Proposition d’arrêter le service Césium hébergé sur g1.duniter.fr

La coopération apporte de meilleurs résultats… Par activation de l’intelligence collective mélant les intelligences individuelles relatives (toutes utiles!). Mais ça ne marche pas à tous les coups… La structure du maillage informationnel est cruciale.

Bien qu’une intelligence colossale soit distribuée dans chacun des développeurs de la G1.
Un organe « facilitateur » manque encore à l’équation pour maximiser les résultats de l’action collective.
En fait axiom-team.fr y ressemble :wink:

Pour moi, la réponse à cette question serait de définir un workflow dev/prod, publier les codes officiels sur ipfs et définir un niveau de confiance à chaque gateway (en forçant l’hébergeur à signer le code par sa clef membre @kimamila @bpresles possible?).

Plutôt que d’arrêter le service g1.duniter.fr le possesseur du domaine devrait publier son identité et les caractéristiques de son hébergement. Pour proposer un « proof of hack resistance » officiel (avec prime en June)

Pourquoi ne pas mettre le service en load balancing pour 9 balles/mois? Avec un bandeau qui explique comment ce service est protégé.

Son coeur fonctionne et est robuste. Il est en fait trop lent… Mais cette lenteur est inhérente à la technologie blockchain avec POW (même relative). Ce type de techno ne sait vraiment gérer que des « contrats » à moyenne ou longue échéance. Pas des séries de transactions en rafale…

J’ai vraiment l’impression parfois d’être le seul à m’en rendre compte. Et à chercher un organisme à mettre autour du coeur pour encaisser la confrontation à la réallité.

En fait tout dépend de ce que l’on nomme « meilleur ». Il me semble que la concurrence est plus « efficace » plus « rapide » mais au prix de dommages collatéraux. La coopération est plus lente mais elle tire tout le monde vers le haut. Ce dilemme me semble être bien résumé par l’excellent proverbe : « Tout seul on vas plus vite, ensemble on vas plus loin. ».

Difficile a dire, ce qui est certain c’est que la concurrence fait toujours des perdants par définition, c’est peut-être utopique mais je préfère quand personne ne perd :slight_smile:


Quel équation ? Quelle action collective ? Il y a déjà une section privée dans ce forum ou les principaux contributeurs techniques discutent des points a discuter, et il y a déjà naturellement certains d’entre qui jouent le rôle de médiateur quand il y a des tensions :slight_smile:
On peut certes toujours mieux faire, mais je ne sais pas s’il est possible ni même souhaitable de mettre en place un « organe facilitateur » entre les contributeurs techniques de l’éco-système Duniter/Ğ1.
Dison qu’il nous faudrait une proposition précise, et la on pourrait décider de l’expérimentée ou pas. Mais un « organe facilitateur » ce n’est pas très précis :sweat_smile:

A quelle question précisément ? Chaque projet logiciel a déjà son workflow souvent très précis et détaillé, parfois moins, mais chaque leader de logiciel est bien libre de définir son workflow comme il l’entend, on peut tout au plus le conseiller, ce que @Moul fait déjà très bien avec son expérience en qualité logicielle.
Mais il me semble qu’on est déjà très bon coté workflow, notamment avec tout ce qui est automatisation Ci/CD, build reproductibles, signature des artifact (quelques projets ont encore a progresser sur ce derneir point mais c’est en bonne voie).
On ne peut pas en dire autant de G1sms, donc stp avant de donner des conseils a la terrre entière balaie un peu devant ta porte :wink:

Pourquoi faire ?

Tout dépend de ce que l’on appelle robuste, mais ce que sous-entend Moul c’est qu’il y a un travail colossal a réaliser coté cœur, notamment de nombreux changement de protocole qui vont s’étaler sur plusieurs années, pour permettre justement au cœur Duniter puis futurement Dunitrust d’être bien plus rapide. C’est relativement lent pour l’instant mais pas du tout pour les raisons que tu pense.

