Ça y est, je suis de retour chez moi et peux continuer à m’occuper des threads d’accueil pour les débutants \o/.
J’ai quand-même avancé pendant ces quelques jours en déplacement en visionnant plein de super vidéos explicatives que les personnes d’ici ont apparemment faites et en lisant la majorité des news et du wiki du site de Duniter. J’ai beaucoup apprécié tout ce travail pédagogique, je vais maintenant faire mon possible pour aider les débutants à tomber dessus plus facilement au travers des threads d’accueil.
Par rapport à ce thread-ci qui a trait à l’inscription, je suis confrontée à plusieurs problématiques : ma propre inscription a été un peu chaotique et je ne suis pas encore certifiée donc je ne peux pas m’en inspirer, aussi il y a ce problème de sécurité autour de l’authentification en ligne qui n’est pas clair pour moi et m’inquiète, enfin il y a ce tuto que j’avais utilisé, qui présente bien les choses mais il date de 2016 il est peut-être partiellement obsolète, en outre il donne plusieurs alternatives, pour les débutants je pense que c’est encore mieux d’orienter vers une seule (et de donner des liens pour permettre d’approfondir et changer plus tard).
Donc j’aimerais commencer par comprendre quel est le meilleur endroit pour créer son compte (identity si j’ai bien compris) quand on débute : un site internet ? Lequel ? Le client lourd Cesium ? L’appli mobile ?
Au niveau du client Césium est apparemment à la fois le plus simple à utiliser et celui qui a le plus de fonctionnalités donc je vais conseiller celui-ci, par contre j’aimerais savoir s’il y a des différences entre les fonctionnalités / le niveau d’avancement / la fréquence de mise à jour pour les différents Césium : Desktop lourd Win, Mac, Linux / Web / Mobile Android, iOS…
Et j’apprécierais si quelqu’un pouvait éclaircir les choses au sujet de l’identification sur « une instance de Césium » qui pose problème. D’après ce que j’ai compris grâce au blog de duniter, dans l’écosystème on trouve des serveurs qui sont des instances de l’appli duniter-ts (avec bientôt une alternative en Rust), on trouve aussi des clients, mais ces clients dans mon esprit ce sont des logiciels lourds pour ordis ou smartphone ou des clients web, je ne comprends pas à quoi ces « instances de césium » font référence, est-ce qu’il s’agit du client web que l’on mettrait dans un serveur http ? Et si on commence par créer un compte comme le dit le tuto sur g1.duniter.fr, est-ce que c’est dangereux ? D’ailleurs à quoi correspond cette adresse, est-ce le premier noeud serveur historique ? Est-ce que cette fonctionnalité de création de compte est disponible sur tous les nœuds serveurs ? Bref, comme vous voyez, j’aurais besoin d’explications complémentaires .
Par rapport au vocabulaire, est-ce que quelqu’un pourrait me dire ce qu’on doit changer quand on « crée une nouvelle identity » après que l’ancienne a été révoquée ou exclue (cf l’article du blog sur la toile de confiance), est-ce qu’on peut garder le même nom ? Et la clé publique ?
Et quelqu’un pourrait-il préciser à quoi correspond une identity « révoquée » car ce n’est pas précisé dans l’article (quand est-ce que ça se produit et qu’est-ce que ça implique, quelle est la différence avec « exclue » ?).
Enfin je me demande si la personne qui a rédigé le tuto linké plus haut (j’ignore qui c’est) aurait envie de mettre son tuto à jour pour qu’on le réutilise en le linkant au lieu de refaire un travail équivalent, ce qui serait un peu dommage.
Voilà, tout ça . Bonne chance pour répondre (j’espère qu’il y aura des personnes motivées), désolée pour le noobisme .
Non, il est toujours bien a jours il me semble, a ceci près qu’il incite a des pratiques discutables en terme de sécurité (un cesium web ne devrait pas être utilisé pour créer un compte membre), il y a un autre tuto rédigé plus récemment par @paidge qui est très bien également : https://normandie-libre.fr/creer-son-compte-monnaie-libre.html (mais qui pose le même problème de sécurité : une création de compte membre ne devrait jamais se faire sur un site web cesium).
Le client lourd cesium OU l’appli mobile cesium
No les différents cesium ne sont que différentes façon de « livrer » le même logiciel. Il y a toutefois une fonctionnalité qui est spécifique aux app mobiles : le scan de qrcode.
