Sans compte GitHub.
Juste Touch ID.
Tu n'es pas développeur·euse mais tu veux contribuer scientifiquement ? Tu n'as pas envie de te créer un compte GitHub ? Le Worker proxy Bactaegion accepte ta contribution signée par WebAuthn (Touch ID, Windows Hello, clé FIDO2), vérifie la signature cryptographique, et crée la pull-request GitHub à ta place via sa clé bot dédiée.
Visiteur (browser) Cloudflare Worker GitHub
───────────────── ────────────────── ──────────────
┌ Touch ID / Windows Hello ┐
│ signe payload canonical │
└────────────┬─────────────┘
│
▼
┌ canonical + JWK pub + sig ┐
└────────────┬──────────────┘
│ POST /v1/submit-signed-payload
▼
┌ vérifie ECDSA P-256 ┐
│ vérifie challenge │
│ = SHA-256(canon) │
│ rate-limit 5/min/DID │
└──────────┬───────────┘
│
▼
┌ create branch ┐
│ create file in branch │
│ create PR vers main │
└──────────┬────────────┘
│
▼
┌ PR ouverte ┐
│ + watchlist │
│ + labels │
└─────────────┘
│
◀─────────────── pr_url ────────────┘
Le visiteur ne sait jamais que c'est git en sous-couche. Pour lui c'est : "j'ai mes données locales, je touche mon empreinte, ça part dans la queue de review du projet". Friction minimale, garantie cryptographique maximale.
- Signature cryptographique vérifiable
ECDSA P-256, conforme WebAuthn Level 2
Le Worker recompute SHA-256 du canonical, vérifie que c'est bien le challenge utilisé pour la signature. Aucune soumission falsifiée ne peut passer.
- Rate limit serré
5 soumissions / minute / DID
Une attaque par flood demanderait des centaines de DIDs physiquement créés. Économiquement non-rentable (chaque DID demande une interaction biométrique).
- Journal d'audit dans R2 public
ts + did + kind + pr_url
Toute soumission est tracée. Aucune PII au-delà du DID (qui est cryptographique, pas nominatif).
- Aucun stockage de contenu côté Worker
le contenu vit dans git uniquement
Le Worker est un passe-plat. Si Cloudflare ferme le service, tout le contenu est dans le repo GitHub (et dans le mirror Codeberg). Bactaegion ne dépend pas du Worker pour exister.
La démo ci-dessous soumet une annotation de test inoffensive via le Worker proxy. Tu peux la lancer pour vérifier que ta clé WebAuthn + le Worker fonctionnent ensemble, sans déposer de vraie contribution scientifique. La PR créée sera fermée et archivée par le mainteneur.