Privatebin pour la monnaie libre?

Je propose la création d’un privatebin pour la monnaie libre sur vos serveurs.

Une adresse du type privatebin.monnaie-libre.fr

Tutoriel ici : https://wiki.visionduweb.fr/index.php?title=Exporter_un_fichier_texte_vers_un_service_en_ligne_de_type_pastebin#Installer_son_propre_serveur_pastebin_avec_PrivateBin

Le Virtualhost ici : https://wiki.visionduweb.fr/index.php?title=VirtualHosts_des_domaines_enregistrés#privatebin.visionduweb.fr

2 J'aimes

Je ne vois pas trop l’intérêt,il existe déjà beaucoup d’instance PB :upside_down_face:

A mon avis, c’est un bot qui fait son auto-promo

Non @Zer00CooL n’est pas un bot, et je ne vois aucun lien promotionnel :slight_smile:

Par contre je suis d’accord avec @llaq : Je ne vois pas trop l’intérêt,il existe déjà beaucoup d’instance PB.

1 J'aime

@Zer00CooL nous avons déjà beaucoup de services à maintenir, parfois légèrement au delà de nos ressources humaines. Par contre, nous recommandons aux gens d’utiliser des services listés sur la page https://entraide.chatons.org/fr/ plutôt que d’utiliser les services propriétaires équivalents !

1 J'aime

Excuse-nous. J’ai rétabli tes liens, que j’ai caché sans avoir vérifié.

Je ne sais pas si tu insinue que PrivateBin n’est pas libre dans ton propos.
Mais, pour information, PrivateBin est libre.

In PrivateBin, Data is encrypted/decrypted in the browser using 256 bits AES.

Encrypt/decrypt in the browser is not safe.

@HugoTrentesaux Ok je prend note de la liste des outils des chatons, que je vais ajoutée à mon wiki, sur la page monnaie libre peut être.

Par contre, peut t’on dire que PrivateBin est un service propriétaire ? Il est OpenSource, il est libre, j’ai du mal à comprendre le terme propriétaire utilisé ici de ce fait.

Ensuite, j’ai fais cette proposition, car, tu me dis que de nombreux services sont difficiles à maintenir, oui, je n’en doute pas, mais, mes liens permettent justement une installation rapide, donc, en fait, en moins de 10 minutes, peut être 5, une instance privatebin peut être créée.

Reste à implémenter le mécanisme de sauvegarde, mais, la encore, la proposition est faire dans mon tutoriel, tout simplement le tutoriel le plus complet, en Français, sur privatebin, à ce jour, puisque j’ai fais la synthèse de ce que j’ai pu trouver, et, la mettre à jour, tout en installant ma propre instance.

Par contre effectivement, j’ai proposé la mise en place d’un outil, sans avoir défini le besoin, et, ici, c’est l’outil qui est mis en avant, et, qui crée le besoin. Ce devrait être l’inverse, et, d’un besoin devrait découler la mise en place d’un outil.
Malgré tout, j’ai trouvé intéressant de partager cet outil, puisqu’il est question de chiffrement des données, mais, surtout, de l’impossibilité ( souhaitée ) de consulter les contenus, par les administrateurs du serveur.
Il est dès lors question de confiance, dans les échanges, et, il m’a semblé que cette confiance pouvait être intéressante pour le projet monnaie libre, qui met en avant la June, dans un réseau de confiance.

D’après moi, ce point la est similaire, de ce fait, pouvoir potentiellement utiliser un outil de confiance, pour échanger en chiffré, en interne, pourrait être intéressant, bien que certainement, beaucoup d’entre vous savent déjà le faire, par exemple, avec des clés pgp/gpg.

On a malgré tout, avec privatebin, un outil simplifié, au possible, qui peut également être utilisé pour des tâches de maintenance : partages de logs, partages de configurations, destruction à la première lecture, ajout d’un mot de passe, formatage en markdown, formatage du code source.

