Messagerie intégrée de Cesium+/Ğchange, les pour et contre

Si on en revient au coeur du débat, à savoir les pb de spam de messagerie :

• oui il est facile de développer un champ du profil supplémentaire, qui indique que l’on accepte les messages ou non. La conséquence cependant sera, si on veut conserver les performances des pods, de maintenir un index ES supplémentaire, pour savoir rapidement si une clé accepte les messages. Ça demande donc un peu de boulot.
  Dans les faits, la plupart des nouveaux utilisateurs voudront a mon avis rester joignable par la messagerie.
• dans la mesure où la WoT existe, il est facile de régler le problème de spam en s’appuyant dessus. Il ne faut pas confondre mon problème de temps avec la faisabilité.
• un anti-spam (ou plutôt anti DoS) par IP est faisable aussi. Là encore, pour conserver les perfs, il faut cependant bien y réfléchir car un cluster ES distribue les requêtes a des nodes, pour paralleliser. Partager une liste d’IP à jour, qui serait en mémoire, n’est pas forcément la bonne solution. D’un autre côté maintenir un index pour cela va générer beaucoup de lecture/écriture au sein du cluster. Par ailleurs un Pod qui aurait des règles plus laxistes risquerait de contaminer les autres, car la synchro entre les pods ne permets pas de connaître l’IP d’origine. Cela ne me plaît guère de diffuser et stocker des IP partout…

Bref, il existe des solutions. Mais ça demande du travail et de la réflexion. Et surtout du temps.

Qui suis le modèle des GAFAM ?
Parceque l’outil impose d’utiliser la messagerie ?
N’est-ce pas plutôt une fonction à ajouter, simple, qui permet de désactiver les messages sur un profil ?
Je ne vois aucune volonté de « suivre les GAFAM » :

• ni du logiciel, qui n’a pas de volonté propre;
• ni de son auteur, qui justement n’impose rien : ni email ni téléphone, et décentralise tout.

Non @Mateo justement cela n’est pas facile, de mon point de vue, contrairement à ce que dit @elois. Dès lors que des informations sont en clair dans une base de données partagée, alors les bots pourront y accéder tôt ou tard.

La proposition de messagerie G1 ne me paraît pas intéressante, si elle n’est pas chiffrée ni décentralisée. Si elle l’est, on retombera dans les même problématiques, qui je le rapelle peuvent être corrigées.

Le fait que les utilisateurs aurait ou non besoin d’une messagerie chiffrée n’est pas une question que je me pose. Je ne réfléchi qu’à partir de moi même et de mes proches, utilisateurs certes, mais pas représentatif de l’ensemble.

Je parle en mon nom propre, et j’invite chacun a faire de même. Je fais le logiciel dont j’ai besoin, tant pis si ça ne plaît pas, car j’ai abandonné l’idée de contenter tout le monde, et encore plus les développeurs qui n’ont pas besoin de moi pour se débrouiller.

Dire que la messagerie Cesium+ est imposée est discutable. J’ai ajouté sur demande de Galuel la possibilité de supprimer son profil Cesium+ pour ne plus recevoir de message.
Le profil Cs+ fait office (certe imparfait) d’indicateur pour accepter ou non les messages.

Pour supprimer un profil, tu peux aller dans Mon compte > éditer le profil > « … » Puis supprimer.
Les pod filteront alors les messages en les rejettant.

Bref, arrêtons un peu de discuter pour au final ne résoudre des problèmes que virtuellement, en théorie. Mais le plus souvent (dans ce que j’ai lu ici) infaisable, en pratique, sans déclencher des problèmes bien pires (comme rendre accessible à tous nos e-mails, ou centraliser les services).

Moi, j’ai la chambre de mon bébé à naître a finir. Plus que deux jours de vacances pour cela. Allez hop je file !

