[Site Web] Tchat sécurisé neol.io

Besoin de testeurs/testeuses :)

a marqué ce sujet comme résolu.
Auteur du sujet

Reprise du dernier message de la page précédente

C’est bien ce qui me semblait merci A-312 :)J’ai pris un template que j’ai modifié et qui est basé sur bootstrap. Du coup, il y a beaucoup de fichier et je referais un tris pour enlever tout ce dont je n’ai pas besoin.

Au lieu de faire un setTimeout toutes les 2 secs d’une requête Http Ajax tu pourrais utiliser le protocole WebSocket (avec la lib socket.io c’est très simple) ça serait encore plus fluide, sinon beau projet ;).

Seb.

+3 -0

Concernant le nombre de requête, d’expérience je crois qu’il vaut mieux une seule requête plutôt que plusieurs à des fichiers de moindre taille. Arrêtez moi si je me trompe…

Elaine

Tu te trompes. Maintenant qu’on a HTTP2 partout, les ressources sont téléchargées en parallèle. Il vaut mieux plusieurs petites ressources que quelques grosses. Le CSS et le JS peuvent être ainsi parsés et appliqués / exécutés au fur et à mesure, c’est mieux pour tout le monde. Et surtout on n’a plus besoin d’attendre d’avoir téléchargé tout un fichier pour en avoir un autre, ça utilise nettement mieux la bande passante.

Pour donner une analogie, tu as le choix entre faire trois tâches de 10min l’une après l’autre, ou 10 tâches de 3 minutes en même temps. Premier cas il te faut 30 minutes. Deuxième cas il te faut 3 minutes.


Dommage que ce projet soit réservé aux français.


Messages cryptés en base de données. Cela rendrait les données illisible en cas de piratage.

Où se trouve la clé qui dé/chiffre les messages et les identifiants de connexion à la base de donnée ? Sur le serveur ?

Édité par cepus

Vous aimez le frontend ? Il y a un tas de petites tâches faciles si vous voulez contribuer à ZdS : https://github.com/zestedesavoir/zds-site/issues?q=is%3Aissue+is%3Aopen+label%3AC-Front

+3 -0

J’ai deux questions par-rapport à ton projet: Tout d’abord, va t-il y avoir une manière d’avoir un salon privé accessible seulement avec un mot de passe? Ensuite, y a-t-il une raison pour la contrainte de l’âge? Je suis simplement curieux parce que je me demande où est le négatif à accepter les mineurs sur un chat de la sorte.

+0 -0

Pourquoi ne pas render le projet open source ? Cela permettrait d’avoir une confiance en ton projet. L’open source est pour moi le seul gage de confiance lorsque cela traite de la sécurité.

+1 -0
Auteur du sujet

Bonjour à tous !

Je vous remercie pour tous ces retours bien constructifs. Je viens de rentrer de congés, d’où mon absence temporaire sur le site. Alors je vais essayer d’être synthétique pour répondre à tout le monde :

@Nicox11 : Tu n’es pas le premier à poser la question. Non je ne souhaite pas rendre le projet opensource car c’est un investissement en temps supplémentaire et je peine déjà à joindre les deux bouts.

@Phigger : Oui pourquoi pas élargir aux 16ans et plus. Ce que j’ai peur avec des gens trop jeunes ce sont les mauvaises rencontres. Et plus il y a des gens jeune, plus cela peu attirer un publique douteux.

@cepus : Merci pour ta remarque sur le http2. Tu as complètement raison. Concernant le chiffrement des messages je ne suis pas encore certaine de la méthode à adopter. J’activerais le chiffrement en fin de réalisation du projet. J’aimerai terminer les fonctionnalités de base sans chiffrement parce que ça rend le débug plus facile. En plus du chiffrement, je me demande si je ne vais pas le faire à la snapchat : la base serait régulièrement effacée.

@Seb : Je ne connais Websocket que de nom et pour du C ! Et je crois bien que c’est ce que j’aurais du utiliser depuis le début… Mais j’ai tout à refaire si je pars dans cette direction x)

@JP : Je voudrais effectivement donner la possibilité aux gens de créer des salons. Je voulais également faire des salons par régions mais certains ici n’aimaient pas l’idée de devoir indiquer son département sur la page de connexion… Peu pratique du coup. Mais je me tâte vraiment sur le fait de supprimer le département.

J’espère n’avoir oublié personne !

Selon vous, parce que je ne suis pas bien sûre de mon coup, dois-je supprimer le champs département ? (j’ai eu plein de réponses différentes IRL)

Concernant le chiffrement des messages je ne suis pas encore certaine de la méthode à adopter. J’activerais le chiffrement en fin de réalisation du projet. J’aimerai terminer les fonctionnalités de base sans chiffrement parce que ça rend le débug plus facile. En plus du chiffrement, je me demande si je ne vais pas le faire à la snapchat : la base serait régulièrement effacée.

