Mettez-vous vos identifiants membre dans une instance hébergée de Césium ?

cesium

#42

J’imagine qu’il y aurais moyen de faire apparaître clairement à la page d’accueil de cesium-web, que la connexion à un compte membre par ce biais pose d’éventuelles problèmes de sécurité. Et proposer un lien vers un tuto qui explique comment installer cesium sur son ordi. Comme ça une personne qui découvre la ğ1 peut se connecter simplement pour débuter, et installer ensuite cesium en suivant le lien proposé. Cela pourrais être un compromis. Même si je pencherais aussi pour ne pas avoir la possibilité d’offrir cette faille de sécurité.

Le problème restant étant peut être la mise à jour de sa version installée…

En tout cas je trouve ça passionnant ces questionnements sur la sécurité informatique même si j’y connais encore malheureusement pas grand chose :sleepy:


#43

Je viens de proposer une solution technique a ce problème de sécurité :

Si cette proposition est acceptée par les autres développeurs et mise en place concrètement, cela permettra de régler ce problème de sécurité sans ajouter de contraintes sur les utilisateurs finaux (ils pourront toujours se connecter a leur compte membre sur une instance Cesium hébergée).

Gardez cependant bien en tête que même dans le meilleur des mondes une tel proposition ne pourrait pas être implémentée instantanément, il faudra au moins 6 mois a un 1 an (a partir de la date d’acceptation) pour une mise en application effective. De plus, cette proposition peut aussi être rejetée.


#44

J’ai tout lu (à 3h du mat!) et comprend a peu près le pb, bravo pour votre travail :wink:

Pour ma part, j’utilise Césium Web car je ne voyait pas l’intérêt d’installer le logiciel, mais là, si ya des risques pour la monnaie, ça change tout!

J’anime des présentations et apéro ML (avec @Mat), je pense qu’a partir de maintenant on va suggérer fortement aux nouveaux, comme aux anciens membres, d’installer le client chez eux, ne serait ce que pour alléger la charge de Césium Web. Mais effectivement si j’avais compris l’enjeu plus tôt (en lisant un avertissement sur Césium Web par exemple) j’aurai agit plus vite… Je réfléchi aussi à l’installation d’un noeud mais c’est pas pour tout de suite. Voila pour mon expérience!


#45

Ne serait-ce pas possible de mettre en place une double authentification (2FA) obligatoire pour les instances de césium web et/ou les opérations sensibles d’un compte membre ? J’ai essayé le module de recherche sur 2fa et double facteur, je n’ai rien trouvé. Désormais, c’est plutôt user friendly le 2fa, ce qui complique bien la tâche du piratage sans mettre une trop grande contrainte pour les utilisateurs.


#46

Tu peux relancer @kimamila sur le sujet mais il était pas chaud à l’époque…


#47

Des U2F keys sinon, ça démarre à partir de 10 UNL

“Two-factor auth for local logins in Debian using U2F keys”

The Yubico U2F Validation Server (u2fval) is a server that provides U2F registration and authentication through a simple JSON based REST API.