Le système #Gemini, revenir à du simple et sûr pour distribuer l'information en ligne ? (Le Web est trop complexe et offre trop de possibilités de pistage.)

bortzmeyer.org/gemini.html

#sobriétéNumérique #lowCost #Gopher #viePrivée

(J'attends maintenant que Framasoft crée un FramaGemini...)

@bortzmeyer Simple et sûr quand tu vois qu’ils ont une incompréhension quasi-total de X.509 et de TLS, j’ai un gros doute quand même 🤣

@aeris J'aime ton sens de la nuance. « incompréhension quasi-total de X.509 et de TLS  » juste parce que des gens publient de l'auto-signé ?

@bortzmeyer @aeris on vient d'avoir une discussion sur le sujet et je maintient aussi que juger un protocole avec un an d'existence est risqué, ça peut mal tourner comme trés bien réussir, et si des gens trouvent ça mal sécurisé il s'en trouvera bien certains pour corriger cela, ou non …

@codeurimpulsif @bortzmeyer Sauf que là on parle de concept tellement bas niveau que tout gemini risque d’être à revoir. Parce qu’on ne rentre pas de la sécurité avec un chausse-pied une fois le truc déjà lancé…

@aeris @bortzmeyer ça tombe bien car il n'est pas encore "vu" tout court, les specifications peuvent encore bouger et avec l'engouement qu'est en train de succiter le projet ça pourrait bien partir dans le bon sens, on reviens dans un an pour en juger ? 😉

@codeurimpulsif @bortzmeyer On peut lui laisser sa chance, mais la probabilité que ça arrive à un truc correct à la fin avec un tel départ est plus proche de ε que d’autre chose.

@aeris @codeurimpulsif @bortzmeyer la dite probabilité serait probablement plus élevée si tu leur expliquais plutôt que juste râler sur masto 😉

@mmu_man @codeurimpulsif @bortzmeyer La snakeoil crypto, c’est un peu comme les fake news : au bout d’un moment tu en as un poil marre de passer 10h à débunker un truc qui a été écris en 10s, et de devoir ensuite passer 10 autres h à expliquer. Et finir par maintenir le projet tout seul parce que les autres ne souhaitent de toute façon pas faire de crypto.

@mmu_man @codeurimpulsif @bortzmeyer Sachant en plus que gemini ne réglera pas les problèmes qu’il dit pouvoir régler. HTTP/HTML, c’est ce qu’on en a fait qui fait que ça en est devenu de la merde. Gemini prendra le même chemin si ça perce un jour.

@mmu_man @codeurimpulsif @bortzmeyer Si on veut une « bonne » alternative au web moderne, ce n’est pas un nouveau protocole ou format qu’il faut écrire, mais « juste » prendre un Firefox, lui virer JS et restreindre un peu HTTP et on devrait avoir un truc vachement bien.

@lanodan @mmu_man @bortzmeyer @codeurimpulsif Leur explication me semble vaseuses. Distinguer un site d’un autre se fait simplement en changeant le scheme qui n’a jamais été obligatoirement lié à son protocole d’en dessous.

@lanodan @mmu_man @bortzmeyer @codeurimpulsif Et dire « on ne peut pas virer toutes les features moisies » ben si ça s’appelle virer JS de HTTP et/ou faire un client HTTP custom (basé sur le scheme gemeni://)

@aeris @mmu_man @bortzmeyer @codeurimpulsif
HTTP faudrait virer au moins:
- ETags (tu le fais comment dans ton firefox de manière propre ça? 😛)
- Cookies

Faudrait virer le principe de fonctionnement de faire encore et toujours des requêtes à gogo (scroll infini, rafraichissement automatique, …) du Web. Gemini casse le truc des multi-requêtes par design.

@lanodan @mmu_man @bortzmeyer @codeurimpulsif Je ne dis pas que HTTP ne permet pas le tracking, je dis juste que c’est plus ou moins le cadet de nos soucis actuellement.

@lanodan @mmu_man @bortzmeyer @codeurimpulsif Et que cookie ou etag se réimplémentent server-side dès lors que tu as un seul entête à contenu déterminable server side. aka à mon avis n’importe quel protocole.

@lanodan @mmu_man @bortzmeyer @codeurimpulsif Si j’ai pas de cookie ou d’etag à dispo, je passe par les URL générées dynamiquement contenant tout ce que j’ai besoin.

