Cesium : évolution de l'avertissement avant certification

à contrario, comment vous rendrez vous compte que ces personnes, avec qui vous avez des échanges à distance, on créé d’autres comptes que celui qu’ils ou elles vous ont présentés et les ont fait certifier avec d’autres personnes qui ne comprennent elles non plus la nécessité de connaître physiquement la personne que l’on certifie?

2 « J'aime »

Même en connaissant les personnes physiquement rien ne leur empêche de créer d’autres comptes membres et que tu n’en saches rien…

2 « J'aime »

certifier quelqu’un que vous ne connaissez pas véritablement est possible à la condition que cette personne soit reconnue par une personne que vous connaissez bien (sans obligation que cette dernière soit membre).
Un « pont » de connaissance peut permettre de certifier à distance.
à defaut de "pont de connaissance ", il ne faudrait pas certifier .

3 « J'aime »

Pour le point 3, je ne pense pas qu’avoir rencontré physiquement la personne soit une garantie quelconque, même si personnellement je trouve cela préférable.

« La personne possède-t-elle une autre identité membre active ? » : Posée de cette manière, on a l’impression qu’il faut s’assurer que la personne que l’on veut certifier possède bien une autre identité membre active. Je formulerai plutôt de cette manière : « Vous-êtes vous assuré que la personne ne possède aucune autre identité membre active ? »

Pour ma part, je ne suis pas certaine que rajouter ce questionnaire soit vraiment pertinent pour améliorer la sécurité.
En ce qui me concerne, avant de certifier, je demande toujours si la personne a bien téléchargé son dossier de révocation, et si elle a bien des identifiants d’environ 40 caractères. Et bien souvent ce n’est pas le cas. La plupart des personnes se contentent d’identifiants faciles, pour ne pas les oublier. Quand au dossier de révocation, ils ne savent même pas qu’il existe, ni à quoi il sert.

Alors peut-être serait-il plus judicieux de faire en sorte que pour créer un compte membre, il soit obligatoire d’avoir créé un compte simple portefeuille, et que ces derniers ne puissent pas être transformé en compte membre. Ainsi, les gens ont la possibilité de se familiariser avec le fonctionnement de Cesium et de la ML, avant de s’engager.

De même en ce qui concerne la sécurité des identifiants, je l’explique de cette manière : « - La ML est toute jeune, et les développeurs sont peu nombreux. Les développeurs ont besoin de temps pour assurer la sécurité de ML, et ce temps nous pouvons le leur donner, en sécurisant nos comptes membres. Nous avons tous un rôle à jouer dans l’avancement de cette ML, eux en développant les programmes et logiciels, nous en leur donnant le temps de le faire par nos actions responsables »

Peut-être pourrait-on ajouter une phrase qui résumerait cette idée, lors de la création des identifiants des comptes membres. Mais cela suppose que les simples portefeuilles ne puissent pas être transformés en compte membre.

Je n’ai pas le temps de développer plus mes idées, mais n’hésite pas à m’appeler si tu veux qu’on en discute.

4 « J'aime »

Il me semble que le but soit que les réponses ne soit pas toutes « oui », dans le but d’éviter le cochage sans lire les questions.

4 « J'aime »

Très bonne initiative ce quizz ! Go go go ! :+1:

J’ai un problème avec cette fenêtre. Je suis pour avoir un maximum d’avertissements, mais le message de cette fenêtre s’adresse surtout au certifié, plus qu’au certificateur. Le certificateur connaît déjà ces informations normalement, bien plus que le certifié.
Donc, bon message, mais pas la bonne cible.

Il faudrait plutôt l’afficher quand on crée un compte membre ou qu’on convertit un simple portefeuille en compte membre. Mais je crois que c’est déjà le cas.

4 « J'aime »

10 messages ont été scindés en un nouveau sujet : Réflexions sur la certification

Si, si… une garantie non, mais cela augmente fortement la sécurité de tout le réseau.

… Mais si tu rencontre les gens, cela a comme conséquence :

  • d’augmenter fortement le coût d’une attaque (il faut se déplacer)
  • d’augmenter la probabilité que l’attaque soit découverte (possibilité de croiser les mêmes personnes)
  • d’empêcher totalement les deepfakes (on sait truquer des visages sur vidéo en direct et de la voix en direct pour usurper une identité, oui oui oui.)

Le point 4 (et donc 4b) demande de faire attention à vérifier que la personne qui dit maîtriser la clef publique est bien la personne que l’on connaît. Ce n’est pas du tout une autorisation à certifier des gens qu’on connaîtrait uniquement par Internet et sans « pont relationnel », donc mal. (merci @Mateo pour l’expression)


Pas nécessairement. Je fais référence à cette partie de la licence :

Vérifiez que le futur certifié maîtrise bien son compte : un bon moyen de vérifier cela est de transférer quelques Ğ1 vers le compte cible, et de demander ensuite un renvoi vers votre propre compte

Pourrait-on reformuler : " A-t-elle déjà effectué au moins un virement depuis son compte ?"