Mettre quoi en load balancing ? Cesium, ça ne sert a rien tout se passe déjà dans le navigateur de l’utilisateur. Duniter ? Le réseau est déjà décentralisé il suffit de changer de noeud.

Lol non, on reconnaît bien là que tu n’est que bidouilleur et pas dev,

Non c’est faux. Il suffit d’aller voir le TPS d’autres crypto blockcahin sur PoW pour s’en convaincre, je suis d’accord que la blockchain n’est pas faite pour les paiement instantanés, mais aujourd’hui ça peut prendre plus d’1h pour qu’une transaction soit validée quand il y a beaucoup de trafic (vécu aux RML), alors qu’a terme (avec les améliorations de protocole et du cœur), on peut descendre a quelques minutes maxi (grâce notamment a un temps plus court entre 2 blocs mais pas que).

Et bien tu a tord d’avoir cette impression. Des milliers d’ingénieurs ont vu ce problème venir bien avant toi ou moi et ont trouvés une solution après de nombreuses années de recherche, les Lightning Network :

Ils permettent des paiement instantanés (moins de 5 secondes si connexion internet fiable), garanties par la blockchain, et complètement trustless (pas de tiers de confiance).

Pour désengorger le réseau Duniter (qui n’est engorgé que lors de RML ou autre très gros event Ğ1), ils conviens par ordre de priorité de :

  • Optimiser le protocole DUBP (réduction du temps moyen entre 2 blocs notamment)
  • Optimiser l’implémentation (projet Dunitrust)
  • Créer un client LN et un module LN pour Dunitrust.

Tout ces points concernent directement Duniter/Ğ1 car ils interviennent sur le cœur ou sont trustless. Les projets tiers (qui ne sont pas trustless), sont hors-sujet ici. C’est pourquoi on a demandé a kimamila de créer son propre forum pour gchange, et de ne pas parler de sa place de marché gchange ici.

De la même façon G1sms est un projet tiers qui n’a pas sa place sur ce forum.

2 Likes

Faire muter le Web. Pourquoi?
Parce que Internet est en train de se chiffrer.
Et ce protocole de stockage résout tout un tas de problèmes qui nécessitaient l’existence des datacenter. Le stockage p2p est économiquement, structurellement, supérieur, il l’emportera.
Ce serait bien que la G1 soit dans ce nouvel univers.

Cher @moul, vraiment la critique n’est pas en soi le problème. Le constat sur les instances web a été fait et j’étais d’accord avec.
Non, le problème est que tu es d’avantage dans le jugement des personnes, en semant le doute sur leur bonne volonté. De qui peux tu, toi, être le juge ? Je n’aime cette façon de faire, qui insinu le doute et qui divise.

Comme tu l’as rappellé, les mauvaises habitudes ont été prises dès le début, et je dirai même des le début des monnaies de tests. J’ai été frappé que Cesium soit utilisé des les RML7, dans une présentation de cgeek, alors que pour moi rien n’étais prêt. Et les gens se sont tous mis a l’utiliser… En version web, car la version desktop n’existait pas.
Je ne fais pas le distinguo d’ailleurs entre la version Android et le version web, en terme de sécurité. Et je trouve idiot de conseiller les gens d’utiliser la version Android, dans votre article sur l’autre forum. Enfin passons.

En revanche, je trouve intéressant la proposition d’@elois d’avoir des membres forgerons. Cela me semble plus malin, ambitieux et raisonnable.
Plus constructif aussi.

Foncer trop vite dans des solutions simplistes (et puristes) me semble en dehors de la réalité des besoins des humains lambda.

Rien ne t’empêche de faire une monnaie qui soit avec une « base solide » de geek. Mais je te dis que tu n’es pas prêt de manger des papates avec ! Je préfères de loin une monnaie à visage humain, moins parfaite, qui n’exclut personne en terme de technologie, qui fait des erreurs et cherche à n’oublier personne.
Je sais bien que cette approche est moins sécuritaire, car on fait entrer des néophytes, mais relever ce défi me semble intéressant, et surtout possible. La proposition d’elois en témoigne.
Pourquoi n’as tu pas mis ton zèle a l’y aider, d’ailleurs ?? Vraiment, je ne comprends pas.