Je réitère ma proposition, celle qui est sur un ticket Cesium :

• Pour la messagerie Cesium+, ne pouvoir envoyer et recevoir des messages que des contacts que l’on a choisi, par invitation.

Cela conforte le caractère privé et sécurisé de la messagerie sans le côté ouvert au spam.

Pour Ğchange, cette proposition ne peut pas fonctionner, car un vendeur veut recevoir tous les messages des acheteurs potentiels.

On pourrait proposer pour Ğchange, en protection du spam:

• Pouvoir bloquer les messages qui sont indésirables en ajoutant le compte fautif dans une blacklist personnelle. Ce que font les clients mails.

Je ne me rends pas compte du travail que cela demande, mais il me semble que cela reste KISS.

My two cents…

La messagerie césium, me semble surtout utile pour les nouveaux (les anciens utilisent plutôt le téléphone ou le mail car ils se connaissent).

Elle permet d’envoyer un message à mégadon pour demander un don. Mais pour cela une simple adresse mail pourrait suffire.

Elle permet d’envoyer un message à un éventuel certificateur pour montrer qu’on maîtrise son compte. Mais pour cela un simple envoie d’une G1 suffit.

Elle pourrait permettre d’envoyer un message à ses voisins, pour créer une dynamique locale. Mais bien souvent les comptes sont inactifs, il faudrait que les comptes inactifs disparaissent au bout d’un certain temps, surtout ceux ou il n’y a jamais eu le moindre échange de G1 (ou au moins signalé comme inactif, ou faire disparaître la géolocalisation). Et la encore pour cette fonctionnalité une simple adresse mail suffit.
Il me semble plus important pour tout ces cas que la notification par mail soit activer, sans cette notification, de nombreux message sne sont jamais lus.

Je ne sais pas s’il est possible d’empêcher un bot de récupérer les adresses mails. Mais il me semble qu’une adresse mail qui s’affiche en clair pour les autres utilisateurs peut facilement être récupérée par un bot. C’est pourquoi j’hésiterais à mettre mon adresse mail si elle peut apparaître en clair pour tout les utilisateurs.

Ceci est mon avis d’utilisateur ayant de nombreuses questions de la part de nouveaux venu dans la G1.

Pour les adresses mail, ça rajoute des problèmes de sécurité supplémentaires, car plein de gens utilisent google, hotmail, yahoo, etc… et n’en sortiront pas si vite!

Et donc en mettant le mail comme référence on doit confier la sécurité des messages à l’utilisateur débutant.

Mon expérience de cette année avec cow-vide et tout (j’ai aidé à l’informatique libre pour une organisation) m’a montré qu’en se reposant sur les efforts des utilisateurs ça n’avance pas.

Même en créant un tuto complet pour riseup, en lancant une stratégie d’invitation à créer des comptes riseup, en lançant framalistes et mailing list riseup, en ayant l’adresse de contact officielle sous riseup, en alertant régulièrement sur le manque de sécurité des mails et en argumentant sur l’intérêt de riseup et des autres fournisseurs militants qui ont créé un réseau qui fait circuler les mails via tor ( onionmx/map.yml at master · ehloonion/onionmx · GitHub ), … « les gens », dans le cas dont je parle des militants politiques (au sens noble) continuent malgré tous ces efforts à utiliser les adresses mail des GAFAM, à utiliser Telegram et Zoom, et en fait rien n’avance parce qu’on demande aux gens de faire l’effort de créer des comptes, ou alors on est dépendants de militants qui avec leur bâton de pélerin vont chez chacun pour leur créer un compte, voire pour leur confier un ordi installé par nos soins (je l’ai fait pour quelqu’un!).

On a fini par en conclure qu’il faudrait tout faire en ligne, comme ça les gens n’ont rien à installer, ils se connectent sur un espace nextcloud et on n’a qu’à leur donner que des identifiants, ils apprennent ça une fois pour toutes et les outils sont intégrés dans nextcloud.
Je déplore ce manque de simplicité informatique et le passage à des solutions de cloud qui ne vont pas dans le sens de l’écologie.
Les smartphones et les GAFAM ont considérablement réduit la débrouille et la curiosité informatique en imposant systématiquement des standards « automatisés » et « effortless ». Ça tire tout le monde vers le bas.

