Confiance dans le site : https://g1.duniter.fr ?


#1

Bonjour,

En fait ce thread comporte deux questions, désolé.

Voilà comme j’était (trop) pressé de devenir membre Ğ1, j’ai ouvert un compte sur https://g1-test.duniter.fr. Je me suis rendu compte du problème et j’ai donc ouvert un autre compte sur https://g1.duniter.fr avec les mêmes identifiants … Oui je sais je suis un boulet. Mais pire encore :wink: J’ai ouvert un compte en ligne, hors après j’ai lu ça:

^^

Donc voici ma question :

Quelle confiance apporter à ce site : https://g1.duniter.fr ?

Pour la petite explication: je suis sous Mac OSX ( c’est un cadeau et je n’ai pas les moyens de m’acheter un autre PC pour faire tourner un nux :slight_smile: ) et l’installation de Duniter dessus ressemble à une sombre galère… Je me suis donc naturellement dis qu’un compte Cesium en ligne serais pareil, apparement pas.

Autre question de moindre importance: Si je révoque immédiatement mon compte cesium sur la Ğ1 test , vais je perdre aussi mon compte Ğ1 ? (vu que même identifiant?)

merci de m’éclairer les amis,

DaTaLoVe


#2

La question que tu pose concerne le reseau duniter entier, donc je te donne la reponse securitaire :

On n’entre JAMAIS ses ID de compte membre dans un cesium en ligne. En cas d’attaque (admin malhonnete ou serveur compromis), l’attaquant.e pourrait calculer des fausses transactions, voire mettre le reseau à terre.

Concernant des comptes portefeuilles, tu cours un risque très minime de te faire voler tes junes, mais pas de compromettre le reseau. Du coup ça te regarde. Je le fais sans souci, perso.

Concernant l’installation de cesium sur mac, je crois qu’il suffit de deziper la version .zip et ouvrir le index.html avec un navigateur.

D’autre part, les blockchains g1 et gtest sont independantes, donc une revocation d’un coté ne fait rien de l’autre.

En l’occurence, je crois que l’admin de g1.duniter.fr est @cgeek, et je lui fais confiance. Mais ca n’exclut pas que le serveur puisse etre corrompu.


Des Cadeaux: Ouvrir et offrir un compte portefeuille en monnaie libre Ğ1 sur Cesium
#3

Erratum : c’est en fait kimamila qui est l’admin de l’instance g1.duniter.fr et pas cgeek (je ne les tag pas pour ne pas prendre inutilement de leur précieux temps).

Perso, j’ai une totale confiance en kimamila, mais il n’est pas a l’abris d’un piratage de ses serveurs par l’exploitation d’une faille de sécurité, donc ça reviens a ce que dit @matograine


#4

Oui ce qui a été est très juste, maintenant rassure toi hein, cette instance est 100% digne de confiance et la grande majorité des juneux ont créé leur compte par ce biais…


#5

Ben non, c’est pas parce que tout le monde le fait que c’est sain. On a une blockchain où toute la securité repose sur la toile de confiance et où c’est crucial que les clefs privées soient … privées. Là, on a au moins deux serveurs qui, s’ils sont piratés, permettent de fausser la blockchain, voire, par exemple, de revoquer plein d’identités. La monnaie libre va contre les interets d’entités très puissantes, et on est pas à l’abri d’une faille.

On est LOIN d’etre 100% secure, et le message “tout le monde le fait, c’est pas grave” est juste inconséquent et irresponsable. En toute amitié.

Je pense a duniter.fr, mlo et peut-etre le serveur du sou.

Ca fait partie de mes conditions pour les certifs : tu as un client installé en local pour ton compte membre.


#6

Super ! merci de votre réactivité les amis. :wink: En effet vu de ce point de vue ça fait sens. Je vais donc révoquer mes deux comptes membres des ces instances (#oupas je vais vérifier avant). Et attendre d’avoir installé sur mon Mac pour ouvrir un autre compte membre. A plus tard, Olivier.


#7

Ma réponse privée pourra etre utile à d’autres :

T’inquiète pas :wink:

1- tu installes cesium : https://github.com/duniter/cesium/releases/download/v1.0.6/cesium-v1.0.6-web.zip

Tu dé-zippe dans un nouveau dossier, et tu ouvres index.html dans un navigateur (firefox par exemple)

2- tu publie ton document de revocation. Tu pourras toujours utiliser ton premier compte comme portefeuille (donc utiliser les junes), mais tu ne pourras plus jamais en faire un compte membre.

3- tu crees un nouveau compte membre avec des ID longs et complexes (je prends des paroles de chanson que je transforme en retirant les voyelles, ajoutant des signes, etc.)

4- et pis voilà, bienvenue ! Je te conseille de creer tout de suite un compte portefeuile avec des ID simples, c’est plus pratique à long terme.

Plus qu’à trouver des certifications :wink:


#8

@BoO0le attention, une nouvelle version de Cesium est maintenant à utiliser : la v1.2.1 (et non plus la v1.0.1) comme indiqué par @matograine

le lien :


#9

Merci @kimamila ! Je viens de DL celle ci : cesium-v1.2.3-web.zip .