Fermeture prochaine de Cesium-web (1er mai)

Ce n’est pas vraiment ça, et ça me semble dommageable de mettre en avant cette phrase sur la page d’accueil de cesium. Cela pourrait faire croire a l’utilisateur que la G1 n’est pas fiable, qu’il y a des failles dans les logiciels, alors que ce n’est pas ça.

Il faut vraiment qu’on trouve une autre formulation. On pourrait par exemple plutôt dire que « Nous ne pouvons pas assurer l’authenticité des instances web de Césium. Il est possible que vous utilisiez une instance malveillante sans le savoir, pour vous prémunir d’un éventuel vol de vos identifiants de connexion, il sera désormais nécessaire de passer par l’application mobile ou desktop. »

L’idée est de montrer a l’utilisateur que c’est pour le protéger et de lui expliquer qu’il est impossible de garantir l’authenticité des instances web. Sinon il ne vas pas comprendre et vas penser à tord que :

  • Nos logiciels ont des failles de sécurité
  • On est incompétents
  • On cherche à réduire leur confort d’utilisation à cause de notre incompétence ou/et des failles dans les logiciels que nous développons.

Ce message sera infiniment plus visible que les post sur ce forum, de très nombreux utilisateurs de la G1 ne vont jamais sur ce forum, j’en connaît plusieurs dont c’est le cas dans mon groupe local. On doit vraiment prendre le temps de blinder la forme de ce message @kimamila @anon27182818 @Moul @matograine .

@anon27182818 ça te dit qu’on bosse la dessus quand je serait a Toulouse ?

4 J'aimes

Je suis d’accord… Pour le moment j’ai mis un fichier feed-fr.json dans le code source du projet. Cesium le chargera par défaut depuis la copie sur github. On peut donc le mette à jour quand on veut.

note : Eh oui désolé ce fichier n’est pas dynamique. Je n’ai pas vu de flux jsonFeed depuis le forum :frowning: mais en même temps ca permet de plus facilement contrôler ce qu’on y affiche.

1 J'aime

Pour info j’ai livré une version 1.5.8 de l’extension web. Elle a l’air de bien tourné :slight_smile:

2 J'aimes

Tu peux ajouter .json à la fin de n’importe quelle url (topic, catégorie, user…) d’un forum discourse. C’est pas ça que tu cherches ?

2 J'aimes

@kimamila @moul : voici le texte que nous avons co-rédigez avec @anon27182818 et @1000i100 après plus de 6h de longues réfléxions. Ce texte vise un persona précis : les utilisateurs de la G1 qui n’y connaissent rien et qui utilisent cesium-web sans même savoir qu’il y a d’autres façons d’utiliser cesium et qui ne vont pas ou très eu sur ce forum :

2 J'aimes

Bien joué les gars ! Et merci pour ce gros travail !

Quelques remarques :

  • avant de parler de g1lien, j’aurais autant aimé pouvoir tester, afin que nous puissions en faire la critique. Il y a en effet plusieurs approches possibles, notamment dans la construction des URI, mais j’ai besoin de tester pour en faire la critique, puis la promotion… cc @1000i100
  • parler des supports de paiement USB ou carte me paraît aussi un peu prématuré, non ? Ne dépendent ils pas des lightning network qui ne sont pas encore possible dans Duniter ? Plutôt juste dire un truc du genre « a l’avenir, des moyens de paiement plus rapide (type carte de paiement) verront le jour, mais pas avant quelques années. » ?

La bise !

2 J'aimes

Du coup j’ai supprimé la partie sur le « futur », qui ne me semble PAS faire consensus, et n’a pas été discuté (pas avec moi en tous cas). Par exemple : affirmer que les liens de l’API ne marcheront plus, ça me parait un peu tôt. Le but serait justement de les migrer vers les g1lien AVANT le 1er mai, pour que ce soit transparent pour le persona ciblé. Surtout que l’API n’est pas quelque chose de parlant pour lui. Encore moins « G1 lien »"

Voici la copie du texte retiré, pour mémoire :


Le futur ? Plus simple et sécurisé.

Des liens de paiement et davantage…

Il y a déjà de nombreux liens qui pointent vers des comptes Ğ1 ou qui préparent un paiement en Ğ1 via l’API Cesium-web. Ils ne fonctionneront plus à partir du 1er mai 2020.

Ğ1Lien est conçu pour les rendre de nouveau fonctionnels avec l’application Cesium et va permettre de faire des liens utilisables de manière différente selon vos préférences personnelles. Par exemple, vous pourrez cliquer sur un lien depuis votre ordinateur et valider le paiement depuis l’app sur votre mobile.

Le travail est déjà bien avancé, mais il en reste encore avant de vous recommander d’installer g1lien. Une première version devrait être présentée en juin lors des RML15 à Paris.

Matériel de paiement rapide

La prochaine avancée majeure pour améliorer la sécurité de vos comptes G1 arrivera probablement dans quelques années.

Vous pourriez valider des paiements avec une action simple, ce qui vous libérerait de la nécessité de mémoriser vos identifiants tout en gagnant en sécurité.

Il vous suffirait pour ça, de vous équiper d’un objet similaire à une clef USB ou à une carte de paiement sans contact dédié à la G1. Vous pourriez même le faire vous même ou avec un ami bidouilleur.

1 J'aime

Pour le pas faire doublon avec l’autre post, peut on passer ce Post en « Staff » ?

Ok du coup je pense que c’est un point a discuter en priorité entre @1000i100 et toi :slight_smile:

Non ça ne dépend pas des lightning network. Pas pour les « hardware wallet » en tous cas. L’idée est d’avoir un composant hardware qui signe les documents (une yubi key par exemple), et ça c’est déjà possible sans rien changer au protocole ni à Duniter :slight_smile:

De la même façon, le paiement par « carte a puce » ne signifie pas forcément « paiement instantané ». Mais je suis d’accord avec le fait que @1000i100 s’avance un peu vite sur un sujet pas assez discuté, je lui est dit quand on a élaboré le texte :wink:

Ça a été testé en ed25519 quelque part ? Je n’ai vu aucune publication sur ce point. C’est pourquoi il me paraît dangereux d’en parler dès maintenant, si ça n’arrive pas avant 2-3 ans.

Par ailleurs, même si une carte faisait cela (ce que je ne crois pas), au niveau sécurité il y aura un travail a faire, pour éviter qu’elle soit utilisé par exemple pour un compte membre. Mieux vaut ne pas se précipiter.

1 J'aime