Enfin, demo disait que le chiffrement est effectué du côté du navigateur, et, que cela n’est pas sur.
Alors, oui, effectivement, et non, en même temps.
Le premier objectif de privatebin, est surtout de s’assurer que l’administrateur du serveur ne puisse pas consulter les messages. Sur ce point la, il semble que Privatebin fasse parfaitement son travail, donc, la confiance est au rendez vous.
Maintenant, si votre navigateur a été vérolé, par un virus, il semble effectivement qu’il y ait des risques, mais, y’en a t’il d’avantage que si votre machine a été infectée par un keyloger, ou, par tout autre mécanisme d’attaque, ce n’est pas si évident, mais, biensur, ce types de risques sont à prendre en considération.

PrivateBin n’est pas parfait, mais, il joue son rôle : Empêcher l’administrateur d’avoir connaissance du contenu des messages hébergés sur le serveur.

Pour finir, vous me dites qu’il existe de nombreuses instances pastebin / privatebin.
Pastebin met en place des instances publiques, et, des outils sont développés pour analyser les messages des instances pastebin, pour obtenir le contenu.

Dans le cas de privatebin, j’ai pu consulter quelques instances, mais, il faut néanmoins noter que toutes ne sont pas à jour. De plus, l’intérêt de privatebin, serait justement de développer d’avantage d’instances, pour promouvoir son utilisation, et, réduire les risques, car, si on utilise un seul et unique outil, on a d’avantage de chance d’être compromis, alors que si l’on utilise différents outils ( je pense ) que les risques sont moindre, puisque les échanges se retrouvent chiffrés, puis, détruits, sur différents serveurs, sur différentes instances.

Un dernier point à noter, c’est que PrivateBin permet également les discussions, chiffrées, sur les messages, ainsi que le partage de documents, chiffrés, qui seront également supprimés, une fois le temps de consultation expiré.

@demo When using HTTP, the message can be trivially captured and stored or manipulated in during transmission. With HTTPS this is more difficult, but still possible for anyone controlling a CA certificate that made it into the certificate trust store of your client (say, the Active Directories CA on your domain joined, corporate Windows client).

PrivateBin offers no (perfect) forward secrecy - if the key leaks, any intercepted messages can be decrypted.
We do use the message authentication mechanism of AES GCM - which means simple, in-flight manipulations of the transmitted message without knowledge of the key will cause it to fail to decrypt. The attacker would need to know the key to decrypt, then manipulate and re-encrypt the message on the fly. An attacker sophisticated enough to do man-on-the-middle attack on HTTPS has the CPU power to do this fast enough for the user not to notice. There are commercial products designed for this that are in widespread use.

This is true for tools other than PrivateBin!
This is true for all tools!

If this is a concern for the type of messages you intend to share, please use a tool designed to provide end-to-end encryption. The focus of privatebin is to provide a pastebin…

PrivateBin/README.md

Line 6 in e35a26c
where the server has zero knowledge of pasted data.

So this tool is chiefly designed to protect the server from getting to know the contents of the paste, but not third parites. To the user this ideally functions just as seamlessly as a non-encrypting pastebin service, with the added benefit that the server can’t redact the paste. But the server can still censor the paste as a whole and delete it.

Non, ce n’est effectivement pas ce que je voulais dire. PrivateBin fait partie des logiciels listés sur la page des chatons.

Je me suis mal exprimé. Je voulais dire que PrivateBin faisait partie des solutions que nous recommandions, en tant que logiciel libre, mais que nous ne souhaitons pas particulièrement prendre en charge une instance, c’est pourquoi je redirige les gens vers cette page des chatons.

La suite de ton message est très long, et je le trouve hors-sujet par rapport à l’objectif de ce forum. Je suis très impliqué dans le logiciel libre, mais le forum duniter n’est pas un endroit pour faire la promotion de logiciels libres. Il est là pour discuter des logiciels (libres) directement liés à la ğ1 comme duniter ou cesium. Nous nous en servons également pour les informations sur les services libres directement utiles au développement des logiciels précédents à savoir notre instance GitLab et nos forums Discourse.

C’est pourquoi les efforts que tu fais pour vulgariser l’installation et l’utilisation de PrivateBin ne trouveront probablement pas de réponse ici. Par contre, si tu proposes toi même une instance PrivateBin que tu administres et maintient, nous pouvons éventuellement ajouter une entrée DNS pour privatebin.monnaie-libre.fr.

