Title: MyEtherWallet.com - вопрос безопасности и доверия Post by: qero on January 06, 2018, 12:07:45 AM Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов.
Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW. В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW? Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе. А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных? Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: debext on January 06, 2018, 09:37:34 PM В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW? Не могу ничего сказать за гарантии, но я бы не за сбор данных переживал, а за хранящиеся средства на кошельке. Данные собирают почти все приложения, сайты и т.п. для анализа работы и иногда они и правда приносят больше пользы, чем вреда. Да и не совсем понятен вопрос, что имеется ввиду под вашими данными. Сколько монет на каком кошельке лежит? Или компрометация доступа? Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: evgen_povt on January 07, 2018, 08:43:43 AM Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов. Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW. В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW? Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе. А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных? Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить. И можно в режиме дебага проверить все отсылаемые данные на сервер. Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: novikov433 on January 07, 2018, 10:46:24 AM я себе leger nano s буду покупать. если кто то по арп спуфингу надумает взломать, то он взломает! а так будет лучше как по мне
Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: HackBTC on January 07, 2018, 06:31:43 PM Собирают часть данных они и так, но реально ведь страх в деанонимизации не имеет места, страх может быть в потере средств, Вы ведь не спонсируете запрещенные вещи с помощью этой крипты ?
А если есть сомнение, то приобретите холодный кошелёк, очень годная вещь Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: pokerstreamer on January 07, 2018, 08:30:44 PM А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных? В общем случае гарантий никаких, кроме того "специальная версия" скрипта может подсосываться не всем и не всегда. Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить. И можно в режиме дебага проверить все отсылаемые данные на сервер. А если каждый раз заморачиваться проверками и дебагами, почему бы изначально не использовать оффлайн версию? Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: qero on January 07, 2018, 08:30:55 PM Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов. Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW. В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW? Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе. А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных? Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить. И можно в режиме дебага проверить все отсылаемые данные на сервер. Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: debext on January 07, 2018, 08:40:46 PM Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов. Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW. В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW? Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе. А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных? Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить. И можно в режиме дебага проверить все отсылаемые данные на сервер. Если есть страх, то лучше пользоваться холодными кошельками, как тут уже посоветовали. А еще лучше поставить холодный кошелек на отдельный компьютер с линуксом и без выхода в интернет. Поверьте, и спать легче, и деньги в сохранности :) Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: Cepamon on January 07, 2018, 11:57:31 PM Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов. Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW. В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW? Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе. А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных? Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить. И можно в режиме дебага проверить все отсылаемые данные на сервер. Не исключено развитие событий, аналогичное etherdelta (подмена адреса сайта в ДНС). А с учетом уязвимости 03.01.2018, возможен запуск скрипта, который собирает ключи. По этому, всем необходимо поставить критические обновления и использовать аппаратные кошельки. Или как минимум использовать: 1. Браузеры, в которых учтена данная аппаратная уязвимость 2. Дополнения к браузеру, которые помогут проконтролировать сайт, в случае подмены. Для параноиков, использовать все вышеперечисленные методы. Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: Coin-1 on January 08, 2018, 12:42:40 AM Всё, что связано с сайтами - доверия не может быть никакого. Даже JavaScript-код с сервера в любое время может быть подменён.
Людям просто удобнее работать через браузер. Вроде бы, пока никаких массовых обвинений в сторону MyEtherWallet не поступало, поэтому репутация сайта высокая. Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: criptoguruBEST on January 11, 2018, 03:27:57 PM Вопрос безопасности стоит едва ли не первом месте, а о доверии и говорить не стоит.
Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: Blacked on January 12, 2018, 06:53:09 AM Людям просто удобнее работать через браузер. Вроде бы, пока никаких массовых обвинений в сторону MyEtherWallet не поступало, поэтому репутация сайта высокая. Ага, особенно после недавних событий с подменой днс серверов... Хотя история, как оказалось, была надуманной, но дыма без огня не бывает. Не зря на сайте стали советовать не пользоваться приватными ключами, а юзать джейсона.Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: Jeex on January 12, 2018, 04:37:14 PM Ага, особенно после недавних событий с подменой днс серверов... Хотя история, как оказалось, была надуманной, но дыма без огня не бывает. Не зря на сайте стали советовать не пользоваться приватными ключами, а юзать джейсона. Понятное дело, что использовать JSON-файлы безопаснее, но после недавнего нахождения дыр в безопасности в процессорах Intel в начале 2018 года, благодаря которой любой JScript из браузера может сделать с компьютером все, что угодно, проблемы с MyEtherWallet меркнут... И к сожалению, никакие патчи ПО не смогут полностью устранить уязвимость в процессорах Intel, а новые модели, без этой дыры в безопасности, появятся не ранее конца этого года, если не еще позже. Переходить на АМД тоже не вариант: там хоть нет уязвимостей, но хватает своих проблем.Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: Coin-1 on January 13, 2018, 02:20:27 AM Понятное дело, что использовать JSON-файлы безопаснее, но после недавнего нахождения дыр в безопасности в процессорах Intel в начале 2018 года, благодаря которой любой JScript из браузера может сделать с компьютером все, что угодно, проблемы с MyEtherWallet меркнут... А разве в JavaScript есть команды для работы с памятью внешних процессов?Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: criptoguruBEST on January 13, 2018, 07:48:38 AM Вопрос безопасности и доверия очень важный и для людей очень злободневный. Без доверия к системе развиваться полноценно не может.
Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: IcoHash on January 15, 2018, 07:45:57 PM я себе leger nano s буду покупать. если кто то по арп спуфингу надумает взломать, то он взломает! а так будет лучше как по мне Аналогично. Точнее уже заказал, правда ждать аж до апреля. Думаю, что если есть хотя бы пара тысяч баксов в крипте, то иначе никак. Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: 4luxon on January 16, 2018, 01:28:57 AM А есть вообще гарантии что например с того же леджера например при подключение из буфера памяти не стырят приватник , для пользователей intel ?
Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: kefan on January 20, 2018, 09:02:19 AM если были гарнтии там минимальны врядле столько людей пользовались их кошельками, однако они подвержены рискам как например один из самых банальных это зайти на кошель через зекрало
Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: Cot on January 21, 2018, 01:00:07 PM Это и есть неприятная особенность мира крипты - тут нигде нет никаких гарантий, а если их и дают, то цена их равна уровню вашего доверия к тому либо иному сервису. Не больше.
Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: vtony on January 21, 2018, 05:23:26 PM Это и есть неприятная особенность мира крипты - тут нигде нет никаких гарантий, а если их и дают, то цена их равна уровню вашего доверия к тому либо иному сервису. Не больше. Да, не приятно когда самостоятельно, читай физически, не можешь повлиять на сохранность денег. Только доверие.Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: cadreamsurf on January 21, 2018, 05:46:52 PM Если нет доверия, есть несколько вариантов выхода:
1) Метамаск, потом можно подключить его к MEW и не волноваться о подмене или воровстве приватных ключей. 2) Поставьте парити на отдельный комп и совершать все переводы от туда. 3) Ledger Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: bitadviser on January 21, 2018, 05:57:03 PM На почту пришли сообщения, скам, пытались пропихнуть ссылку MyEtherWallet.com только без одной буквы, хорошо браузер не пустил туда, некоторые недобросовестные баунти светят емайлы (
Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: t adam on January 22, 2018, 07:10:20 PM 1) Метамаск, потом можно подключить его к MEW и не волноваться о подмене или воровстве приватных ключей. не подскажите на сколько метамаск безопасней обычного входа по файлу? в плане подмены сайта или каких других хитростей. Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: OneBlago on January 23, 2018, 05:22:30 AM Насколько я понимаю разницы между метамаском и оффлайн версией того же myetherwallet нет, в смысле того что оба единожды скачанные работают до тех пор пока не будут скачаны обновления. Вопрос в том какой код достанется вам в тот момент когда вы будете его скачивать.
По-умолчанию автоматическое обновление расширения MetaMask включено. Это и хорошо и плохо. Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: DustyNomad on February 20, 2018, 08:06:18 AM Про метамаск хотелось бы вновь поднять вопрос. Уж больно эта хитрая лиса меня страшит.
- Вот поставил юзер себе аддон для браузера (метамаск) - Создал себе учетку, в которую входит по паролю, а в случае аварийной ситуации по 12 seed words Вот вроде бы и всё, но вот какие вопросы: 1. Есть ли защита от брутфорса? - Капчи я не видел. Или юзерский пароль никто не даст брутфорсить, пока 12 слов не введешь? 2. Хорошо, там можно быстро переключаться и управлять кошелями - Но как мне получить мой JSON файл? Да, не приятно когда самостоятельно, читай физически, не можешь повлиять на сохранность денег. Только доверие. Прописывайте все транзакции в оффлайне и потом отправляйте в блокчейн, как уже говорили, в том числе и в этом треде. Вполне себе физическое влияние.Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: neo_crypt on February 20, 2018, 09:38:40 AM А разве в JavaScript есть команды для работы с памятью внешних процессов? Таких команд нет и быть не может в песочнице. Делается это через speculative execution и кэш, что общее для всех процессов. Процессор просто выполняет инструкции, а для прав наложены ограничения на доступ, но все это можно обойти при желании, что не раз делалось. Я думаю там еще методов штук 20 есть данные считывать, там через всякие паразитные токи и прочие хитрости оставленные производителем. GNU уже 20 лет об этом твердит, что монополия ни к чему хорошему не приводит, но все еще нет нормальных открытых процессоров. Вообще когда на счету миллион ни о каких безопасных браузерах и речи быть не может. Только аппаратное решение. Title: Re: MyEtherWallet.com - вопрос безопасности и доверия Post by: UIXID on February 23, 2018, 05:53:05 PM На почту пришли сообщения, скам, пытались пропихнуть ссылку MyEtherWallet.com только без одной буквы, хорошо браузер не пустил туда, некоторые недобросовестные баунти светят емайлы ( Поэтому и нужно заводить отдельные почтовые ящики на всякие дропы/баунти, а основными, которыми пользуетесь для серьезных дел - нигде не светить. Повезло вам) |