О, киты приплыли

60 битков - это ни много ни мало, а миллион баксов чистыми. Теперь понятно откуда у Лерника взялся миллион долларов в битках на "выкуп" собственной персоны. Лично мне на эту биржу стрёмно даже тысячу баксов (зачёркнуто) рублей завести, а тут целый миллион долларов. Как я полагаю, с такими суммами следует решать вопросы не на публичном форуме или в чате биржи, а по-тихому, можно даже сказать по-братски, желательно лично с Лерником и паяльником

При том, что вопрос стоит о существовании backdoor'ов

И речь идёт не о том, что из сида можно сформировать публичный или приватный ключ. Ничто не мешает производителю кошелька запилить туда blackjack'а (зачёркнуто) backdoor'а, который в нужный момент отправит ваши ключи (точнее seed), куда нужно. Другими словами, не надо перекладывать с больной головы на здоровую, ибо не об этом речь. Да и насчёт удобства, тоже есть сомнения. Это надо ставить дополнительное программное обеспечение (даже если это всего лишь плагин к браузеру), которое само по себе может нести риски, без привязки к крипте как таковой. А флешку придётся теребонькать в обоих случаях

Это, конечно же, не так

Причём не так в глобальном, концептуальном смысле, поэтому можно сказать, что всё в точности до наоборот. Вся идея крипты именно и состоит в децентрализованной модели, существующей в бестрастовом окружении (trustless environment), где никто никому по умолчанию не доверяет. А когда вы пользуетесь аппаратным кошельком, вы уже по сути безусловно доверяете свои сальдо производителю кошелька. Откуда вы знаете, что в один прекрасный момент он их не украдёт? Вы видели код, который управляет этим устройством? Ну и какая же это норма для крипты? Норма - это бумажный кошелёк и подписывание транзакций вручную, остальное от лукавого (и производителей кошельков, ахахах)

И каким же образом я под неё попадаю?

Вы подписываете транзакцию на каком-нибудь древнем девайсе, которое не имеет прямого доступа к внешнему миру. Затем скидываете транзакцию на флешку и спокойно отправляете её в сеть хоть через публичный вайфай в Макдаке. И никакие уязвимости, уже известные или ещё только будущие вам не страшны в принципе. А вирусов способных встраиваться в транзакцию пока ещё не придумали. Параноики могут посчитать хеш транзакции на калькуляторе, счётах или в столбик. Как вариант, на пальцах, ахахах

Я уже предвидел подобный расклад

Но в этом случае неизбежно встаёт вопрос, зачем платить 100 баксов за девайс, когда можно точно также распечатать на бумажку приватный ключ и пользоваться обычной флешкой за пару баксов (ну или сколько там сейчас стоит самая дешёвая) для отправки подписанных транзакций в сеть? И при этом быть на 100% уверенным, что никто и никогда не сможет взломать твой аппаратный кошелёк в силу отсутствия оного, ахахах

Глупости это всё

Прежде всего, в основе "развития технологического прогресса, телевидения, интернета" и уж тем более его нарастания и усиления лежит умственная деятельность всё тех же людей, и никто пока за них ничего нового не придумывает. Другими словами, данное утверждение ложно даже по чисто формальным основаниям, не вдаваясь во всякие нюансы и подробности. Кроме того, даже если мы берём некий средний уровень, то кажущееся оглупение является следствием необходимости обработки огромного массива информации, с которым вынуждены сталкиваться люди именно по причине того самого Интернета и телевидения. Становятся ли люди от этого более глупыми? Едва ли. Скорее всего, их знания становятся более поверхностными, но это никак не следствие глобального отупления

Сразу отпишусь, что не имел дела с аппаратными ошельками, и возможно я что-то упускаю из внимания или просто не до конца понимаю. Тем не менее, как я понял, речь идёт об этой уязвимости:


Но ничто не мешает хакеру считывать seed не из оперативной памяти, а напрямую из флеш-памяти, правильно? Для того, чтобы избежать такой возможности, Trezor использует пароль, которым шифруется этот рандомизатор:


А теперь следим за руками

Trezor утверждает, что пароль нигде не хранится (ну кроме как в голове пользователя, конечно), но в тоже время можно восстановить кошелёк зная оригинальный seed, который раньше можно было считать из оперативной памяти устройства (в чём собственно и состоит описанная ранее уязвимость). Вопрос на засыпку, как много пароль добавляет к безопасности устройства, если злоумышленник может утянуть непосредственно seed, записанный где-нибудь в блокноте на рабочем столе пользователя, и спокойно получить доступ к монетам без всякого пароля и физического доступа к устройству? Как по мне, это самый что ни на есть настоящий backdoor

Я вас обрадую

Ну или огорчу, в зависимости от того, на чьей вы стороне. Для кражи денег с аппаратного кошелька вам даже не надо иметь физический доступ к нему. И не надо знать ни о каких уязвимостях, поскольку аппаратные кошельки предполагают восстановление приватных ключей через сайт производителя. Это можно назвать официальным backdoor'ом, который существует на тот случай, если с кошельком что-то случится. Сломается, например. Или вы реально думали, что его выход из строя приведёт к безвозвратной потере монет?


