Si vous pensez à d'autres monnaies alternatives qui pourraient être proposées facilement pour le paiement sur un site marchand, je suis preneur aussi...

Suivre

@vincentux
Quand je regarde la démo avec l'API Césium, ça semble simple, mais ça demande le login mot de passe de l'utilisateur client, je trouve cela curieux ??

@jpfox
Les seules données obligatoires sont la pub_key et le montant...

@vincentux
Je parle du client... La démo simule bien un règlement, non ? Ou j'ai mal compris

@jpfox
Bien sur pour effectuer un paiement on est obligé de s'identifier a son compte.

@vincentux il me semblait que les utilisateurs s'authentifiaient uniquement sur leur instance de Duniter. Ça n'est pas dangereux de se loguer avec son compte sur un autre serveur ?

@jpfox
Si, le mieux est d'utiliser la version desktop de Césium, ou d'autres clients installés sur son pc.

@vincentux ok, il s'agit là d'un point technique. Autre question : est-ce qu'une entreprise, personne morale donc, peut détenir un compte duniter ? Comment cela se manifeste dans la toile de confiance ?

@jpfox @vincentux
N'importe qui peut ouvrir un portefeuille, comme dans les autres crypto monnaies. Ce portefeuille peut recevoir et envoyer de la monnaie. Un portefeuille ne créé pas de DU tant qu'il n'est pas associé à une identité membre. La toile de confiance identifie les membres co-créateur de ğ1.

@jpfox @vincentux
Idéalement on recommande d'avoir plusieurs portefeuilles. Par exemple, un compte associé à son identité, un portefeuille pour les paiements courants (utilisé par exemple sur son ordiphone), un pour épargner, un pour sa société... etc. Ca demande une organisation particulière mais c'est le plus sûr !

@jpfox @vincentux Je crois que G1 a de très bons économistes, mais manque très clairement de cryptologues et d’analystes sécurité.
Il y a plein de trucs à faire pâlir la crypto dans ce projet 😋

@aeris @jpfox
A quel niveau penses-tu qu'il y a des soucis de sécurité ?
Coté serveur #Duniter ou plutôt coté client #Césium... ?

@aeris @jpfox @vincentux
Ah bah l'implémentation actuelle est très minimaliste, on est allé à l'essentiel et il reste du boulot :) toute remarque / suggestion / analyse est bienvenue !

@vincentux @jpfox @aeris
Ceci dit, malgré son minimalisme, elle est censé être un minimum robuste en terme de sécurité/crypto. Donc si tu vois des choses grossières, hésite pas à en faire part !

@inso @jpfox @vincentux Spa vraiment côté sécu pure et dure, mais plutôt sur les usages.
Par exemple le fait d’être incapable de prouver la détention d’une clef privée sinon en se logguant sur le compte devant un certificateur.
Ou comme un peu plus haut sur la méthodo de paiement 😃

@aeris @jpfox @vincentux C'est bien vu pour l'identification effectivement. Quelles méthodes est-ce qu'on pourrait envisager ?

Pour la méthodo de paiement, c'est un premier jet pour permettre aux usages de se développer. En fait on a identifié le besoin de gérer des liens duniter:// pour pouvoir payer depuis un client desktop ou mobile, mais pour le moment, rien de fait !

@inso @jpfox @vincentux Pour l’identification, comme j’avais dis un peu plus tôt hier : être capable de signer des messages quelconques à partir de la clef privée. J’vais sûrement pondre un truc prochainement sur ce sujet d’ailleurs 😋

@aeris @inso @jpfox @vincentux Oui c'est ce que je fais déjà personnellement : je demande à la personne que je veux certifier de passer par la messagerie Cesium+, qui signe+chiffre tous les messages : du coup si mon interlocuteur arrive à me répondre avec sa clé, c'est qu'il la possède bien.

Mais je préférerais avoir d'autres méthodes que forcer l'utilisation de Cesium+.

#duniter (je taggue car sinon vos conversations intéressantes vont aux oubliettes !)

@cgeek @aeris @jpfox @vincentux Il me semble que @galuel réalise un petit virement de quelques unités et demande le virement retour pour confirmer que la personne connait bien sa clé privée... Ca me parait pas mal aussi.

@inso @aeris @jpfox @vincentux @galuel Oui c'est une bonne idée, après je demande dans mon message de fournir une information, une anecdote que seul mon certifié et moi avons échangé lors de la rencontre. Ce qui est plus difficile à mettre dans un commentaire de TX (en plus c'est lisible publiquement).

@cgeek @inso @aeris @vincentux @galuel
Je reviens à ma problématique de site marchand. Ce ne serait pas plus simple de demander au client d'envoyer un certain montant à un portefeuille (celui de la boutique). Ensuite, le site scrute régulièrement les entrée (avec une api je suppose) pour valider les commandes effectivement payées. Là, plus besoin de demander au client de se loguer à Cesium+

@galuel @vincentux @aeris @inso @cgeek
on peut envoyer un montant à une adresse de portefeuille ? ou le destinataire est forcément un membre connu ?

@jpfox @galuel @vincentux @aeris @cgeek
On peut faire un virement à un portefeuille évidemment :)

@jpfox @cgeek @aeris @vincentux @galuel
Ya sûrement quelque chose à développer sur le même fonctionnement que gannonce.duniter.org oui

@inso @cgeek @aeris @vincentux @galuel
ah oui, je vois que les annonces proposent plusieurs façons pour transférer le montant : Cesium, Sakia, Silkaj... libre au client de choisir.