Très bon point, merci !

2 « J'aime »

4b°) Ou bien de vérifer à distance le lien personne / clé publique en contactant la personne par plusieurs moyens de communication différents, comme courrier papier + réseau social + forum + mail + vidéo conférence + téléphone (reconnaître la voix). Car si l’on peut pirater un compte mail ou un compte forum, il sera bien plus difficile d’imaginer pirater quatre moyens de communication distincts, et imiter l’apparence (vidéo) ainsi que la voix de la personne en plus.

Le 4a°) restant toutefois préférable au 4b°), tandis que les points 1°) 2°) et 3°) sont préalablement indispensables.

Le 4b commence par Ou bien, ce qui signifie ou alors, à la place de, ou bien tel choix ou tel choix…
Cependant comme stipulé à la fin du point 4 le 4a est préférable mais donc le 4b est valable aussi…

Tout à fait, il s’agit de « vérifier à distance le lien personne/clef publique ». Pas de « faire connaissance à distance ». :wink:

1 « J'aime »

Je ne le comprends pas comme ça.
Pour moi c’est pareil, à partir du moment où tu vois la personnes X fois à distance, que tu discutes avec x fois par semaine, que tu sais la contacter par 3 ou 4 moyens, que tu connais sa voix, etc. pas de soucis tu peux la certifier.

1 « J'aime »

Moi je trouve ça très bien de faire ça, ça montre aussi que ce n’est pas anodin de certififier, ce n’est pas un jeu, il est question d’une monnaie d’échange. Ces questions ne sont pas du tout de trop pour moi !
Merci!
Vincent

Plutôt que « Avez vous plusieurs moyens de contacter la personne ? » Je préfèrerais « Avez-vous contacté la personne par plusieurs moyens ET vous a-elle répondue ? »

La rencontre Physique ne devrait pas être rédhibitoire, selon mon opinion. Si un membre referent que je connais bien me demande de certifier une personne en me donnant les moyens de la contacter et en me présentant à elle et lui donnant les moyens de me contacter, je la certifierais sans hésitation.

Ces avertissements concernent plutôt le certifié, qui deviendra sans doute rapidement certificateur s’il est actif, que le certificateur. Il n’est cependant jamais nuisible de rappeler les règles.

Si on n’interprète pas, il ne s’agit que de la vérification.

Mais si on n’interprète pas (j’essaie de rester cohérent), la licence ne parle que de « bien connaître l’individu ». Quand je dis « ça veut dire qu’il faut le rencontrer », j’interprète. Je vais éviter.

S’il y a une bonne connaissance comme tu la décris et des connaissances communes, la sécurité est correcte. C’est difficile d’établir des relations avec plusieurs personnes sur Internet de façon cohérente pendant un temps long, de mon point de vue.

On pourrait donc simplement formuler, pour rester cohérent avec la licence :

Connaissez-vous bien la personne que vous certifiez, et connaissez-vous des gens qui la connaissent bien également ?


Je suis bien d’accord avec toi. Cependant, j’observe que l’information sur ces paramètres se fait plus à l’oral qu’à l’écrit. Le moment de la certification est un bon moment pour les rappeler. Je vais simplement changer l’en-tête en :

RAPPEL
Vous pouvez rappeler à la personne certifiée les paramètres des certifications :


Pour moi ceci est superflu. Savoir ce qu’est un membre référent et connaître les subtilités de la règle de distance, c’est pour les personnes qui veulent comprendre le fond des choses. Un utilisateur lambda peut très bien s’en passer.

Il y a effectivement une partie « vérification de clef publique » dans la licence.


Je pense que c’est de trop. Ça alourdit la question, alors que avec quelqu’un qu’on connaît bien, on a communiqué (donc reçu des réponses) par plusieurs moyens.

edit- ok, suite au message de @maaltir, j’utilise votre formulation.


Au point où j’en suis, il y a 8 questions. Comme ça fait beaucoup, le questionnaire en choisirait. 5 au hasard, parmi:

3 « J'aime »

Je ne pense pas que la question de savoir si la personne vous a répondu soit de trop.
Je vois trop souvent des personnes qui notent un numéro ou une adresse mail et pensent avoir plusieurs moyens de communiquer. C’est insuffisant.

1 « J'aime »

@moderateurs , est-il possible de mettre le hors-sujet commencé au message 23 (ou 24, je vous laisse juge) dans un nouveau sujet ? Merci d’avance.

Fait.

2 « J'aime »

2 messages ont été scindés en un nouveau sujet : Trop peu de monde

Concernant le fichier de révocation, je pose toujours la question « as-tu téléchargé ton fichier de révocation depuis un ordinateur (ça ne fonctionne pas sur smartphone) ? »

La rencontre physique est pour moi obligatoire. Voir même plusieurs.

Tes idées sont très bien.

Ce sujet a été automatiquement fermé après 90 jours. Aucune réponse n’est permise dorénavant.