Oui c’est un client web que l’on héberge sur un serveur http
Oui g1.duniter.fr est l’instance historique hébergée par le développeur de Cesium lui même (Benoit Lavenier alias @kimamila).
Cependant, même si l’on fait confiance a Benoit, il est tout a fait possible de croire être sur g1.duniter.org mais d’être en fait sur une autre instance : pour être certain d’être sur la bonne instance il faudrais que @kimamila active DNSSec pour signer sa zone DNS, car la par une attaque de type DNS menteur je peut rediriger les utilisateurs lambda vers une fausse instance g1.duniter.fr et récolter leurs identifiants secrets, ce n’est pas si compliqué, et un bon hackeur qui a quelques moyens peut le faire, et nul doute que ça finira par être fait et que des membres se feront pirater leur compte.
Toutefois, même si @kimamila signais sa zone DNS avec DNSSec, ce ne serait toujours pas suffisant car il est possible depuis l’arrivée des nom de domaines unicodes (ce qui est une calamité mais bref…) d’utiliser des caractères spéciaux qui seront résolus en caractères latin de notre choix afin de rediriger vers un faux domaine.
En plus de cela, le serveur qui héberge g1.duniter.fr peut très bien se faire pirater un jours, pour y remplacer cesium par une version trafiquée, et même si c’était détecté et corriger rapidement, le mal serait fait et plusieurs dizaines voir centaines de clés privés pourrait être volés entre-temps.
La seule solution qui me semble acceptable en terme de sécurité est de purement et simplement interdire toute connexion a un compte membre sur une instance cesium hébergée, ce que j’ai déjà proposé a Benoît et qu’il refuse pour des raisons de facilité d’utilisation.
Mais ça ne sert a rien de faire simple si c’est pour avoir un jours un vol massif et une perte globale de confiance en la fiabilité du système de la part des utilisateurs…
La sécurité devrait être notre 1er critère, et la simplicité ensuite notre 2ème critère, mais sacrifier le minimum vital de sécurité pour gagner en simplicité est un très mauvais choix que nous paierons cher tôt ou tard
Enfin, (oui ce n’est pas fini), malgré toutes les précautions que pourrait prendre Benoît concernant l’instance g1.duniter.fr qu’il héberge, il n’en reste pas moins qu’on est obligé de lui faire aveuglément confiance si l’on utilise son instance pour s’authentifier. Perso je le connaît et je lui fait totalement confiance, mais si tu ne le connaît pas ça ne devrait pas être le cas (en tout cas moi je ne fait pas confiance aux personnes que je ne connais pas). Hors je suis prêt a parier que la majorité des utilisateurs de g1.duniter.fr ne connaissent pas personnellement Benoît.
Notre vrai problème c’est donc d’abord et avant tout un manque d’éducation a la sécurité, et certains utilisateurs le paieront cher, on les aura prévenus…
Pour être tranquille, utilisez un cesium local (Desktop, app mobile ou cesium web local).
(Et encore ce n’est pas suffisant il faudrait signer les releases et apprendre aux utilisateurs a vérifier les signatures, j’ai bon espoir qu’on y viendra). Pour l’instant ça va car on n’attire pas les voleurs, mais plus la Ğ1 prendra de la valeur plus on attirera les hackers mal intentionnés.
Tout dépend si tu a révoqué l’identité avant ou après qu’elle (l’identité) soit devenue membre. Mais dans tout les cas il est préférable de changer de nom et de changer de clé publique (il suffit de choisir des pass différents) pour éviter toute confusion (Si l’identité révoquée était membre, tu est obligé, si elle n’était pas membre, tu n’est techniquement pas obligé de changer mais ça peut porter tes certificateurs a confusion et même te bloquer toi même si ton identité révoquée se fait certifiée).
Une identité est un triplet (nom, clé publique, date), c’est ce triplet qui est inscrit en blockchain. Une révocation est un acte inscrit en blockchain qui dit « je révoque l’identité (A,B,C) ». Il deviens alors impossible de réutiliser le nom ou la clé publique de l’identité révoquée.
Il y a une subtilité : seul une identité inscrite en blockchain peut être révoquée. Hors les identités en attente de devenir membre ne sont pas inscrites en blockchain. Les identités en attente sont stockées dans une sorte d’anti-chambre pour une durée maximale de 2 mois, puis sont supprimées dés quelles sont inscrites en blockchain (ou que les 2 mois se sont écoulés, on dit alors que la demande d’adhésion a expirée).
Ainsi pour révoquer une identité en attente, l’acte de révocation émis par l’utilisateur est en fait attaché au « dossier » de l’identité en attente dans l’anti-chambre, l’identité en question sera révoquée dés qu’elle sera inscrite en blockchain (dans 99% des cas l’identité expire au bout de 2 mois sans être inscrite puisqu’elle est marquée comme « révoquée » et que donc les gens ne la certifie pas).
L’exclusion est un mécanisme complètement différent, un membre peut être exclu pour 3 raisons :
expiration de son adhésion (a renouveler tout les ans)
expiration d’une certification qui amène le membre sous 5 certifications
action volontaire de l’utilisateur (mais oublions ce cas spécial).
Un membre exclu peut redevenir membre en renouvellent son adhésion, il devra cependant respecter les règles de la toile pour rerentrer (5 certifs, distance, etc).
Un membre exclu par expiration de son adhésion fini par être révoqué automatiquement 1 an après l’expiration de son adhésion.
Perso je trouve ce concept de statut « exclu » bien compliqué et je serait favorable a le supprimer
du protocole (ce qui signifierai qu’un membre exclu serait en fait révoqué).
La seul différence entre ces deux statuts réside en la possibilité de redevenir membre ou non. Une identité révoquée ne pourra jamais redevenir membre quoi qu’il arrive, c’est définitif.
Aujourd’hui j’ai avancé sur la page de « Compréhension » en priorité parce-que j’ai peur que tout ce que j’ai appris devienne moins clair pour moi si j’attends (mais je n’ai pas posté ce que j’ai écrit, ça demande encore un peu de mûrissement). Je crois que c’est la plus compliquée pour moi .
Je reviens sur cette page très prochainement.
Ça y est j’ai rédigé cette page aussi !
Comme il n’y a pas de consensus par rapport à cette problématique de danger d’authentification je n’en ai pas parlé (ça fait grandement baisser la crédibilité de la monnaie qu’il soit possible de se connecter partout si c’est dangereux, je crois que la solution ce n’est pas de prévenir les nouveaux qui vont ne rien comprendre et prendre peur mais de parvenir à un consensus entre devs et de retirer la possibilité de se connecter aux instances web des noeuds duniter… Never trust user input, tout ça… (Ou de sécuriser la connexion sur ces noeuds.)
J’ai mis à jour cette page également en tenant compte des éclairages que j’ai reçus ces derniers jours, il y a donc des modifications majeures, il manque encore :
le lien vers la page qui affiche la toile de confiance (@Gaelle comment accède-t-on à cette page que tu montres pendant ta présentation stp ?)
les instructions pour afficher l’unité DU au lieu de l’unité Ğ1 par défaut dans Césium ? (et est-ce que c’est vraiment recommandé pour les nouveaux ?)
et une relecture que je ferai demain.
Si quelqu’un pouvait répondre à ces deux questions ce serait super !!
Agréable semaine,
@Gaelle Youpi, oui c’est bien ça que je cherchais, merci
Je viens de faire la relecture, j’ai mis à jour le lien vers la Toile et j’ai apporté deux modifs majeures :
j’ai ajouté une partie pour conseiller d’utiliser le DU comme unité par défaut (par contre je ne sais toujours pas comment configurer Césium en DU, ça manque !!)
j’ai distingué la sécurité de la confidentialité en les mettant dans deux parties séparées, car la sécurité est importante pour tout le monde mais pas la confidentialité.
@kimamila peux-tu me confirmer qu’il est recommandé d’utiliser l’unité de valeur DU au lieu de Ğ1 dans tous les cas et me dire comment passer Césium en DU par défaut stp ?
(Si c’est réellement préférable, pourquoi ne pas mettre le DU comme valeur par défaut directement ?)
Pour passer Cesium en DU, cliquer sur l’avatar en haut à droite, puis Paramètres.
C’est le premier paramètre de la liste ! Simple non ?
Quand à compter en quantitatif ou en relatif, chacun a son avis. Moi je suis pour commencer tout de suite à habituer les gens à ce nouveau concept, qui permet une stabilité de l’unité de mesure dans le temps pour un nombre de membres stables. D’autres préfèrent commencer simple, en unités de base, sachant que la Ğ1 est en phase de décollage.
