Mastodawn

Bruno S. ☨Apr 8, 2017

Ceci est *peut-être* la première instance de Mastodon sur Tor :
http://metaldgap4xw5hlo.onion
Bon par contre, pour la fédération, je me demande comment ça va marcher.
Si vous pouviez booster ce toot, j'aimerai bien discuter de l’intérêt d'une instance sur Tor.

Bruno S. ☨Apr 8, 2017

Il faudrait que les autres instances aient un accès Tor pour fédérer une instance Tor avec "l'extérieur".
Ça risque pas d'arriver tout de suite.
Donc en gros avec une instance sur Tor, on crée un deuxième fediverse....

Bastien Le Querrec Apr 8, 2017

@BrunoSpy Pourquoi ne pas avoir une même instance accessible via un .onion mais délivrant des comptes via une URL classique ? Comme si mastodon.social était accessible via un .onion :
- Pour les utilisateurs de Tor, avantages du .onion
- Pas de séparation en deux de la Fediverse.

Bruno S. ☨Apr 8, 2017

@blequerrec Pourquoi pas. Ce serait une solution de compromise. Mais dans ce cas, est-ce que les utilisateurs sont réellement protégés ?

Bastien Le Querrec Apr 8, 2017

@BrunoSpy Je pense, s'ils passent par le .onion. @aeris pourra le confirmer ou l'infirmer je pense.

aeris 🏳️‍🌈

@blequerrec @BrunoSpy La question est double en fait. Si tu te connectes en tant qu’humain à une web-UI en .onion, tu seras safe. Par exemple https://social.aeriszyr4wbpvuo2.onion/@aeris

aeris 🏳️‍🌈Apr 8, 2017

@BrunoSpy @blequerrec La difficulté vient plutôt de la férédation over Tor. Actuellement, le code de Mastodon ne peut pas gérer plusieurs domaines pour une même instance, cause du webfinger qui met le domaine en dur. Donc soit tu montes une 2nde instance, soit ça va merder.

aeris 🏳️‍🌈Apr 8, 2017

@blequerrec @BrunoSpy Idéalement, je pense qu’il « suffira » de mettre une petite plâtrée de conditions à quelques endroits pour faire de la conversion plainnet/tornet à la volée à partir d’un nom d’instance standard. C’est déjà dans ma todo-list de contribution à Mastodon, juste derrière 2FA. (Et après avoir fini la new version de cryptchek… /o\)

Bruno S. ☨Apr 8, 2017

@aeris @blequerrec belle Todo :)
Le 2FA est en effet un manque cruel.

aeris 🏳️‍🌈Apr 8, 2017

@BrunoSpy @blequerrec La 2FA existe déjà, juste qu’elle est 1- mal implémentée (gros problème de sécu) 2- tu as toutes les chances de finir locké en dehors de ton compte :P

Bruno S. ☨Apr 8, 2017

@aeris @blequerrec dans le lien que tu donnes, je n'ai pas accès à ta réelle identité, ou je me trompe (en clair je ne peux pas te remote follow via ce lien) ?

aeris 🏳️‍🌈Apr 8, 2017

@BrunoSpy @blequerrec C’est l’identité du serveur qui est protégée avec Tor. Nullement celle de l’utilisateur ou de l’administrateur. C’est à l’utilisateur d’ensuite faire attention à ce qu’il va publier.

aeris 🏳️‍🌈Apr 8, 2017

@blequerrec @BrunoSpy Actuellement si, tu vas pouvoir me remote-follow. Sauf que ça ne va pas bien fonctionner, parce que Mastodon ne saura pas passer par le proxy SOCKS Tor pour faire les connexions.

Bruno S. ☨Apr 8, 2017

@aeris @blequerrec je peux te remote-follow avec une identité sur le plainweb, pas avec une identité sur tor.

https://social.aeriszyr4wbpvuo2.onion/users/aeris/remote_follow
->
Could not find the required redirect URL for your account

aeris 🏳️‍🌈Apr 8, 2017

@BrunoSpy @blequerrec Oui, ça ne va pas marcher actuellement parce que pas de support de SOCKS côté Masto. Mais en théorie, tout est déjà présent côté réseau.

Bruno S. ☨Apr 8, 2017

@aeris donc imaginons une instance accessible plainweb et tor (avec les PR qui vont bien pour que ça fonctionne).
Les utilisateurs se retrouvent avec deux identités exposées et totalement équivalentes ?

aeris 🏳️‍🌈Apr 8, 2017

@BrunoSpy Oui. Mais quitte à pondre du code, il faudrait justement traiter le cas pour que ça ne soit vu que comme une seule entité. Et convertir à la volée plainnet → tornet.

aeris 🏳️‍🌈Apr 8, 2017

@BrunoSpy Dans l’idée, il « suffit » de dire « oh, pour le gens en @example.org, en fait il faut que tu passes par example.onion et via le proxy SOCKS ». La fédération ne se fera alors plus que via Tor pour ce profil.

Bruno S. ☨Apr 8, 2017

@aeris @blequerrec ceci étant, si tu as un exemple de conf nginx pour publier une instance sur tor et plainweb comme tu l'as fait, je suis preneur.
(j'ai pas réussi à désactiver le https sur tor uniquement, et pas de certif letsencrypt en .onion...).

aeris 🏳️‍🌈Apr 8, 2017

@BrunoSpy @blequerrec C’est exactement la même que la standard. Faut juste virer les directives TLS et tout ça. En vrai c’est un peu plus compliqué si on veut justement publier en HTTP et non HTTPS (c’est plus ou moins conseillé pour un service caché Tor), parce que Mastodon supporte mal le double protocole.

aeris 🏳️‍🌈Apr 8, 2017

@blequerrec @BrunoSpy Donc dans mon cas, ça reste en HTTPS (la localisation de mon serveur n’est un secret pour personne), et donc la config nginx se résume à ajouter l’adresse en .onion à côté de l’adresse en .fr dans le server_name.

aeris 🏳️‍🌈Apr 8, 2017

@BrunoSpy @blequerrec Et ça tombe vachement mieux en marche que sur GNU/Social, qui a la fâcheuse tendance d’hardcoder toutes les URL, ce qui n’est pas le cas de Masto.

Bruno S. ☨Apr 8, 2017

@aeris @blequerrec ok, c'est ce que j'avais fait, mais comme je tenais absolument à distinguer plainweb et tor pour éviter la redirection https dans le deuxième cas, ça ne tombait pas en marche.

@aeris @BrunoSpy HTTPS self signed en onion ?

aeris 🏳️‍🌈Apr 8, 2017

@Exagone313 @BrunoSpy Ce n’est pas conseillé d’avoir de HTTPS sur les services cachés. Déjà parce que le chiffrement est déjà traité par le réseau Tor lui-même. Ensuite parce que ça peut donner des infos sur ton serveur justement.

@aeris @BrunoSpy ok ça semblait bizarre.

Bruno S. ☨Apr 8, 2017

@aeris y a quand même le 301 à modifier ;)

aeris 🏳️‍🌈Apr 8, 2017

@BrunoSpy Le 301 ?

Bruno S. ☨Apr 8, 2017

@aeris au temps pour moi, à force de bidouiller mon fichier, y a des verrues....

Bruno S. ☨Apr 8, 2017

@aeris bon c'est malin, c'est cassé
https://metaldgap4xw5hlo.onion
Je regarderai ça demain.