[Site Web] Tchat sécurisé neol.io

Bonjour, tout le monde. Je suis Elaine, et je viens vous présenter mon projet. J’ai connu ce site en lisant le wikipédia du site du zéro.Le SdZ ayant beaucoup changé, j’ai préféré poster mon projet ici. Je ne retrouve plus le SdZ que j’ai connu… Ce n’est que mon avis mais parlons du projet en lui même. (j’ai repris le modèle de projet du SdZ… j’espère que ça ne pose pas de problème).

Genèse

Je suis passionnée de confidentialité des données et le respect de la vie privée (oui c’est une passion possible). Je suis également une nostalgique des tchats/chats (caramail pour ceux qui ont connu).

Vous me voyez venir, je souhaitais faire un tchat de qualité, qui respecte la vie privée des internautes et sans publicité dégueux partout. Le projet n’ayant pas pour but de générer de l’argent, je peux m’en passer

Je trouve ça tellement irritant de devoir s’inscrire partout pour profiter d’un service. C’est comme si lorsque l’on rentrait dans une boutique on devait donner ses coordonnées. Bien sûr ce n’est que mon avis, j’explique simplement les origines du projet. Vous avez le droit de ne pas être d’accord ! Je ne suis pas là pour polémiquer.

Généralités et avancement

Le projet est actuellement en ligne à l’adresse https://neol.io Le design est définitif. On peut actuellement :

• tchatter dans un salon public
• Échanger des messages privés avec une personne
• Utiliser des emojis On ne peut pas encore :
• Uploader de photo de profil
• S’enregistrer
• Ajouter des amis
• S’envoyer des photos

Objectifs

Je fais ce site sans ambitions commerciales. Le projet n’a pas pour but de générer de l’argent. Ce n’est pas que je n’aime pas l’argent mais en l’état actuel des choses, le niveau de service ne permet pas de proposer d’abonnement et pas question de mettre de la pub, je trouve ça moche. Ca c’est pour les objectifs financier.

Concernant le service en lui même, j’aimerais offrir un tchat convivial, sécurisé et anonyme. Je n’ai pas envi que le lieu soit une poubelle, donc je réfléchi à un système de modération. Vos suggestions sont la bienvenue d’ailleurs. Je fais également ça parce que j’y trouve une satisfaction personnelle à développer ce projet. Voilà pour les objectifs

Le projet et son originalité

Je sais qu’il existe des tonnes de tchat. Pour la plupart, leur interface est polluée par la pub et je trouve ça assez moche. Je n’ai clairement pas les moyens d’une entreprise mais je vais profiter du fait de ne pas en être une pour me passer de la publicité. Je voudrais également offrir un haut niveau de sécurité en proposant plusieurs fonctionnalité : Messages cryptés en base de données. Cela rendrait les données illisible en cas de piratage. Chiffrer la communication avec un certificat SSL (https) Ne pas demander d’informations personnelles lors de la connexion. (sauf dans le cas d’une inscription volontaire)

Gardez à l’esprit qu’il peut y avoir des bugs, je n’ai jamais vraiment pu tester puisqu’il faut être plusieurs pour ça… Soyez indulgent

Messages cryptés en base de données

On dit "chiffrés" : https://chiffrer.info/

Tu peux nous en dire un peu plus sur le chiffrement utilisé ?

L’application est-elle open-source ?

Je suis en train de discuter avec @Elaine sur son chat, il est fluide c’est un projet sympa.

Oui effectivement, on dit chiffré et non crypté. Je connais la difference mais c’est vrai que c’est subtile.

Alors pour l’instant dans la base tout est en clair pour le débug. Je n’ai pas encore choisi l’algo de chiffrement.

Si tu parlais du certificat SSL, c’est du TLS AES 256 il me semble.

Merci @A-312 pour les tests Et non l’appli n’est pas open source

Une question qui m’est apparue dès la page d’accueil : pourquoi demander l’âge et le département ?

L’âge c’est pour bloquer l’accès au mineur, mais il ne vas pas « demander la carte d’identité ».

J’ai oublié de demander pour le département.

Le sexe c’est pour la couleur du pseudo bleu/rose.

Alors, l’âge c’est pour filtrer les moins de 18. et je vais le rendre visible. Le département c’est pour que les gens arrivent dans un salon de leur département quand ils se connectent

Après la segmentation par département c’est un peu has been me direz-vous… Mauvaise idée du coup ?

Je me suis trompé de lien tout à l’heure, je voulais te parler des failles CSRF et la nécessité d’utiliser des tokens dans les formulaires.

Yup, c’est dépassé les salons par département. Tellement que c’est la première fois que j’en entends parler et que je n’en ai jamais eu envie.

Est-ce qu’une case "Confirmez que vous avez plus de 18 ans" ne suffit pas ?

C’est marrant de dire ça et de demander âge et département dès la première page. Wtf ?

Alors pour l’instant dans la base tout est en clair pour le débug. Je n’ai pas encore choisi l’algo de chiffrement.

Donc c’est pas chiffré >_<

@society Il ne s’agit pas d’inscription là. Mais je peux enlever le département, vous m’avez fait réfléchir et c’est vrai qu’on s’en fiche un peu. C’était simplement pour proposer des salons un peu localisés comme ça se fait ailleurs.

@gustavi Pendant encore quelques temps le chiffrement ne sera pas actif pour des raisons de debug. Mais tout est près pour que ce soit activé.

@A-312 Merci pour le lien

Dans tous les cas, quelle confiance peut avoir l’utilisateur dans le fait que les données soient réellement et correctement chiffrées ?

Quelques remarques :

• Le refresh de la page refreshmessagesalon.php?id=1 surtout pour les personnes utilisant une connexion mobile (consommation de la data);
• 8 requêtes pour des fichiers CSS ;
• 7 requêtes pour des fichiers JS.

Bonne continuation dans ton projet.

En quoi ces deux points sont-ils problématiques ?

Si le cache est correctement activité, il n’y en a pas.

Et s’il ne l’est pas, ne vaut-il pas mieux 7 requêtes de fichiers plus petits qui pourront être réparties sur plusieurs serveurs différents qu’une seule requête 7 fois plus grosse ?

@entwanne : L’utilisateur ne peut que croire. Moi de mon côté je vais m’efforcer de respecter les bonnes pratiques du chiffrement. Le chiffrement a pour but de protéger les données en cas de piratage de la base. Je réfléchie également à un système d’auto suppression des messages passés un certains délai.

L’utilisateur n’est pas obligé de faire confiance au site , mais en tout cas, lors du développement je m’engage à mettre l’accent dessus pour créer cette confiance. C’est l’essence du projet.

Concernant le nombre de requête, d’expérience je crois qu’il vaut mieux une seule requête plutôt que plusieurs à des fichiers de moindre taille. Arrêtez moi si je me trompe…

En effet, il vaut mieux une seule requête quand il y a un nombre excessif de requête. Ça permet d’éviter de générer un header à chaque requête et limiter le travail du rooter et d’apache.

C’est bien ce qui me semblait merci A-312 J’ai pris un template que j’ai modifié et qui est basé sur bootstrap. Du coup, il y a beaucoup de fichier et je referais un tris pour enlever tout ce dont je n’ai pas besoin.