« Nos serveurs » sont des serveurs mis à disposition gracieusement par des individus. Si tu mets à disposition un serveur et que tu l’administres, il fera donc partie de ce que tu appelles « nos serveurs ».

3 J'aimes

@Zer00CooL

Perso je trouve que c’est une super idée. Just do it.

Si tu crées ton outil (qui a l’air pas mal) et son instance, signale-le moi stp que je te rajoute dans http://infojune.fr qui sert à retrouver tous les outils proposés…

1 J'aime

@HugoTrentesaux

La suite de ton message est très long, et je le trouve hors-sujet par rapport à l’objectif de ce forum. Je suis très impliqué dans le logiciel libre, mais le forum duniter n’est pas un endroit pour faire la promotion de logiciels libres. Il est là pour discuter des logiciels (libres) directement liés à la ğ1 comme duniter ou cesium.

Oui et bien justement, Monnaie libre = Réseau de confiance ? Oui / Non ?
PrivateBin = Un pastebin se voulant améliorer la confiance dans les messages stockés : Un administrateur n’ayant pas à connaître le contenu des messages échangés entre deux personnes.

Nous nous en servons également pour les informations sur les services libres directement utiles au développement des logiciels précédents à savoir notre instance GitLab et nos forums Discourse.

Oui et donc, ma proposition est cohérente, plusieurs fois, des administrateurs Debian, ou, Linux Mint, m’ont demander d’effectuer un partage de logs, pour identifier un éventuel problème ( pilote, … ) dès lors, les informations sont rendues publiques sur pastebin.
Une instance privatebin, peut servir à partager des logs, entre administrateurs, et, au lieu d’avoir des logs publiques pouvant être analysées sur pastebin, les logs sont privés, et, stockées sur une instance personnelle.

Comme dit, je propose.
En plus, j’ignorais que l’outil était déjà partagé sur la liste des chatons, donc, ça veut dire que je ne me suis pas éloigné tant que ça d’outils intéressant, et, à mettre à disposition. Je ne suis pas dans un partage publicitaire, mais, une proposition pour apporter un outil pouvant être utile pour échanger, rapidement, tout en garantissant que les messages dépassés ou obsolètes seront brûlés par le serveur.

Il est donc question d’un outil, pour des échanges ponctuels, qui ne nécessitent aucun archivage sur la durée, dans l’absolu.
Ce n’est pas forcément vrai d’ailleurs, puisqu’il est tout à fait possible de conserver des messages durant des années, ou, de façon illimitée.
Ce n’est pas le choix que j’ai fais sur mes deux instances que j’ai déployées, j’ai limité la période maximum de stockage à 10 ans, ce qui est déjà beaucoup.

@Attilax Moi je veux bien vous la pondre, cette instance, cela ne me prendra que 5 minutes, comme je l’ai dit, puisque j’ai rédigé la méthode.
Encore faut t’il qu’il y ait une volonté d’avoir un tel outil, de l’utiliser, je ne suis venu que proposer, car il me semblait que cela pouvait rejoindre le projet monnaie libre, sur ce sujet " confiance dans le réseau " au niveau de la " confiance lors d’un échange privé ".

Dans l’absolu, que ce soit pour commander un char d’assaut, ou, pour discuter d’un échange éventuel de 5 kilos de patates, contre des G1, je pense que l’administrateur du serveur n’a pas à être informé de la nature des échanges, et, c’est la qu’intervient la confiance lors des échanges, le respect de la vie privée des utilisateurs du réseau.

Ainsi, j’imagine que l’outil pourrait servir, au delà d’un cadre technique, d’échanges de logs, mais, même, pour des échanges de patates, ou, pour tout autre besoin, que je n’ai pas défini.
Comme je l’ai dis plus haut, je n’ai pas posté cette proposition pour répondre à un besoin existant, mais, plutôt, pour créer un besoin, ce n’est peut être pas la bonne approche, mais, pour autant, l’outil pourrait parfaitement répondre à certains besoins qui n’ont pas encore été identifiés.

Pour conclure, si quelqu’un veut créer un sous domaine, je peux parfaitement déployer l’instance.
A vous de voir si vous trouvez ce déploiement pertinent ou non, et, si vous décidez de créer le sous domaine.