Replicant est une belle alternative, mais presque personne ne veut faire l’effort ne serait-ce que de brancher une clé wifi externe pour avoir la wifi… on est arrivé à des extrèmes de luxe de prestige technologique et d’assistanat qui m’attristent régulièrement, surtout que ça joue en faveur des GAFAM qui seront toujours premiers dans la course technologique.

Je le vois avec mon père qui contraste beaucoup avec cela, il a réussi à s’adapter à des systèmes différents et alternatifs parce qu’il n’est pas dépendant des GAFAM, et pourtant ça lui demande beaucoup d’efforts.

Je vois réellement l’intérêt d’avoir des messageries chiffrées sur Cesium et gchange, faciles d’accès pour l’utilisateur, et indépendantes du mail!
Ça permet d’avoir des messageries sécurisées et fiables pour tous ces débutants qui autrement utiliseront gmail, hotmail, Telegram, et autres…

Ce serait très joli d’utiliser tox pour la messagerie de Cesium, de sorte que l’utilisateur final ne s’en rende pas compte au niveau de l’interface (on peut l’informer quand même!). Comme tox est décentralisé et a un très bon esprit au niveau confidentialité ça me semble intéressant.
On m’a expliqué qu’il faudrait un client web et que ce serait beaucoup de travail (il y a des projets de ce type qui se dirigeaient vers ça GitHub - TheToxProject/client: The Universal Tox client. Platform-agnostic Tox client with user-friendlyness in mind! GitHub - djsmentya/tox-site: Tox web-client )

Matrix/element, si j’ai bien compris, nécessite des serveurs pour ça, et donc au niveau sécurité c’est déjà plus discutable. Ça pourrait s’interfacer avec Cesium de sorte à ce que l’utilisateur final ne s’en rende pas compte.

C’est beaucoup de travail tout ça et je ne me rends pas bien compte. Ce serait faire de Cesium et gchange des clients matrix, tox, ou xmpp?

L’interopérabilité et un système de messagerie commune à la Ğ1 me paraîssent bien, mais si ça fait repartir gchange et Cesium d’une feuille blanche, ça va être encore plus d’efforts pas prioritaires?

Pour Cesium j’étais hyper content de sa messagerie quand j’ai débuté sur la Ğ1. Pour gchange j’étais aussi étonné de la ressemblance avec Cesium.
J’ai aidé une amie à créer les comptes sur les deux plateformes, ça n’a pas trop choqué, je lui ai dit que le fonctionnement des deux était proche.

Ce qui me dérange actuellement avec Cesium, c’est la carte des membres accessible via l’annuaire. Elle fait sacrément ramer mon ordi, et je préfèrerais une fonction recherche par rayon kilométrique autour d’une ville (ce serait merveilleux!).

Je suis super content des progrès de gchange faits à Noël!

Je réfléchis un peu à voix haute.

Merci encore pour tout ça.

C’est absolument vrai…

A mon tour de venir partager mes voeux d’ergonomie/UX à la communauté :

• un système d’authentification simple, sécurisé et commun à tout les services de l’écosystème
  comment je verrais ça ? un trousseau sécurisé qui se comporte comme un hardware wallet (la clef privé n’en sort jamais), mais qui est contacté par les services pour signer des documents.
  Résultat, l’utiliser aussi bien pour des certifications, des transactions, une place de marché, de la messagerie, du vote ou quoi que ce soit d’autre n’affaiblierais pas la sécurité du système mais simplifierais l’usage. Et pour ceux voulant renforcer leur sécurité, passé d’une app qui à le comportement d’un hardware wallet à un réel hardware wallet pourrais se faire fluidement.

• un système de création de compte qui fournie des fragments du secret à stocker ou confier à des proches pour qu’il y ai moins d’usager qui perdent l’accès à leur compte. Système de création de compte qui permettrait de reconstituer un hardware-wallet perdu.

• avec ça, un service de messagerie chiffré comme celui de cesium+ ou gchange, mais commun (qu’il s’agisse d’une extraction du code actuel pour en faire un service indépendant ou du passage à tox ou matrix)

• un service de messagerie qui ne s’active qu’après avoir activé la notification par email ou explicitement spécifié qu’on voulais l’activier sans notif. email.

• coté cesium+, un processus d’inscription aux notif. par email simplifié (comme celui de gchange par exemple)

Tu veux parler d’un trousseau DEWIF protégé par code PIN, un peut comme Cesium fait déjà avec les PubSec mais avec de meilleurs format de trousseaux chiffrés ?

Dans ce cas si tu l’utilises via gchange.fr c’est le même problème qu’avant avec Cesium en ligne. Je ne vois pas la différence avec le simple fait de rentrer son salt/password à la main … A part le côté pratique bien sûr.

Oui @vit, ça rejoind d’ailleurs la demande de pouvoir créer une liste de « contacts » pour rechercher plus rapidement dand les comptes.

mais il faudrait alors penser à un anti-spam pour les demandes de contact, non ?

Il est simple de constituer une Blacklist a partir des « signalements » (petits triangle warning) émis depuis notre compte.
Mais ça n’empêcherait pas un nouveau profil de spammer.

Une autre idée (complémentaire) est d’afficher le nombres de « signalements » du profil lorsqu’on affiche un message privé.
Voir même un message du type « ce message n’est peut-être pas sûr, car son auteur a reçu de nombreux signalements ».

De manière plus radicale, on pourrait aussi limiter les envois de messages aux seuls comptes membres, ou du moins avoir des quotas plus souples pour les membres.

Bien vu !

Et si on bloquait tous les messages entrants par défaut et que l’utilisateur crée sa whitelist en fonction de ses besoins (Ajoute les contacts autorisés qu’il désire) ?

Que proposes tu de mieux ?
Dans tous les cas, tu es libre d’utiliser ou non gchange, non ? Et sachant que le code est libre, tu es libre d’y faire des modifications, ou au moins de faire des propositions pour améliorer.

Les propositions d’Elois citent en exemple le bon coin ou diaspora. La première est une plateforme centralisée non libre, et le deuxième est décentralisé, mais uniquement sur le contenu :
Sauf erreur de ma part (qu’on me l’explique calmement si je me trompe : je suis de bonne foi) beaucoup de systèmes P2P comme Diaspora ou PeerTube ne décentralise PAS l’authentification, qui reste sur un unique pod. C’est pourquoi (il me semble) il faut passer par le même pod pour poster du contenu. Il y a donc un tiers de confiance.
Je ne sais pas comme fonctionne Mastodon, si de la crypto est utilisé ou non pour signé les documents dès leur envoi ?

@elois indique aussi d’autre solution de signature/chiffrement par email, via thunderbird.
C’est a mon avis une alternative qu’il sera difficile à faire passer auprès de la plupart des usagers de la G1.

L’authentification dans Gchange et Cesium+ est fait par crypto, sans tiers de confiance. C’est ce choix volontaire qui empêche d’avoir des champs personnels chiffrés et affichés à la demande.

Je ne sais pas si je suis clair ?!

Ou du moins limiter d’avantage l’envoi de message vers un compte qui ne nous a pas accepter comme contact.
Ainsi les nouveaux peuvent tout de même contacter des gens autour d’eux.

Non, sauf si le dit trousseau ne sort jamais d’une app qui elle discute avec cesium, gchange & co pour signer les documents et à ce moment là, c’est l’app qui se comporte comme un hardware wallet, pas le trousseau.

En gros, le changement coté sécurité est le suivant :

• actuellement : ficher en clair ou chiffré, saisie manuelle… et au final le soft ou site au quel je me connecte récupère la clef privé pour pouvoir faire son job (signer et déchiffrer des documents).
• avec un hardware wallet [HW] (ou une app qui l’émule) : l’usager vas sur le site/service/plateforme de son choix. Pour s’authentifier, la plateforme présente un document via une api que le HW devra retourné signé. Pour valider une transaction idem, pour écrire un mp, idem. Pour déchiffrer un mp, le HW ne signera pas le document mais le déchiffrera… En gros, le travail de crypto n’est pas fait par la plateforme (cesium/gchange…) mais par le HW uniquement. Du coup la clef privé n’a JAMAIS besoin d’en sortir.
  Après, pour que le HW ne signe pas n’importe quoi, qu’il y ai un pin pour que le HW accède à la clef et qu’il affiche un récap et attende une confirmation avant de renvoyer un document signé me semble pertinant.

Du coup tout la partie sécurité et crypto de l’usagé est cloisonné dans son HW. Les clients (cesium & co) ne manipule pas de données sensible, il demande au HW de le faire quand il en on besoin et l’usager, depuis le HW, environnement bien plus limité et maitrisé, décide d’effectuer ou non les oppération nécessitant sa signature.

L’architecture de Peertube est très différent de celle de gchange.

Hormis l’aspect torrent pour les médias, Peertube et mastodont misent tout sur le protocole ActivityPub, qui permet donc en effet de fédérer l’authentification, l’accès aux ressources et différentes informations entre les différents noeuds.

Tout n’est pas répliqué automatiquement entre les noeuds, ce n’est que de l’agrégation fédérative.

gchange fonctionne par cluster c’est ça ? Je peux choisir d’ajouter mon noeud à un cluster existant ou non ?
Une fois dans un cluster, je vais répliquer toutes les données de chaque noeud du cluster, et propager mes donnés vers eux ?

Pour peertube, je ne sais pas trop, mais de ce que j’ai compris de Diaspora*, c’ est ça. Un pod héberge ton compte, lui seul te permet de te connecter, c’est le contenu qui est fédéré.

Oui c’est cela. Du coup si le pod d’origine n’existe plus, il est encore possible d’utiliser son compte.
La contre partie à cela est qu’il faut tout partager, et donc éviter d’y mettre des infos trop personnelles.

Dans ActivityPub, est on dépendant du pod où l’on a créé son compte ?

Oui.
Tu peux te connecter sur n’importe quelle instance fédéré avec ton instance mère, mais si cette dernière tombe, tu ne te connecte plus nul part. Et les données de cette dernière ne seront lus accessible nul part, sauf si de la redondance a été paramétré avec d’autres instances.

Pas si on décide de chiffrer certaines infos personnelles avec sa clé privé, ou en crypto_box, comme pour les messages Cesium.

Il est possible de chiffrer, mais dans ce cas qui peut déchiffrer la donnée ?
Il faut bien à un moment, que l’email ou le téléphone que tu as chiffré soit déchiffré, sinon cela ne sert à rien.
La question est donc « qui peut déchiffrer » ? Et avec quelles clefs ? Et coment faire fonctionner le tout sans dépendre du pod où le compte a été créé ?

J’aimerai qu’ @elois tu répondes à ces questions.
Toi qui ne rejettais mes arguments au profit d’une solution type Diaspora ou LeBonCoin.

A quoi serve que je répondes à tes objections, si tu lâches ensuite l’affaire ? Je ne mets pas en doute ta bonne volonté, non, et je comprends que tu puisses être pris par autre chose. J’aimerai juste être rassuré sur le fait que tu comprennes mes arguments, et que tu y répondra quand tu auras le temps.

Je ne suis pas et ne veux pas être un defouloire, qui sert a être critiqué quand quelque chose ne va pas.