est démontré.
Rien ne l’empêche. La partie cruciale est la précision : une analyse qui répond tout le temps « je ne sais pas » est correcte, mais inutile.
Mon groupe a développé une sémantique formelle de JavaScript. Comme elle est très complexe, on travaille maintenant sur des techniques pour développer des analyses qui passent à l’échelle, même pour des sémantiques complexes.
Un bug est quelque chose qui n’est pas dans la spécification. Donc sans spécification, il n’y a pas de bug. La difficulté est en effet de s’assurer que la spécification capture ce que l’on veut, mais c’est au delà des méthodes formelles. (On peut, en revanche, prouver des propriétés sur la spécification, comme « s’il y a un fork, on pourra toujours le résoudre » ou « il est impossible de dépenser deux fois le même ğ1 ».)
Pourquoi est-ce que tu met un lien de dépendance globale vers Crosoft/Apple/Google pour une stack qui n’est pas la propriété d’aucune de ces sociétés ?
J’ai hate du jour où celui-ci pourra me faire preuve de sa capacité a demontrer :
que les OS ne sont pas exempt de communiquer des informations a l’insu de l’uitilisateur
que les logiciels tel que Node n’en font pas de même, qu’il arrive par ailleurs a le décompiler, je me ferais une joie de venir assister a cette premiere.
de l’intégrité également des fournisseurs internet et des outils qu’ils mettent a disposition
Si je puis dire, c’est bien de faire par à l’utilisateur de ces complexités et que les logiciels qu’ils utilisent -bien qu’il y est des personnes honnetes dans le developpement de l’outil G1 et également en dessous de la pile- ne peut pas aller à l’encontre de ce qui est, des logiciels développés par des entreprises avec des motivations que l’on ne peut pas ignorer. Ca me semble opportun de ne pas prendre les utilisateurs pour des mules
Tu peux ajouter dans ta stack les boites AMD/Intel, les entreprises chinoises qui fabriquent les CPU, etc. Bref, on peut aller loin, mais je doute de la pertinence… Je ne vois pas vraiment ou tu veux aller en fait là.
Est-ce que l’utilisateur a un autre choix que de faire confiance, et ce quelque soit la monnaie utilisée ? Suivant les différentes monnaies, à laquelle pourra-t-il le plus faire confiance ?
En sécu, on parle de modèle de menace. Quel est ce modèle pour la ğ1 ? Quel est ce modèle pour d’autres monnaies ?
Tant est que sur le volet communication, "1 homme averti en vaut 2 ", j’aime a penser que de fournir des informations aide a mieux comprendre de quoi il en retourne et que cela peut aider a dissiper des interrogations.
Comme je l’ai expliqué a cgeek en aparté ( )
Ces schèmas, ces documents , je les réalise de façon très égoïste => pour moi =)
Si bien que j’ai souligné les differents degrés d’implication que portent les équipes de dev pour le coeur => support de la monnaie,
il en va de même pour les développeurs des logiciels qui sont pour l’utilisateur le point d’entrée à l’usage de la monnaie, comme l’a bien rappelé elois en détaillant la signature du document, étant faite par cet outil et est par conséquent aussi critique.
pour “la confiance” revoir ce que je disais + haut.
Je te retourne la question car je n’ai aucune réponse en l’état a fournir Il me semble sage de ne pas posé cette question a l’utilisateur ou encore le nouvel entrant dans l’equipe de dev et que ce sont des interrogations a se poser en amont du developpement.
Plus globalement
cela vous permet de me connaitre
cela me permet de vous connaître.
apres il doit être nécessaire de faire une compilation de mes discussions pour “voir” où je veux en venir
Oui, mais ce que je veux dire, c’est qu’aujourd’hui toute l’infrastructure de n’importe quelle monnaie repose de près ou de loin sur Google/Microsoft/Apple/Intel/les CPU Chinois. Tout simplement car la concentration économique a aboutit à ce fait. Ce n’est pas spécifique à la ğ1, qui subit cette état de fait comme le reste du monde.
Mettre dans les stack techniques ces gros logo de sociétés bien privatrices, ça donne l’impression que ça serait fait “on purpose” par les développeurs. Qu’en utilisant la ğ1, on filerait toutes leurs infos à ces grosses sociétés. Bon bref, tu le vois, présenté comme ça, ça me gène beaucoup
Et bien, si l’utilisateur souhaite se prémunire dans son modèle de menace Google/Crosoft/Apple, il peut. Il lui suffit de se diriger vers de l’open hardware, du logiciel libre. Donc Duniter ne lui impose rien du point de vue de la stack technique. Libre à chacun de faire l’effort requis.
Oui Inso, ca prend aux tripes
C’est tout aussi bien de faire avec ses/ces contradictions quant à vouloir prétendre être “transparent” et de la notion de “liberté” ↔ non nuisance.
Oui, rien ne nous empêche d’être au clair. Je suis toujours dans la description pratique de la monnaie libre. Et la je précise également que le modele de communication sur lequel repose “internet” n’est ni plus ni moins que la conception du réseau de l’armée Americaine et que le web lui c’est celle d’un ingé Anglais.
Et bien pourquoi ne pas le dire, que c’est probable et que cela peut etre fait à l’insu de “l’objet G1”.
La encore se premunir doit être préciser.
Je te renvois a tous ce que j’ai décrit dans mes postes.
Les notions de l’information et ce qu’elles portent dans le domaine de la sécu informatique.
les couches les + basses (OS…) et les motivations des intéréssés, tant bien logiciel et matériel (composants éléctronique).
Dire que Duniter et l’ecosysteme de G1 est exempt, me semble mal-honnête.
“Libre a chacun de faire l’effort…”
Non. C’est encore une contradiction avec laquelle chacun négocie .
On ne peut faire autrement et inviter a dire que “tu es libre” de choisir quels composants -matériel/logiciel- sachant la dépendance à l’élaboration de ces produits à l’achat pour l’utilisateur dans le commerce.
et c’est top. 
et que je ne suis pas exempt de ces erreurs par ailleurs. 
)