Sans parler des détails de comment tu implémenteras le chiffrement, est-ce qu’il te semble possible que le serveur ait à la fois accès :

  • aux identifiants de connexion MySQL (il a probablement besoin de s’y connecter pour y stocker ou y récupérer des messages) et
  • à la clé qui permet de déchiffrer les messages (s’il veut envoyer le message en clair au client) ?

Si oui, quelle sécurité est-ce que le chiffrement apporte ? J’insiste : je ne parle pas de détails d’implémentation ou d’algo ou autres. Juste conceptuellement, est-ce qu’il te semble possible que ton serveur n’ait accès qu’à l’une ou l’autre de ces deux 'clés’, et si non en quoi est-ce que le chiffrement empêche le pirate qui accède à ton serveur de lire les messages chiffrés ?

Selon vous, parce que je ne suis pas bien sûre de mon coup, dois-je supprimer le champs département ? (j’ai eu plein de réponses différentes IRL)

Sur environ 120 millions de francophones dans le monde, seule la moitié habite dans un département français. Si ton site est réservé aux gens vivant dans ton pays, tu peux garder ce champ. Sinon, tu dois enlever ce champ.

Édité par cepus

Vous aimez le frontend ? Il y a un tas de petites tâches faciles si vous voulez contribuer à ZdS : https://github.com/zestedesavoir/zds-site/issues?q=is%3Aissue+is%3Aopen+label%3AC-Front

+0 -0
Auteur du sujet

@cepus : je comprends le problème que tu soulèves : en cas de piratage du serveur ftp, la personne obtient l’algo de chiffrement ainsi que les id de la base et donc peut sans problème déchiffrer le tout. Oui c’est vrai, mais cela rend tout de même complexe le déchiffrement, surtout si je génère une clef par utilisateur dans un algo un peu complexe. Je n’ai pas les moyens de mettre en œuvre une infrastructure avec plusieurs serveurs. Je regrette que le sujet tourne autour du chiffrement alors que je voulais orienter le chat sur le respect de la vie privée. Ce sont deux sujets connexes mais pas seulement et c’est entièrement ma faute.

Concernant le département je pense le retirer. Ce n’est pas incompatible avec l’étranger cela dit. Mais je veux vraiment demander le moins d’information possible à l’utilisateur. J’aurai pu mettre des salons comme #iledefrance, #canada, #belgique par exemple.

J’ai ajouté une fonctionnalité cette nuit : Une pastille de notification apparait quand on reçoit un message privé de la part d’un utilisateur :)

Édité par Elaine

Auteur du sujet

Oui bien sur que c’est lié. Je suis d’accord avec vous. Mais le respect de la vie privée passe aussi par la non récolte de données d’audience ou la non divulgation à des tiers (publicitaires le plus souvent). Mais bien sûr qu’il faut protéger les données utilisateur. Je me dis que si je ne les stock pas, le problème du chiffrement est résolu. Mais j’ai quand même envi de chiffrer parce que je trouve ça intéressant.

Concernant les mise à jours :

  • j’ai fait des corrections de bug
  • Amélioré le système de notifications. (un bug subsiste encore, les messages privés ne passent pas en "lu" une fois consultés)

Mon principale problème maintenant va être comment attirer du monde dessus ? Auriez-vous des pistes ? Le SEO interne est bien maigre avec une seule page. Il me faut surtout des backlinks je pense et des réseaux sociaux. Je ne souhaite pas faire de SEA pour le moment.

Concernant le département je pense le retirer. Ce n’est pas incompatible avec l’étranger cela dit.

Elaine

Je viens d’essayer ton site, il me demande un numéro de département, je ne peux pas le laisser vide. En quoi est-ce compatible avec les visiteurs qui sont pas français ou n’habitent pas en france ?

Vous aimez le frontend ? Il y a un tas de petites tâches faciles si vous voulez contribuer à ZdS : https://github.com/zestedesavoir/zds-site/issues?q=is%3Aissue+is%3Aopen+label%3AC-Front

+1 -0
Auteur du sujet

@cepus : J’ai prévu de le retirer. C’est d’autant plus pertinent suite à ta remarque. Je vais faire ça aujourd’hui d’ailleurs.

Dernière mise à jour :

  • Retrait du département (Merci Cepus)
  • Affichage de l’âge à côté du pseudo
  • Correction d’un bug à la connexion (Merci A-312)

Édité par Elaine

Auteur du sujet

Bonjour à tous,

J’ai effectué quelques mises à jour :

Mes prochains chantiers seront l’amélioration du système de notification ainsi que l’upload de photo de profil.

Je suis contente, j’ai atteint un total de 8 utilisateurs connectés simultanément hier soir, ce que je trouve encouragent. :)

Vous devez être connecté pour pouvoir poster un message.
Connexion

Pas encore inscrit ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte