Proposition d’arrêter le service Césium hébergé sur g1.duniter.fr

Clients Cesium
,
77

Ouai, comme Python 2 :wink:

78

Bonjour à tous,

Je voudrais ajouter mon grain de seul à la discussion.

Les personnes non-techniciennes ont déjà beaucoup de mal à appréhender la monnaie libre et son implémentation ( blockchain, toile de confiance, clients, … ). Il faut vraiment porter une attention particulière à ce que les choses restent simples, autant que possible. On voit le nombre de personnes qui se découragent/démotivent. Je pense qu’il faut éviter de rajouter trop de complexité.

Empêcher les gens d’héberger des instances de Césium me semble ingérable… Surtout que tout a été fait jusqu’ici pour faciliter l’hébergement (avec Yunohost, notamment). La solution d’installer un Césium en « lecture seule » est une piste qui me semble intéressante, à condition d’ajouter aussi un bandeau clair qui redirige vers https://cesium.app .

Je voudrais discuter d’un autre point également. Personne ne peut imposer des choix techniques aux développeurs. Mais, parce qu’il y a un mais, les développeurs ont une responsabilité par rapport aux utilisateurs. C’est donc important d’en tenir compte.

Si « le groupe de dev » décide qu’il faut supprimer les instances Césium, il faut que tous les « non-développeurs » qui organisent des réunions, partagent autour de la Monnaie Libre, etc… puissent être au courant. Sur deux ans de rencontres, nous avons montré Césium à chaque fois. Depuis quelques mois, j’encourage les gens à installer Césium sur leur ordinateur mais il faut qu’on puisse avoir quelque chose de clair à partager en réunion.

Merci pour tout le travail effectué sur les outils qui font vivre la monnaie libre. Mais n’oubliez pas les utilisateurs et leurs limites en terme de compétences techniques. Essayons que l’utilisation de la Ğ1 soit la plus simple possible. (Sans forcément sacrifier la sécurité, nous sommes d’accords!)

2 Likes
79

Césium devrait être configurable sur le fait de pouvoir ou non s’authentifier.
Du coup, ça resterait possible d’avoir un Césium sur YunoHost en usage privé caché derrière le SSO qui permette l’authentification.

3 Likes
80

Jusqu’ici, on a toujours communiqué sur les gros changements impactant les utilisateurs il me semble.
Mais tu as raison de le demander, que personne ici ne l’oublie !

Il faut évidemment une période de un ou deux mois pour afficher un message avertissant de la disparition d’une fonctionnalité bien pratique, mais dangereuse pour l’utilisateur et tout le réseau avec lui.

En demandant de retirer les instances web, certains développeurs expriment un souhait, sachant qu’ils ne peuvent (et ne veulent) forcer personne. Mais les arguments de sécurité sont imparables.

Le fait que les contributeurs de Cesium modifient le logiciel pour avoir une version en lecture seule est le résultat de ce débat. Merci à eux pour leur réactivité et leur écoute.

3 Likes
81

s’il vous plait, pensez aux personnes non à l’aise avec l’informatique,

n’oubliez pas de faire un topo bien clair sur le forum.monnaie-libre.fr, afin que nous comprenions ce que nous allons devoir faire pour utiliser cesium

amitiés

2 Likes
82

Oui. Et il faudrait que ce tuto soit :

  • prêt avant que le message sur Cesium-web soit publié. (1er janvier donc)
  • publié également sur Cesium.app pour que Cesium y fasse un lien direct.

