Proposition d’arrêter le service Césium hébergé sur g1.duniter.fr

Merci pour le message et pour la bienveillance.

Il est vrai que je trouve pas responsable de laisser une faille de sécurité ouverte le temps de trouver une solution plus sécurisée. Je vois les choses de cette manière : on colmate la faille, on trouve une solution, un compromis plus sécurisé pour les apps web, on la déploie.

Tu veux pas perturber les utilisateurs de la version web en ayant la solution sécurisée tout en ayant la faille ouverte, puis faire la migration, pourquoi pas. Mais, tu n’as pas signé de contrat envers eux. Tu ne leur dois rien, c’est écrit dans la licence apposée à Césium.

L’implémentation d’un changement de protocole demande une bonne réflexion et prend de fait pas mal de temps à mettre en place. Sinon, la mise en place d’un Césium en lecture seule est une solution plutôt simple à mettre en place, mais ça ne semble pas encore prioritaire à ce que j’ai pu voir des derniers développements. Sinon, ce serait déjà déployé, non ?

Je suis pas tout à fait d’accord avec l’exécution de Césium sur OS non libre. Ça me semble moins risqué. Il resterait que les navigateurs libres sur OS libre pour assurer la sécurité. Même Chrome sur OS libre serait questionnable. Si les OS suivants étaient exclus : Android, Windows, macOS, iOS, ça exclurait beaucoup de monde.

Je vois pas de rapport du fait que les autres cryptos utilisent différemment leurs unités, pour justifier la non sécurité. La Ğ1 peux prendre autant de valeur que les autres cryptos. Ce que tu dis justifie surement le côté de faire entrer les néophytes. Il n’y a pas de raisonnement valable pour justifier la sécurité ni l’accessibilité aux néophytes.

Pour moi, oui, ces Ğ1 ont une valeur. Le sujet de ce post est plus large que la perte d’unités.

En tant que simple utilisateur (engagé certes) je voudrais vous rassurer :

À partir du moment où les règles sont clairement exprimées, rien n’est impossible ou inacceptable. S’il faut installer cesium ‹ en dur › et que c’est clairement dit, avec un tuto indiquant comment faire, la majorité des utilisateurs ronchonnera parce qu’on change ses habitudes, mais le fera quand même au final. Si l’instance web ne sert plus que de miroir, c’est pareil, à partir du moment ou c’est clairement énoncé comme étant une règle pour la sécurité de tous ça finira par être accepté, et mieux : cela donne conscience de la vulnérabilité du web que la plupart des gens ignore totalement. Et cela fera venir des gens au Libre, aussi, double effet kisscool.

Par contre il faut expliquer dans un langage compris de tous le protocole minimum à suivre, c’est ça la clé, faut pas que ça fasse trop peur en termes techniques. Si c’est trois lignes de code à copier/coller, franchement c’est pas un souci.

Au pire, le strict minimum d’efforts à faire fera le tri entre les simples curieux et les vrais intéressés, tant mieux puisqu’on n’est pas prêt à monter en charge… On va dire que notre monnaie se ‹ mérite › même si elle est ‹ gratuite › en terme d’UNL :slight_smile:

Pour les noeuds calculants, je trouve dommage et risqué de les ‹ choisir ›, l’idée d’un réseau éclaté et décentralisé me plaisait bien, la fameuse ‹ équité des calculants › serait alors abandonnée. N’est-ce pas un de nos arguments phares ?

2 Likes

Je trouve qu’en cas d’erreur de virement ou même perte de mot de passe, Cesium fourni déjà pas mal de solutions:

En cas de perte du mot de passe :

  • Récupération par questions secrètes
  • Fichier de révocation

Évidemment dans ce dernier cas, les Ğ1 sont perdus.
Sans parler de Ğsper qui est une solution de dernier espoir avant d’envisager la révocation.

Par contre ces solutions sont optionnelles, peut être rendre obligatoire l’une d’entre elles à la création du compte serait à envisager (ex: questions secrète pour compte portefeuille, fichier de révocation pour compte membre (en + des questions secrètes ?) à la demande d’adhésion (ou création si fait directement)).

En cas d’erreur de destinataire de virement

Messagerie intégrée à Cesium qui permet d’envoyer un message directement à la personne qui a reçu le virement par erreur, juste avec la clé publique (qui est consultable simplement en cliquant sur la transaction), pour lui demander de rembourser.

Ce qui est le mieux qui peut être proposé dans un système décentralisé et horizontal, car il n’y a pas de tiers de confiance, et donc comme dans toute organisation horizontale, c’est aux utilisateurs entre eux de s’organiser, de pair à pair :wink:

Là aussi d’un point de vue ergonomique, une réflexion pourrait être faite (par exemple, on pourrait imaginer que le clic sur une transaction n’affiche pas directement le compte destinataire, mais le détail de la transaction, et un bouton « Demander le remboursement au destinataire » au dessus du détail).