Il n’y a pas lieu de se précipiter, avec une date au 1er mars. J’ai repoussé au 1er mai.
La précipitation me rappeller les déboires de la v1.7 de Duniter, ou j’avais bien dit qu’il y aurait un soucis avec l’absences de l’indexation des TX. Ça n’a pas loupé.

Tu défends un point de vu et c’est louable. Merci de te rappeler quand même que ta parole n’est pas parole d’évangile, en tous cas pas pour moi.
Ce n’est pas parce-que les autres crypto font ainsi ou je ne sais quoi qu’on doit faire de même, et adopter les même approches sécuritaires. N’oublions pas que leur logique est eux est speculative. Une monnaie qui s’obtient plus facilement se partage aussi plus facilement, et les attaques s’en trouvent moins intéressante. O. Le voit dans les Geconomicus. La force est également dans la communauté de la G1, et pas seulement dans la technologie (peu souple par définition, alors que les humains peuvent l’être d’avantage).
Franchement, si toi ou moi perdons toutes nos G1 demain, est-ce que ce serait si grave ??
Pas pour moi. Comme tu l’as dit, c’est du long terme, de l’expérimentation. Alors arrêtons de tout prendre avec gravité et condescendance.

Take it easy, man. Et marche a l’ombre ! :slight_smile:

6 Likes

Je ne suis pas « d’accord » avec tout les points soulevés par @kimamila mais je pense qu’il est possible de trouver un juste équilibre entre sécurité et accessibilité :slight_smile:

Je ne souhaite pas que l’on ouvre la Ğ1 a l’homme de la rue maintenant, je sais bien que nous sommes loin d’y être prêt, mais je ne souhaite pas non plus que l’on tombe dans l’autre extrême (interdire tout acte en Ğ1 par instance web est extrême).

Je pense que comme pour beaucoup de choses dans la vie, il conviens de chercher la voie du milieu, de faire les bon compromis, et j’essaye de faire des propositions en ce sens :slight_smile:

2 Likes

Pour ma part, prêcher la fermeture du site aura eu le mérite de nous faire cogiter à plusieurs solutions pour sécuriser notre monnaie.

D’ailleurs, pour moi, si fermeture en lecture seule il y a, j’espère qu’elle sera temporaire en attendant de renforcer la sécurité ailleurs.

L’idée d’accueillir avec la création d’un compte portefeuille est une excellente idée @kimamila , la conversion en compte membre étant moins accessible, dans le menu sécurité. Bravo !

Cela suffira à mon avis à canaliser l’arrivée massive des GJ.

Pour la suite, la mise en place des comptes forgerons est à mon avis une priorité, mais il faudrait faire une petite simulation en python (@tuxmain ça te tente ?) pour voir si une seconde toile implicite ne pauserai pas de problèmes avec un effondrement des membres calculants.

N’hésitez pas à vous exprimer sur le sondage, il est anonyme pour éviter des rancœurs.

2 Likes

Un témoignage à propos de l’utilisation de Linux : compte tenu de nos compétences en informatique, ma compagne et moi-même sommes indubitablement plus proche de « l’homme de la rue » que des spécialistes de ce système d’exploitation. Cela ne m’a pas empêché de lui installer Linux Mint (en dual-boot avec Win10 tout de même…) et après quelques jours d’utilisation, elle ne se sert quasiment plus de windows ! Alors ce soir, je lui ai installé Césium desktop, le téléchargement du paquet Debian s’est passé sans problème, ainsi que son installation, avec deux paquets additionnels à ajouter pour satisfaire les dépendances. Le seul truc, c’est que pour lancer Césium, il faut taper « cesium » en ligne de commande (peut-être est-il possible de créer un lanceur, je ne me suis pas penché aujourd’hui sur la question…), mais bon, ça ne la trouble pas plus que ça, ouvrir un terminal, écrire « césium » et appuyer sur « entrée » a un côté ludique, on se sent tout à coup plus familier avec le système ! En résumé, ce petit mot se voudrait rassurant pour tous ceux qui sont sous linux et s’inquiètent de l’abandon annoncé de césium-web :slightly_smiling_face:

2 Likes

Merci pour le message et pour la bienveillance.

