Messages envoyés illisibles [Résolu]

Bonjour,

Depuis hier, je ne peux plus lire mes messages envoyés, ni sur Gtest, ni sur G1. Mes messages reçus ne posent pas de soucis en revanche.

Je peux lire les messages envoyés avant hier…
Est-ce normal? temporaire? car ils ne sont pas encore lu par mes destinataires?

Thatoo

Les messages n’ont rien à voir avec Duniter, Ğ1, et ce sujet n’a donc rien à faire sur ce forum, il s’agit d’une interaction particulière centralisée, qui porte le risque de dévoilement de la clé privée, que personnellement il est hors de question que j’utilise jamais, j’utilise ma clé OpenPGP pour échanger des mails chiffrés, à l’aide d’une application de mail, et jamais ma clé monétaire Ğ1 privée, et encore moins sur des applications monétaires à qui je demande de ne traiter que les opérations monétaires sans exposer inutilement mon compte.

Bref c’est du hors sujet, ça n’est pas Duniter, mais une application tierce.

1 Like

J’ai posté dans la sous rubrique Duniter clients/Cesium justement, un endroit réservé à cette application tierce, non?

C’est quoi cette histoire de [quote=“Galuel, post:2, topic:2063”]
risque de dévoilement de la clé privée
[/quote]
Comment est-ce possible?

Cesium fait des choses plutôt louches avec la clé privée, il semble notamment qu’il la stocke et s’en sert pour chiffrer ces mails ce qui n’est pas leur objet premier, et donc fait courir un risque supplémentaire inutile. Normalement la clé privée ne doit être utilisée que pour faire des documents de mise à jour de la blockchain (Certifications, Transactions), et ceci peut être réalisé normalement 100% offline.

D’un point de vue informatique il y a là des confusions en terme d’utilisation de la monnaie qui sont sources de risques de sécurité pour le compte de l’utilisateur. La source de ces confusions semple être la volonté de vouloir trop faire alors que le centre du développement mérite bien plus d’attention, et de sous estimer les risques d’exposition de la clé privée, surtout chez les utilisateurs novices qui croiraient sans danger de garder sa monnaie sur son compte émetteur…

2 Likes

ah oui, en effet…

en version 0.11.3, j’ai toujours le même souci. Une idée @kimamila?

oui, c’est un bug. As tu ouvert une issue (j’ai pas regardé en fait).

Ce bug est corrigé en v0.11.4, visible sur duniter.fr

En revanche, les anciens messages dans outbox sont corompus : vous devrez les supprimer.
(il y a une options pour le faire en une seule fois)

1 Like

Super!
Merci @kimamila

Pourrais tu t’exprimer sur ce que raconte Galuel dans ce post? Cela nous apporterais des éclaircissements, des précisions quant à la gestion des clefs, aujourd’hui d’abord, et dans un futur proche/lointain, Cesium étant en développement intense qui se mesure au rythme effréné des sorties de nouvelles versions.

Je peux expliquer, sans soucis, oui.

Depuis le début de Cesium, il n’y a qu’une seule authentification, qui ressemble à ce qu’on trouve dans les autres site : on se connecte, et on navigue.
J’ai ajouté ensuite la fonction “Se souvenir de moi”, qui pour être à l’épreuve du rafraichissement de la page (F5 par exemple) a du stocker dans le local storage du navigateur le trousseau de clef.

Ceci a été très pratique en temps de développement, où les clefs n’étaient pas si importante à protéger, mais l’est beaucoup moins maintenant que les clefs ont vocations à perdurer.

En revanche, si vous ne cocher PAS la case “Se souvenir de moi”, les clefs ne sont persister qu’en mémoire, dans votre naigateur, et une simple fermeture ou rafraichissement de la page les supprime (en principe).
Simplement, dans un navigateur dont le code n’est pas vérifiable (ou pas vérifié), on peut douter de pleine sécurité de tous les éléments logiciels qui ont accès à ces clefs. Dans l’absolu, même la conservation en mémoire, un temps très court, peut-être une faille de protection.

Mais je ne prétends pas du tout être un expert en sécurité. Je ne crois pas l’avoir jamais prétendu. :wink:

Je développe Cesium au mieux, en apprenant chaque jour d’avantage. Et surtout je fais l’outil qui me semble le mieux pour moi, avec ce que j’ai compris, et pas forcément celui que vous voudriez… mais le code est libre, heureusement !

1 Like

Réponse parfaitement claire. Ça devrait aider tout le monde a comprendre.
Merci.