Aller au contenu principal
Worker proxy · WebAuthn → PR

Sans compte GitHub.
Juste Touch ID.

Tu n'es pas développeur·euse mais tu veux contribuer scientifiquement ? Tu n'as pas envie de te créer un compte GitHub ? Le Worker proxy Bactaegion accepte ta contribution signée par WebAuthn (Touch ID, Windows Hello, clé FIDO2), vérifie la signature cryptographique, et crée la pull-request GitHub à ta place via sa clé bot dédiée.

Architecture
   Visiteur (browser)              Cloudflare Worker        GitHub
   ─────────────────              ──────────────────       ──────────────
   ┌ Touch ID / Windows Hello ┐
   │ signe payload canonical  │
   └────────────┬─────────────┘
                │
                ▼
   ┌ canonical + JWK pub + sig ┐
   └────────────┬──────────────┘
                │ POST /v1/submit-signed-payload
                ▼
                            ┌ vérifie ECDSA P-256  ┐
                            │ vérifie challenge    │
                            │   = SHA-256(canon)   │
                            │ rate-limit 5/min/DID │
                            └──────────┬───────────┘
                                       │
                                       ▼
                            ┌ create branch         ┐
                            │ create file in branch │
                            │ create PR vers main   │
                            └──────────┬────────────┘
                                       │
                                       ▼
                                                    ┌ PR ouverte ┐
                                                    │ + watchlist │
                                                    │ + labels    │
                                                    └─────────────┘
                                       │
   ◀─────────────── pr_url ────────────┘
        

Le visiteur ne sait jamais que c'est git en sous-couche. Pour lui c'est : "j'ai mes données locales, je touche mon empreinte, ça part dans la queue de review du projet". Friction minimale, garantie cryptographique maximale.

Garanties
  • Signature cryptographique vérifiable ECDSA P-256, conforme WebAuthn Level 2

    Le Worker recompute SHA-256 du canonical, vérifie que c'est bien le challenge utilisé pour la signature. Aucune soumission falsifiée ne peut passer.

  • Rate limit serré 5 soumissions / minute / DID

    Une attaque par flood demanderait des centaines de DIDs physiquement créés. Économiquement non-rentable (chaque DID demande une interaction biométrique).

  • Journal d'audit dans R2 public ts + did + kind + pr_url

    Toute soumission est tracée. Aucune PII au-delà du DID (qui est cryptographique, pas nominatif).

  • Aucun stockage de contenu côté Worker le contenu vit dans git uniquement

    Le Worker est un passe-plat. Si Cloudflare ferme le service, tout le contenu est dans le repo GitHub (et dans le mirror Codeberg). Bactaegion ne dépend pas du Worker pour exister.

Test en direct

La démo ci-dessous soumet une annotation de test inoffensive via le Worker proxy. Tu peux la lancer pour vérifier que ta clé WebAuthn + le Worker fonctionnent ensemble, sans déposer de vraie contribution scientifique. La PR créée sera fermée et archivée par le mainteneur.

← Toutes les voies de contribution Mon identité locale (DID) Code du Worker sur GitHub