Il est vrai que je trouve pas responsable de laisser une faille de sécurité ouverte le temps de trouver une solution plus sécurisée. Je vois les choses de cette manière : on colmate la faille, on trouve une solution, un compromis plus sécurisé pour les apps web, on la déploie.

Tu veux pas perturber les utilisateurs de la version web en ayant la solution sécurisée tout en ayant la faille ouverte, puis faire la migration, pourquoi pas. Mais, tu n’as pas signé de contrat envers eux. Tu ne leur dois rien, c’est écrit dans la licence apposée à Césium.

L’implémentation d’un changement de protocole demande une bonne réflexion et prend de fait pas mal de temps à mettre en place. Sinon, la mise en place d’un Césium en lecture seule est une solution plutôt simple à mettre en place, mais ça ne semble pas encore prioritaire à ce que j’ai pu voir des derniers développements. Sinon, ce serait déjà déployé, non ?

Je suis pas tout à fait d’accord avec l’exécution de Césium sur OS non libre. Ça me semble moins risqué. Il resterait que les navigateurs libres sur OS libre pour assurer la sécurité. Même Chrome sur OS libre serait questionnable. Si les OS suivants étaient exclus : Android, Windows, macOS, iOS, ça exclurait beaucoup de monde.

Je vois pas de rapport du fait que les autres cryptos utilisent différemment leurs unités, pour justifier la non sécurité. La Ğ1 peux prendre autant de valeur que les autres cryptos. Ce que tu dis justifie surement le côté de faire entrer les néophytes. Il n’y a pas de raisonnement valable pour justifier la sécurité ni l’accessibilité aux néophytes.

Pour moi, oui, ces Ğ1 ont une valeur. Le sujet de ce post est plus large que la perte d’unités.

En tant que simple utilisateur (engagé certes) je voudrais vous rassurer :

À partir du moment où les règles sont clairement exprimées, rien n’est impossible ou inacceptable. S’il faut installer cesium ‹ en dur › et que c’est clairement dit, avec un tuto indiquant comment faire, la majorité des utilisateurs ronchonnera parce qu’on change ses habitudes, mais le fera quand même au final. Si l’instance web ne sert plus que de miroir, c’est pareil, à partir du moment ou c’est clairement énoncé comme étant une règle pour la sécurité de tous ça finira par être accepté, et mieux : cela donne conscience de la vulnérabilité du web que la plupart des gens ignore totalement. Et cela fera venir des gens au Libre, aussi, double effet kisscool.

Par contre il faut expliquer dans un langage compris de tous le protocole minimum à suivre, c’est ça la clé, faut pas que ça fasse trop peur en termes techniques. Si c’est trois lignes de code à copier/coller, franchement c’est pas un souci.

Au pire, le strict minimum d’efforts à faire fera le tri entre les simples curieux et les vrais intéressés, tant mieux puisqu’on n’est pas prêt à monter en charge… On va dire que notre monnaie se ‹ mérite › même si elle est ‹ gratuite › en terme d’UNL :slight_smile:

Pour les noeuds calculants, je trouve dommage et risqué de les ‹ choisir ›, l’idée d’un réseau éclaté et décentralisé me plaisait bien, la fameuse ‹ équité des calculants › serait alors abandonnée. N’est-ce pas un de nos arguments phares ?