@aeris @mmu_man @bortzmeyer @codeurimpulsif Le tracking par URL, bien que possible dans gemini c'est quelque chose d'hyper visible et on aurait un seul truc genre CleanLinks dans les navigateus, youpi.

Pendant ce temps sur le web:
- Tu veux de HTTPS partout? Prend cette collection gigantesque de regex.
- Tu veux pas de requêtes additionnelles? Euuh, bah en fait non. AdBlock/uMatrix c'est bien gentil mais c'est mettre de la chantilly sur de la merde.

@lanodan @mmu_man @bortzmeyer @codeurimpulsif Bien visible non. Il suffit de randomiser le nom des paramètres.
Et pour HTTPS partout ou µBlock/µMatrix, je ne vois pas en quoi gemini ne verrait pas surgir le problème si le truc se met à fonctionner.

@aeris @mmu_man @bortzmeyer @codeurimpulsif Y'a juste pas de requête additionnelles sur gemini, toute requête est explicite vu que c'est aller sur une page.

Et gemini à forcément HTTPS, donc ce soucis existe pas.

À la limite pour l'URL tu pourrais avoir un truc impossible à nettoyer parceque y'a rien à virer, mais tu encoderais quoi comme info dans ton URL?
Un graph de l'historique quoique un peux casse-pied est à des années lumière de genre le HTTP Referer fait (tient un truc que j'ai oublié de HTTP) ou de ce que l'on a avec le moindre tracker, qui sont potentiellement impossible à virer définitivement avec µMatrix/µBlock₀ et tu le sais (third-party, first-party sous-hôte, first-party sous-domaine, …).

@lanodan @mmu_man @bortzmeyer @codeurimpulsif Et ma position est que quelque soit le protocole, on arrivera à le détourner si le contenu est trop riche.

@lanodan @mmu_man @bortzmeyer @codeurimpulsif HTTP/HTML ne me semblent donc pas une mauvaise idée en soi, mais ce qu’on en a fait si. JS est une hérésie par contre à butter.
Et gemini ne fera pas mieux que HTTP à ce niveau, et a priori plutôt moins bien.

Follow

@lanodan @mmu_man @bortzmeyer @codeurimpulsif Je ne dis pas qu’on peut le sauver, je dis juste qu’il a suffisamment été battle-testé pour qu’on en tienne aussi compte.

@aeris @mmu_man @bortzmeyer @codeurimpulsif Sauf que gemini est en soit une conclusion de faire un subset globalement propre du web sans devoir refaire le modèle client-server (dat, zeronet et autre trucs on en parle que très peu en comparaison et ça n'a pas décolé en tant que protocole coté implémentations).

Le web est pas mal un protocole où on à pu faire tout et n'importe quoi sans aucune limite, on pourrait le prendre comme example d'un truc en mode "garbage in; garbage out", c'est battle-tested ouais mais pour des horreurs qui sont faciles à éviter dans un nouveau protocole.

@lanodan @mmu_man @bortzmeyer @codeurimpulsif Pas protocole justement. Là tu es en train de critiquer le contenu (HTML/CSS/JS) et non le protocole (HTTP)

@aeris @lanodan @bortzmeyer @codeurimpulsif c'est vrai que le HTTP sans le HTML ça limite pas mal, à part wget on aurait pas trop d'utilisation.

@lanodan @mmu_man @bortzmeyer @codeurimpulsif Et donc que de partir sur « on va refaire le protocole » me semble une erreur.

@lanodan @mmu_man @bortzmeyer @codeurimpulsif À la limite qu’on restreigne un poil HTTP au passage (Cookie & Etag, mais alors qu’on m’explique comment on va gérer l’authentification ou le cache), mais le très gros du boulot est sur le contenu.

@aeris @mmu_man @bortzmeyer @codeurimpulsif
Pourquoi se risquer à faire du cache sur un protocole fait pour des documents et fichiers léger (y'a des trucs autre comme les torrents pour les gros trucs)?

Parceque bon okay tu vire ETags mais si ton navigateur fait un HEAD et après un GET mais seulement pour quelques requêtes, tu peux le voir derrière dans tes logs, juste pas fait à ma connaissance dans HTTP parceque y'a des trucs beaucoup plus simple (genre ETags où tu regarde juste une ligne dans tes logs).

Et authentification:
- Le protocole peut demander une chaine de caractères à l'utilisateur
- L'URL peut contenir un token non-découvrable (comme les pads et jitsi meet font par example)
Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!