Cesium 1.0.0 Demandes de certifications + en deux clics !??? GRAVE DANGER !
La version 1.0.0 comporte toujours un mode extrêmement dangereux de fonctionnement !
-
Je reçois un message "X demande une certification", une fonctionnalité extrêmement dangereuse !
-
Je clique dessus, une fenêtre passe en rouge, je passe, et là un simple clic alors que je suis "connecté" (CESIUM enregistre ma clé privée !??? = extrêmement dangereux !), et j'aurais certifié X, sans plus de contrôle !? Un verre dans le nez, et une certification indue part dans la nature !
-
a) Il est contraire à la licence Ğ1 de demander une certification par voie numérique exclusive, on ne peut vérifier si le compte correspond à quelque chose. Cette fonctionnalité de "demande de certification" via Cesium+ est contraire à toute la sécurité de la WoT Ğ1. Elle élimine de fait toutes les fonctions de vérifications qui sont nécessaires avant toute certification, notamment concernant la nécessaire prise de contact avec d'autres certifieurs du compte concerné, afin de procéder à des vérification de conformité des certications précédentes et d'identité de la personne à certifier ainsi que des certifieurs. Tout ceci fait partie de la licence Ğ1 qui est donc violée par ce type de comportement de Cesium+
-
b) Il est contraire à la sécurité de garder en mémoire la clé privée. Surtout pour des utilisateurs non-avertis ! Et surtout concernant les certifications.
-
c) Il est nécessaire de guider l'utilisateur vers toutes les étapes de sécurité :
-
c1) Message d'avertissement
-
c2) Lecture et approbation de la licence Ğ1
-
c3) Saisie systématique de la clé privée pour toute génération de document blockchain TdC (certification, renouvellement, révocation).
PS : le cas des transactions est moins critique et peut faire l'objet d'un paramétrage avec avertissement. Voir à ce sujet https://git.duniter.org/clients/cesium/cesium/issues/632