2 Likes

Je trouve qu’en cas d’erreur de virement ou même perte de mot de passe, Cesium fourni déjà pas mal de solutions:

En cas de perte du mot de passe :

  • Récupération par questions secrètes
  • Fichier de révocation

Évidemment dans ce dernier cas, les Ğ1 sont perdus.
Sans parler de Ğsper qui est une solution de dernier espoir avant d’envisager la révocation.

Par contre ces solutions sont optionnelles, peut être rendre obligatoire l’une d’entre elles à la création du compte serait à envisager (ex: questions secrète pour compte portefeuille, fichier de révocation pour compte membre (en + des questions secrètes ?) à la demande d’adhésion (ou création si fait directement)).

En cas d’erreur de destinataire de virement

Messagerie intégrée à Cesium qui permet d’envoyer un message directement à la personne qui a reçu le virement par erreur, juste avec la clé publique (qui est consultable simplement en cliquant sur la transaction), pour lui demander de rembourser.

Ce qui est le mieux qui peut être proposé dans un système décentralisé et horizontal, car il n’y a pas de tiers de confiance, et donc comme dans toute organisation horizontale, c’est aux utilisateurs entre eux de s’organiser, de pair à pair :wink:

Là aussi d’un point de vue ergonomique, une réflexion pourrait être faite (par exemple, on pourrait imaginer que le clic sur une transaction n’affiche pas directement le compte destinataire, mais le détail de la transaction, et un bouton « Demander le remboursement au destinataire » au dessus du détail).

Concernant la perte de mots de passe il me semble qu’il est déjà obligatoire dans cesium de télécharger son document de révocation lors de la création d’un compte membre.

En revanche, je suis opposé a l’idée de rendre obligatoire les questions secrète, je n’ai jamais été favorable a cette idée qui peut constitué une faille de sécurité (on peut potentiellement trouver les réponses au questions par enquête sociale).
Ce qui est différent pour les crédentials car il doivent être générés aléatoirement (comme indiqué dans les recommandations de sécurité).
La possibilité de créer des questions secrète doit donc rester optionnelle, a la liberté de l’utilisateur :slight_smile:

Tu répond a un cas cité par moul qui correspond a une erreur de saisie dans la clé publique, et non pas a une erreur de destinataire, les Ğ1 en question sont donc arrivées sur un compte qui n’appartiens a personne.
Pour ce type de problème c’est un nouveau format d’adresse avec checksum intégrée qu’il faut mettre en place, @Tortue avait déjà proposé un format de checksum aux rml9 , ça pourrait d’ores et déjà être intégré dans Cesium. Mais pour que ce soit efficace il faudrais que se nouveau format (pubkey avec checksum) soit utilisé partout (cesium, silkaj, gchange, gannonce, pages web avec pubkey G1, etc).

Une autre solution (que je souhaite a long terme), serait de passer a un système d’adresses similaire a celui du bitcoin pour lequel la checksum serait intégrée de base dans l’adresse, il serait alors quasiment impossible de saisir une adresse « inexistante » (par quasiment j’entends encore moins probable que de gagner au loto plusieurs fois de suite).


@bpresles en revanche on s’éloigne ici du sujet de ce post. Il me semble que les 2 problématiques que tu expose ne font pas parties des arguments en faveur d’une fermeture de Cesium web.

L’argument principal étant le possible vol en masse de clés privées de membre pour s’en servir pour calculer tout les blocs et donc prendre le contrôle total de la blockchain (ce qui est possible aujourd’hui en volant une quinzaine de clés membres et en disposant d’une très grosse puissance de calcul).
Il faut bien comprendre qu’une tel attaque est d’autant plus dangereuse qu’il est très difficile de la voir venir, un membre lambda ne se rendra pas compte qu’il se met a trouver des blocs, le membre lambda n’a pas Duniter et ne regarde pas ces truc la.