Concernant la perte de mots de passe il me semble qu’il est déjà obligatoire dans cesium de télécharger son document de révocation lors de la création d’un compte membre.

En revanche, je suis opposé a l’idée de rendre obligatoire les questions secrète, je n’ai jamais été favorable a cette idée qui peut constitué une faille de sécurité (on peut potentiellement trouver les réponses au questions par enquête sociale).
Ce qui est différent pour les crédentials car il doivent être générés aléatoirement (comme indiqué dans les recommandations de sécurité).
La possibilité de créer des questions secrète doit donc rester optionnelle, a la liberté de l’utilisateur :slight_smile:

Tu répond a un cas cité par moul qui correspond a une erreur de saisie dans la clé publique, et non pas a une erreur de destinataire, les Ğ1 en question sont donc arrivées sur un compte qui n’appartiens a personne.
Pour ce type de problème c’est un nouveau format d’adresse avec checksum intégrée qu’il faut mettre en place, @Tortue avait déjà proposé un format de checksum aux rml9 , ça pourrait d’ores et déjà être intégré dans Cesium. Mais pour que ce soit efficace il faudrais que se nouveau format (pubkey avec checksum) soit utilisé partout (cesium, silkaj, gchange, gannonce, pages web avec pubkey G1, etc).

Une autre solution (que je souhaite a long terme), serait de passer a un système d’adresses similaire a celui du bitcoin pour lequel la checksum serait intégrée de base dans l’adresse, il serait alors quasiment impossible de saisir une adresse “inexistante” (par quasiment j’entends encore moins probable que de gagner au loto plusieurs fois de suite).


@bpresles en revanche on s’éloigne ici du sujet de ce post. Il me semble que les 2 problématiques que tu expose ne font pas parties des arguments en faveur d’une fermeture de Cesium web.

L’argument principal étant le possible vol en masse de clés privées de membre pour s’en servir pour calculer tout les blocs et donc prendre le contrôle total de la blockchain (ce qui est possible aujourd’hui en volant une quinzaine de clés membres et en disposant d’une très grosse puissance de calcul).
Il faut bien comprendre qu’une tel attaque est d’autant plus dangereuse qu’il est très difficile de la voir venir, un membre lambda ne se rendra pas compte qu’il se met a trouver des blocs, le membre lambda n’a pas Duniter et ne regarde pas ces truc la.

L’argument secondaire étant le possible vol en masse de clés privées de membre pour s’en servir pour créer et certifier plein de faux comptes (attaque sybil), bien que ce scénario d’attaque est moins crédible car le membre lambda se rendra plus facilement compte qu’il émet des certifications qui ne sont pas de son fait, et donc le signalera ici et donc nous l’inviterons a révoquer son compte et pourrons réagir et enquêter, nous pourrons même exclure en dur les pubkey incriminés, c’est infiniment plus traçable, visible et lent que l’autre scénario d’attaque, c’est pour cette raison que je suis convaincu que se second scénario ne peu pas mettre en péril la Ğ1.

1 Like

Oui, nous sommes d’accord, concernant l’accès en lecture seul, j’y suis favorable, et c’est pourquoi j’avais déjà travaillé sur ce sujet (visible sur: https://cesium.presles.fr, qui est en lecture seul).

Pour le checksum, en quoi cela consisterait, j’ai dû mal à voir comment un checksum peut garantir qu’un compte existe… ?

13 messages ont été fusionnés à un sujet existant : Sécurisation des virements - Validation de la clef publique de destination

Attention je n’ai fait que rappeler les principaux arguments en faveur d’un accès en lecture seule de cesium web afin de recentrer le sujet.
Ma conclusion est différente, j’estime personnellement que plutôt que de passer cesium web en lecture seule il est préférable de limiter le droit de forger. Je vais proposer une nouvelle RFC de DUBP en ce sens dans les prochains jours (qui reprendra ma proposition formulée ici).

Toutefois, je ne m’opposerai pas a un passage en lecture seule temporaire de cesium web (le temps de modifier le protocole), même si je pense que c’est dommageable pour l’utilisateur final.

La solution proposée par Galuel sur le forum monnaie libre (extension Firefox et Chrome) me paraît intéressante. D’autant qu’ainsi les mises a jour sont automatiques.
On doit aussi pouvoir faire basculer sur l’extension automatiquement des liens (type g1:// - cc @1000i100).
A creuser donc.

6 Likes

Salut à tous !