Non il n’est pas recommandé d’utiliser le comptage en DU dans tous les cas. Par exemple, pour faire des additions/soustractions, il faut compter en unités. Disons que pour des petites sommes et des transactions ponctuelles, les unités suffisent. Pour les grosses sommes ou les transactions régulières qui durent dans le temps, alors le DU est conseillé.
Vous pouvez enfin en cliquant sur le lien passer à la dernière page de ce guide qui vous indique par quels moyens procéder à des échanges avec vos Ğ1. ← ton lien est mort, on obtient le message “page inexistante ou privée” @CM63 .
Il doit s’agir d’une maladresse de ma part, je vois que le lien fonctionne maintenant, merci @CM63 de l’avoir modifié !
S’il y a d’autres soucis n’hésite pas à les remonter, plutôt sur le fil dédié à l’élaboration / amélioration de chaque page du guide (comme ce fil-ci) si tu veux bien.
je n’arrive pas à installer cesium-bureau avec le lien indiqué (capture d’écran jointe) (je ne lis pas l’anglais, suis pas douée en informatique; quand je télécharge le 1er fichier, il ne s’ouvre pas)
Non tu n’as pas forcément besoin de redemander à 5 personnes, Le non renouvellement d’adhésion suspend seulement la production de Ğ1, il n’annule pas les certifications.
@mimi Bienvenue ! Je recevais du monde ces derniers jours donc je n’ai pas pu te répondre tout de suite. Merci pour les retours positifs par rapport au guide .
Alors,
1 - Concernant ton souci d’installation : Il est probable que le problème vienne du fait que tu n’as pas téléchargé le bon fichier dans la liste par rapport à ton système d’exploitation.
Es-tu sous Windows, Linux ou Mac ?
Quand tu auras répondu nous pourrons te fournir le lien direct qui te convient.
(D’ailleurs j’ai une question pour les anciens : quelle est la version pour Mac sur la page des releases ?)
2 - Concernant l’expiration du compte:
Merci pour cette suggestion.
J’attire ton attention sur le fait que l’expiration du compte Membre ne provoque pas l’expiration / l’annulation des certifications.
Un compte Membre expire au bout d’un an mais tant que les certifications reçues n’ont pas dépassé les deux ans elles sont encore valables et en réactivant le compte on les retrouve bien, toujours actives.
Il faut redemander des certifications lorsqu’il y en a moins de 5 qui sont en cours de validité, c’est tout.
Donc ta phrase n’est pas exacte, j’espère que c’est plus clair pour toi maintenant ?
Pour info, voilà ce qu'il est écrit dans le guide à ce sujet.
Est-ce qu’il y a d’autres choses qui expirent, comme ça ?
Oui, pour des raisons de sécurité :
Les certifications ne sont valables que deux ans, à ce terme elles peuvent être ré-émises ou remplacées par d’autres, il faut simplement qu’il y en ait toujours 5 pour que le compte soit toujours activé.
Le compte Membre, après avoir été certifié 5 fois, a une nouvelle date d’expiration non pas de deux mois mais d’un an. L’utilisateur est censé demander son renouvellement avant l’expiration. S’il attend trop et passe la date d’expiration, il ne recevra plus le DU mais son historique de transaction et toutes les données liées à son compte seront conservées et il pourra récupérer ce compte s’il le renouvelle dans l’année qui suit. S’il ne renouvelle toujours pas au bout d’un an, il sera contraint de créer un tout nouveau compte.
Si vous avez un agenda qui gère les rappels automatiques comme par exemple Google Calendar, c’est une bonne idée de vous configurer quelques rappels .
3 - Concernant le mode de vérification de la date d’expiration du compte membre.
Je trouve que c’est une astuce utile, attention car d’autres choses que cela peuvent bloquer l’émission du DU, j’ai ajouté la phrase qui suit à la fin du paragraphe cité plus haut (c’est une adaptation à un contexte de « nouvel utilisateur ») :
Et si, à un moment, vous cessez de recevoir le DU quotidien sur votre compte, c’est probablement que ce compte ou / et ses certifications ont besoin d’être renouvelés !
Pour info on peut vérifier la date de création du compte dans les options de ce dernier, c’est un autre moyen peut-être plus précis de vérifier s’il a expiré ou non (on peut voir s’il a plus d’un an).
Il y a aussi un thread sur ce forum pour prévenir les users dont le compte arrive bientôt à expiration.
Comme indiqué dans le guide, il me semble que le moyen actuel le plus fiable pour se souvenir de renouveler son compte est de se mettre un rappel dans son agenda.