L’argument secondaire étant le possible vol en masse de clés privées de membre pour s’en servir pour créer et certifier plein de faux comptes (attaque sybil), bien que ce scénario d’attaque est moins crédible car le membre lambda se rendra plus facilement compte qu’il émet des certifications qui ne sont pas de son fait, et donc le signalera ici et donc nous l’inviterons a révoquer son compte et pourrons réagir et enquêter, nous pourrons même exclure en dur les pubkey incriminés, c’est infiniment plus traçable, visible et lent que l’autre scénario d’attaque, c’est pour cette raison que je suis convaincu que se second scénario ne peu pas mettre en péril la Ğ1.

1 Like

Oui, nous sommes d’accord, concernant l’accès en lecture seul, j’y suis favorable, et c’est pourquoi j’avais déjà travaillé sur ce sujet (visible sur: https://cesium.presles.fr, qui est en lecture seul).

Pour le checksum, en quoi cela consisterait, j’ai dû mal à voir comment un checksum peut garantir qu’un compte existe… ?

13 messages ont été fusionnés à un sujet existant : Sécurisation des virements - Validation de la clef publique de destination

Attention je n’ai fait que rappeler les principaux arguments en faveur d’un accès en lecture seule de cesium web afin de recentrer le sujet.
Ma conclusion est différente, j’estime personnellement que plutôt que de passer cesium web en lecture seule il est préférable de limiter le droit de forger. Je vais proposer une nouvelle RFC de DUBP en ce sens dans les prochains jours (qui reprendra ma proposition formulée ici).

Toutefois, je ne m’opposerai pas a un passage en lecture seule temporaire de cesium web (le temps de modifier le protocole), même si je pense que c’est dommageable pour l’utilisateur final.

La solution proposée par Galuel sur le forum monnaie libre (extension Firefox et Chrome) me paraît intéressante. D’autant qu’ainsi les mises a jour sont automatiques.
On doit aussi pouvoir faire basculer sur l’extension automatiquement des liens (type g1:// - cc @1000i100).
A creuser donc.

6 Likes

Salut à tous !

Je suis en cours de développement, pour annoncer dans Cesium-web le passage en lecture seule. Voici un premier résultat de rendu :

  • Un clic sur l’article ouvre l’article d’origine;

  • J’ai en fait développé un mini-lecteur de JsonFeed, configurable via le fichier <root>/config.js, comme ceci :

angular.module("cesium.config", [])
.constant("csConfig", {
     // (...)
     "feed": {
	  "jsonFeed": {
             "fr-FR": "feed.json", // <-- URL du fichier JsonFeed, par locale
             "en": "feed.json"
           },
          "maxContentLength": 600  // <-- Limite du texte à afficher (pour affichage de "Lire la suite")
       },
       // (...)
  • Si vous ne renseignez aucune URL, le lecteur ne s’affiche pas.

J’attends vos remarques. :slight_smile:

5 Likes

Super boulot @kimamila :smiley:

Par contre, avant de livrer ça peut tu attendre qu’on prenne le temps de rebosser sur le texte ? Je n’avais pas fait gaffe a l’époque mais la formulation actuelle me semble vraiment dangereuse dans le sens ou elle pourrait faire croire de mauvaises choses a l’utilisateur final, j’en parle ici : https://forum.monnaie-libre.fr/t/fermeture-prochaine-de-cesium-web-1er-mai/9474/63

3 Likes

Je ne sais pas s’il est nécessaire d’autant se justifier. L’utilisateur de base se fiche du pourquoi, il veut juste savoir comment faire à présent. Ne serait-il pas plus simple de dire qu’à partir du 1er mai, le site passe en lecture seule et qu’il faut désormais forcément passer par l’appli téléchargeable sur cesium.app pour des raisons de sécurité ? De plus « FERMETURE DU SITE WEB CESIUM » me paraît faux, le site va toujours exister, il passe juste en lecture seule…

Oui, je suis d’accord. J’ai repris le texte du forum monnaie-libre.
Dès qu’il aura été corrigé je l’intégrerai dans le feed.json de Cesium.

Voici le résultat mis à jour avec la v1.5.4, visible sur g1-test.duniter.fr :

J’ai ajouté un autre article qui pointe vers https://cesium.app

1 Like