Je suis en cours de développement, pour annoncer dans Cesium-web le passage en lecture seule. Voici un premier résultat de rendu :

  • Un clic sur l’article ouvre l’article d’origine;

  • J’ai en fait développé un mini-lecteur de JsonFeed, configurable via le fichier <root>/config.js, comme ceci :

angular.module("cesium.config", [])
.constant("csConfig", {
     // (...)
     "feed": {
	  "jsonFeed": {
             "fr-FR": "feed.json", // <-- URL du fichier JsonFeed, par locale
             "en": "feed.json"
           },
          "maxContentLength": 600  // <-- Limite du texte à afficher (pour affichage de "Lire la suite")
       },
       // (...)
  • Si vous ne renseignez aucune URL, le lecteur ne s’affiche pas.

J’attends vos remarques. :slight_smile:

5 Likes

Super boulot @kimamila :smiley:

Par contre, avant de livrer ça peut tu attendre qu’on prenne le temps de rebosser sur le texte ? Je n’avais pas fait gaffe a l’époque mais la formulation actuelle me semble vraiment dangereuse dans le sens ou elle pourrait faire croire de mauvaises choses a l’utilisateur final, j’en parle ici : https://forum.monnaie-libre.fr/t/fermeture-prochaine-de-cesium-web-1er-mai/9474/63

3 Likes

Je ne sais pas s’il est nécessaire d’autant se justifier. L’utilisateur de base se fiche du pourquoi, il veut juste savoir comment faire à présent. Ne serait-il pas plus simple de dire qu’à partir du 1er mai, le site passe en lecture seule et qu’il faut désormais forcément passer par l’appli téléchargeable sur cesium.app pour des raisons de sécurité ? De plus « FERMETURE DU SITE WEB CESIUM » me paraît faux, le site va toujours exister, il passe juste en lecture seule…

Oui, je suis d’accord. J’ai repris le texte du forum monnaie-libre.
Dès qu’il aura été corrigé je l’intégrerai dans le feed.json de Cesium.

Voici le résultat mis à jour avec la v1.5.4, visible sur g1-test.duniter.fr :

J’ai ajouté un autre article qui pointe vers https://cesium.app

1 Like

Il faudrait mettre a jour cesium.app pour ajouter la dispo navigateur :slight_smile:

Oui, je viens de demander à @anon88550267 et @poka de regarder ca.

On a commencé à bosser sur le texte avec @anon88550267 et @1000i100, on vous tiendra au courant quand on aura fini :slight_smile:

@anon88550267 nous rappelait qu’il serait judicieux de rediriger g1.duniter.fr vers cesium.app à partir du 1er mai. Pour des raisons de SEO notamment.
Aujourd’hui quand les gens tapent « cesium » dans leur moteur de recherche ils tombent sur g1.duniter.org alors qu’il devrait tomber sur cesium.app.

La nouvelle instance cesium-web officielle en lecture seule pourrait être demo.cesium.app afin que les utilisateurs voient bien qu’il s’agit d’une demo pour découvrir avant d’installer.

Avec un onglet « demo » sur le site cesium.app voir éventuellement sur la page d’accueil un lien « essayer en ligne »

1 Like

Bravo pour ce travail.

Concernant le terme démo, et l’url associé, je penses que cela dépasse le cadre du message aux utilisateurs. Je ne penses qu’il faille tour melanger.
Cesium ne sera pas un « démo » mais bien en mode « bridage » (lecture seule). Autrement dit les infos qu’ils verront dessus seront vrais. Je penses donc plutôt a une URL du type g1.cesium.app avec un panneau d’affichage « mode bridé : paiement et certification désactivée, etc. »

1 Like

Plutôt que “bridage” , “consultation” ou “simple lecture” serait peut-être plus sympa à dire!

Va y avoir du boulot d’éducation à faire parce l’extension firefox, ressemble beaucoup à un site internet! :upside_down_face:

2 Likes

@kimamila je vois que tu a taggé la 1.5.8 en stable, mais le texte affiché en actu n’est pas celui que nous avons rédiger avec 1000i100 et boris, comment faire pour que le bon texte soit affiché en 1ère page ?

Aussi je vois qu’il y a 2 actus affichés sur la page d’accueil, ce qui est un parasitage non souhaitable pour communiquer avec tous les utilisateurs finaux. Il me semble important de leur communiquer un seul message a la fois :slight_smile:

Oui, le 2ieme message était la pour indiquer où était le site.
Les actus sont dans le repo Cesium : doc/feed/feed-fr.json (sur master)

J’ai du taguer en release pour que mon script de de déploiement fasse l’envoi sur addons.mozilla.org . Pour une pre-release, l’extension n’est pas publiée, mais seulement signee. Bon en même temps je penses que le code est bien stable maintenant, donc la v1.5.8 est un bon candidat :slight_smile:

Je change le feed demain matin (la je suis sur mon tél)

2 Likes

2 messages ont été fusionnés à un sujet existant : [Cesium] Actions pour l’échéance du 1er mai (lecture seule)