Bon, reste le gros problème de la compta 😟

@jpfox @inso @aeris @vincentux @galuel Mon comptable a déjà réfléchi à la question et me propose de comptabiliser en stock. J'évalue moi-même la valeur de ce stock chaque année, ce qui produit éventuellement des plus/moins values.

C'est ce stock qui est compté en euros.

Éventuellement, le fisc pourra rejeter l'évaluation que j'ai faite. Il suffit de fournir des preuves de bonne foi je dirais, par exemple et se basant sur les valeurs d'un marché de change. Mais pour l'instant on en a pas !

@cgeek @inso @aeris @vincentux @galuel
Oui, c'est sûr qu'un marché de change serait le plus simple comptablement.
Éventuellement, je pourrais verser moi même, sur le compte bancaire de la boite, le montant en euro correspondant et récupérer les g1 mais j'ai peur de ne pas savoir quoi en faire 🤔

@aeris @cgeek @jpfox @vincentux @galuel En y repensant, ce qui serait cool c'est de pouvoir envoyer des mails chiffrés par Cesium.

1- Cesium effectue un "partage de message chiffré" dans l'application choisie (ça peut être mail, sms, etc)
2- Déchiffrement : Mmmh... on peut partager avec l'appli Cesum ou copier-coller dans une fenêtre dédiée?

@inso @aeris @cgeek @vincentux @galuel
bah tu peux faire un lien duniter:// et faire en sorte que l'appli soit associée à ces liens

@jpfox @aeris @cgeek @vincentux @galuel Evidemment ! Ca serait une killing feature qui mettrait la WoT Duniter directement en concurrence avec PGP haha

@inso @jpfox @cgeek @vincentux @galuel Alors concurrencer GPG, ça sera compliqué quand même hein :P
GPG a plein de feature cool que n’aura pas naïvement Duniter :P

@galuel @vincentux @cgeek @jpfox @inso (Au pif la possibilité de déchiffrer un uniquement message sans devoir compromettre sa clef privée en cas de besoin, typiquement saisie/perqui d’un mail)

@inso @jpfox @cgeek @vincentux @galuel Le chiffrement lui-même n’est d’ailleurs pas du GPG réellement, mais de l’AES des familles.
La partie biclef n’est là que pour authentifier le message, tout le chiffrement est fait en dehors du WoT.

@aeris @jpfox @cgeek @vincentux @galuel L'avantage de la WoT est surtout que même des non-informaticiens veulent avoir leur identifiant reconnu pour pouvoir recevoir leur DU. Sans entrer en concurrence, ya un bon potentiel de complémentarité :)

@inso @jpfox @cgeek @vincentux @galuel Si c’est pour *authentifier* un message oui. Si c’est pour le *confidentialiser*, t’as un gros gap à franchir 😋

@aeris @jpfox @cgeek @vincentux @galuel Le chiffrement sur Cesium+ utilise une dérivée de la clé d'authentification utilisée par la WoT il me semble (le tout s'appuie sur libsodium qui force la distinction entre les 2 types de clés)

@inso @aeris @cgeek @vincentux @galuel
En partant de l'idée du bout de code Cryptico github.com/wwwtyro/cryptico j'avais commencé le dev d'une appli qui utilise une paire de clé pour signer/chiffrer sans avoir besoin de stocker la clé privée. Elle est regénérer à partir d'une passphrase. Cela permet de l'utiliser sans avoir besoin d'un environnement particulier. C'est aussi ce que fait miniLock minilock.io/

@inso @aeris @cgeek @vincentux @galuel
tu peux même associer ton appli pour qu'elle ouvre les urls g1.duniter.fr/... comme ça, celui qui n'a pas l'appli tombe sur un outil en ligne qui lui permet de faire la même chose ^^

@jpfox @inso @aeris @cgeek @vincentux @galuel y a quand-même qq restrictions chiantes surtout sur certaines plateformes sur les schémas d'URI custom. C'est dommage. Mais oui va falloir y arriver.

@galuel @vincentux @cgeek @aeris @inso @jpfox et y a même un article dans GLMF sur les URI et les .desktop :D

@aeris @inso @jpfox @vincentux
Tu peux montrer fin certificat de révocation. Ça fait d'une pierre deux coup : tu l'as bien créé et tu ne peux l'avoir qu'avec la clé privée. #duniter

@brab @inso @jpfox @vincentux Euh oui mais alors non. Parce que du coup il suffit de le publier pour radier ton compte…

@aeris @inso @jpfox @vincentux
Je voulais dire le montrer à quelqu'un physiquement, pas le publier

@brab @vincentux @jpfox @aeris On peut imaginer qu'une fois montré, ce quelqu'un soit capable de le reproduire pour émettre ce certificat ^^

@inso @aeris @jpfox @vincentux Ah, c'est pour cela que @cgeek voulait le voir ! Et moi qui croyait que c'était pour me certifier 😀

@brab @inso @jpfox @vincentux Oui ben qui dit le vérifier dit pouvoir le publier hein…
Parce que visuellement, je ne pourrais pas en faire grand chose 😋

Inscrivez-vous pour prendre part à la conversation
Mastodon G3L

Cette instance Mastodon est gérée par l'association G3L. Merci de lire les conditions générales d'utilisation avant de vous inscrire.