J’ouvre donc un pad. On peut rédiger collaborativement le message qui sera posté sur le forum et/ou sur cesium.app. Ce message aurait pour but de :

  • expliquer les tenants et aboutissants de la désactivation de la connection via cesium-web.
  • expliquer (dans des balises details) les installations pour les différents OS. Si une version .zip est dispo (ce qui me semble incohérent, mais on ne sait jamais), j’ajouterais bien « installer Cesium sur clef USB pour toute plateforme ».
  • ce message contiendrait des captures d’écran, nécessaires à de nombreux êtres humains qui utilisent une interface graphique.

https://pad.p2p.legal/jgW3rju8Tf-J6aUx57BQaQ#

à vos claviers :wink: !

edit - je suis en train de rédiger l’article, et j’ai une question aux experts blockchain : en cas d’attaque 51% (oui je sais c’est plus compliqué sur Duniter), les attaquants peuvent-ils dépenser des sources donc ils ne possèdent pas les clefs privées/conditions de déverrouillage ?

Pour moi, en cas d’attaque 51%, les attaquants peuvent :

  • valider des blocs avec des doubles dépenses

  • valider uniquement des blocs vides, interdisant l’enregistrement de transactions en BC.

  • Dans le cas de Duniter, peuvent-ils valider des blocs contenant un DU à des intervalles fantaisistes (soit empêcher la création du DU, soit créer 24DU/jour) ? Peuvent-ils modifier la valeur du DU ?

… autre chose ?

5 Likes
83

En fait non, en cas d’attaque de ce type l’attaquant reste obligé de respecter le protocole, s’il ne le fait pas, les nœuds qu’il contrôle vont forker avec les nœuds légitimes, et le réseau se divisera donc en 2 monnaies, la monnaie de l’attaquant et la monnaie légitime. Donc cette attaque n’a pas d’intérets, a par perturber temporairement le réseau le temps que la séparation soit actée dans le code.

En revanche, un attaquant qui respecterai parfaitement le protocole peut quand même nuire a la monnaie:

  • Forger uniquement des blocs vides, interdisant l’enregistrement de transactions en BC.
  • Forger des blocs dont le time n’avance pas pour cesser la création du DU.
  • etc

Toujours est il que l’on finirai forcément par se rendre compte de quel sont les clés corrompues et qu’on peut les exclure en dur dans le code d’une nouvelle version. On peut même réécrire l’histoire des X derniers blocs, si la majorité des nœuds légitimes sont d’accord pour cela c’est bon.

2 Likes
84

OK, une attaque 51% permet de réécrire l’historique récent de la blockchain, donc éventuellement d’envoyer deux fois les mêmes sources, parce qu’on a effacé la dépense précédente.

source : https://blog.goodaudience.com/what-is-a-51-attack-or-double-spend-attack-aa108db63474

J’avais compris que le « double spend », c’est dépenser deux fois les mêmes sources, sur la même chaîne de blocs. Mais je m’étais méprenu :slight_smile:

Merci !

1 Like
85

Du coup c’est bien avancé, « plus que » les captures d’écran à faire. Pouvez-vous relire ?
https://pad.p2p.legal/jgW3rju8Tf-J6aUx57BQaQ?both

J’ai besoin d’aide / je ne pourrai pas le faire pour :

  • Android
  • Mac (si ça existe/c’est prévu)
  • IOs

Quelqu’un.e peut-iel le faire ?

4 Likes
86

J’ai modifié 1er mars 2020

1 Like
87

J’ai fait une relecture et « quelques aménagements » … J’espère que ça vous plaira
Pour le planning, le message va être mis en ligne au 1er janvier et simplement acté au 1er mars? ou j’ai mal compris ?
Est-ce que ce n’est pas trop long comme période de transition?
@matograine : toujours dispo pour d’autres relectures (merci pour toute cette base de travail effectuée)
pour la version Android (play store), il y a juste à cliquer sur le bouton d’install ?
est-il prévu de mettre cesium-app dans FDroid aussi (je n’utilise pas le Pstore)? sinon je vais tester la version hors-store …

88

Cesium mixe plusieurs usages:

  • Gestion du Compte Membre
  • Gestion, consultation des Portefeuilles
  • Monitoring technique WOT / Ḡ1

Et même s’il donne un accès satisfaisant à tout, il peut être déconcertant dans son usage…
Ainsi, une partie de nos interactions nécessitent notre clef privée, une autre notre clef publique.

