📢 Ğ1Superbot passe à la vitesse supérieure : Tests V2 et Nouvelles Fonctions!

Yes, private keys of v2 are stored in the server database as a encrypted DEWIF with a master password that I prompt in the server (so it is stored only in memory) before launching the telegram app.

Bots can’t store or read anything from the user’s telephone, can’t read their timezone(that’s why datetimes are all shown as UTC-0 as they come from the blockchain) or telephone numbers… etc.
Bots only know the user’s telegram username and telegram user internal telegram ID (to read and send them messages).

C’est donc qu’il ne faut PAS préconiser l’usage de g1superbot pour les comptes membres. Est-ce que cela est bel et bien empêché par le bot ? Y a t’il un disclaimer, ou quelque message d’avertissement. Car si ta clef de chiffrement est compromise, tous les comptes gérés seront compromis également.

Il ne faut pas mettre cet outil au même niveau qu’une App wallet, plus safe par conception.

Je pense que de toute façon assez vite, il faudrait remplacer les clé en dur qu’a fait @kapis jusqu’a présent par un système de délégation de clé ou de proxy, que nous permet de faire substrate maintenant, mais je ne maitrise pas, peut être que @elois pourra aider Kapis à mieux concevoir cette partie là à l’avenir ?

Oui, il y a déjà un ProxyType::TransferOnly qui permet de déléguer à un tiers uniquement le droit de transférer de la monnaie :

Mais la création du proxy doit se faire depuis le compte d’origine, donc depuis Cesium/Gecko. Le superbot pourrait utiliser ce proxy s’il existe, mais il ne peut pas le créer.

Il faudrait que Cesium/Gecko et les autres applications ajoutent une fonctionnalité permettant de donner les droits TransferOnly à un autre compte.

C’est une excellente remarque sur la sécurité. Pour l’instant, comme g1superbot ne permet ni d’importer ni d’exporter des comptes, je n’ai pas jugé nécessaire de diffuser une consigne spécifique contre l’usage de comptes membres. Le bot fonctionne actuellement en circuit fermé, ce qui limite naturellement son usage à des transactions courantes et non à la gestion d’une identité de la Toile de Confiance.

À l’avenir, j’aimerais effectivement permettre l’exportation des comptes (via une phrase de 12 mots ou un fichier .dunikey). Dans ce scénario, l’idéal serait que ces comptes soient techniquement ‘révoqués’ ou marqués comme inéligibles à l’adhésion membre pour éviter toute compromission d’identité. Cependant, ce n’est pas une fonctionnalité prévue à court terme.

Je suis d’accord avec toi : le bot ne doit pas être perçu comme un remplacement d’un wallet classique, plus sécurisé par conception, mais plutôt comme un outil de complément pour faciliter les échanges rapides.

Merci @kapis pour ces précisions, qui me rassure en effet

Pas de compte membre, donc

Do you know the way to revoque a simple account in v2 via the node’s api ? If i want to allow to export the .dunikey or .ewif file (so they can import it in other accounts) I want to revoque that v2 address first…