Par exemple, pour mon usage de Cesium, je voudrai pouvoir le configurer avec toutes les clefs privées (authfile) de mon compte membre et de mes portefeuilles pour y opérer des mouvements ponctuels ou récurrents.
Dans ce cas, il vaut mieux que ces clefs soit dans un trousseau sur mon système, protégées par un seul mot de passe, pour ne pas rentre cette interaction à mes comptes laborieuse.

Ensuite, la partie exploration de la June, me semblerait mieux rattachée à gchange au travers d’un de mes portefeuilles. Dans ce cas la partie messagerie devrait être indépendante de nos clefs privées (ou celle d’un de nos portefeuilles qui verrait les messages transversalement)… Où les interactions par email, sms, rencontres, échanges, rdv sont facilités! Dans le genre, G1 réseau social, servi au travers d’un navigateur…

3 Likes
89

C’est vrai que la messagerie dans césium, me semble superflue, surtout qu’on n’est jamais sur que le destinataire utilise césium (même des infos renseignées ne veulent pas dire que la personne utilise encore ce service), et donc recevra le message.
Envoyé un message sur césium c’est un peu une bouteille à la mer, qui arrivera peut-être à destination, mais qui tout autant de chance de se perdre dans la mer. Et çà je crois que l’utilisateur de base ne s’en doute pas vraiment.
Cette messagerie me semble en effet plus à sa place dans ğchange.

Dans Césium, ce serait bien de pouvoir distinguer par une couleur de fond différentes les infos Duniter et les infos césium. A voir peut-être dans une prochaine évolution.

2 Likes
90

Je ne suis pas d’accord. La messagerie de césium fonctionne très bien. De plus, elle est cryptée. Je m’en sers relativement souvent et je suis toujours notifiée.

C’est un très bon complément à la messagerie du forum, qui elle ne fonctionne pas toujours très bien.

Que veux-tu dire par là ?

91

Pas si tu active dans Mon Compte/Services en ligne/Ajouter un service la notification par email.

Très bonne idée ! Je plussoie.

Ben non, si elle était cryptée, tu devrais passer des heures à la décrypter (trouver la clef). Elle est chiffrée avec les clefs du trousseau Duniter par contre, ainsi, seul le destinataire peut lire le message.

1 Like
92

OUI, mais beaucoup de personne ne l’utilisent pas, envoyer un message à ce genre de personne c’est un message qui sera perdu. Cela peut être piégeant pour les gens qui ne le savent pas.

93

Exact. merci d’avoir rectifié :wink:

94

En fait il faut que le destinataire est activé cette notification, et çà l’émetteur ne peut pas le savoir.
C’est pour cela qu’on ne sais pas forcement si le destinataire va même être au courrant qu’il a un message, si ça trouve il n’utilise plus césium.

95

Pas tout a fait. Si le compte n’a pas de profile alors un message t’indiquera que le message ne sera pas reçu.
J’ai proposé d’ajouter également au profile une indicateur pour signifier “j’accepte ou non les messages”. Suivant l’indicateur, le bouton de message serait masqué

3 Likes
96

Bon, j’ai passé l’article sous Git pour :

  • bloquer les plainsantins dont j’ai dû effacer les traces sur le pad
  • regrouper les éléments graphiques (captures d’écran)

Je vais utiliser le temps d’ici au 31/12 pour :

  • faire les captures d’écran manquantes
  • rédiger le tuto « avec le Play Store ».

J’ai besoin que quelqu’un.e se charge des tutos pour OS apple. Coucou @bpresles @ji_emme (pas sûr pour JM) ? Si le passage par Git vous soûle, envoyez-moi les infos par MP, ça me suffira.

et je mets @anon88550267, @bpresles @kimamila comme developpers sur le repo git.

2 Likes