АМД считает иначе

Только что вышло обновление для Моциллы

Самая свежая версия - 57.0.4. Всем рекомендую срочно обновится, особенно тем, кто пользуется этим браузером. Данное обновление содержит исправления безопасности для упомянутых ранее уязвимостей Meltdown и Spectre. Обновление доступно как для Linux, так и для Windows. Более подробную информацию про данные уязвимости можно почитать здесь. Сейчас пойду ещё Оперу посмотрю. Дополнено: опера пока не шевелятся

Эта проблема заложена в самом подходе

Который нацелен на максимальное увеличение скорости доступа к памяти без каких либо проверок. Лично я вижу решение проблемы в создании защищённой виртуальной машины по типу эмулятора QEMU, скажем, на уровне браузера, который будет прогонять через себя потенциально опасный код (исполняемую в данный момент часть кода) и смотреть, не лезет ли он в чужие области тьмы (зачёркнуто) памяти, а повторно уже запускать его напрямую. Если код меняется, тогда запускаем проверку заново. В общем придумают чего-нибудь обтекаемое

Как быть с теми, кто торгует через API?

Но в целом сама схема внутренне противоречива, поскольку ежели человек торгует на бирже, то и свои монеты он хранит также на бирже, что противоречит идее кражи кошелька пользователя с его локального компьютера. Если мы, конечно, не имеем в виду условно "децентрализованные" биржи, поскольку настоящие децентрализованные бирже не могут иметь централизованных торговых площадок, а вся "торговля" реализуется через функционал кошелька. Кроме того, даже если теоретически допустить такую схему, то она вряд ли реализуема на практике, особенно та её часть, где "на страницы биржи инжектится вредоносный JS-ниндзя"

Каким образом, Карл?

Или на серверах биржи хранятся монеты (т.е. приватные ключи) клиентов? На любой нормальной бирже на сервере только движок крутится, а котлеты (зачёркнуто) кошельки отдельно, особенно если речь идёт о чём-то типа VPS, откуда даже без всяких зловредов можно умыкнуть что угодно. Помнится, несколько лет назад таким образом спёрли базу пользователей этого форума. Некто с помощью социальной инженерии получил физический доступ к серверу в стойке и стырил бекап форума, проказник, ахахах. Потом здесь был полный ахтунг (зачёркнуто) аншлаг по смене паролей

Ждём патча от VMware

С блэкджеком и шлюхами (зачёркнуто) шифрованием памяти и переадресацией (если, конечно, там действительно всё так печально с памятью). В общем я зашёл на сайт AMD и там написано, что для AMD-шных процев актуален только один тип уязвимости из трёх вариантов, который устраняется установкой патча, при пренебрежимо малой потере производительности, а именно "Resolved by software / OS updates to be made available by system vendors and manufacturers. Negligible performance impact expected". Кто знает, Линус уже запилил обновление для ядра?

Я чего-то не догоняю

Как, например, сайт запущенный на хосте может прочитать память виртуальной машины? Ну допустим прочитать-то он её прочитает, ну и что? Что он там увидит конкретно? Виртульная машина - это просто отдельный процесс со своей выделенной областью памяти, и чтобы разобраться, что в этой памяти чему соответствует, нужно писать свой собственный девиртуализатор. Я что-то не так понял и что именно?

Не Сбером единым жив криптоман

Вы забываете, что у Тинька, например, нет собственных офисов (ну за исключением офиса самого банка в Москве, конечно), поэтому люди вынуждены пользоваться банкоматами Сбера для того, что снимать наличку Тинька, да и других банков тоже, поскольку не в каждой деревне есть несберовские банкоматы. И если в случае сберовской карточки вопрос может быть решён оперативно, то как быть в этом случае с пластиком другого банка? Возможно я чего-то не понимаю, поскольку у меня (тьфу-тьфу-тьфу) карточки ни разу не "зажёвывались"

Чего ты хочешь доказать?

Ты выступил с конкретной позицией - что я якобы не понимаю, как работает LN. При этом привёл пример из которого видно, что это ты ни черта не понимаешь, как реализована данная технология. В следующий раз перед тем как выступать и пытаться доказать, что кто-то неправ ("неправильно эту технологию понимаете вы"), убедись для начала, что ты сам её правильно понимаешь, как она в реальности устроена и работает. Давай, до свидания

Винды там тоже быть не должно

Как по мне, так само использование Windows означает неплохую перспективу сказать своим деньгам гудбай, даже если там ничего кроме неё самой и кошелька нет. У меня только одна система (Windows 7) занимает на диске порядка 20 гигабайт (установлена в виртуальной машине, на всякий случай уточняю). Вот что туда понапихали, если семёрка - это по сути та же XP, только с новым, более-менее прилизанным интерфейсом? Не иначе там код Скайнета, который когда-нибудь активизируется по команде из Вашингтона (зачёркнуто) Микрософт и поработит мир

There's a certain problem with this reasoning

That is, do you justify killing an innocent due to some nasty mistake or even willful act just because real murderers should be punished with death? Look, you can't escape from this question or evade this dilemma once there is a possibility of a mistake. And there were numerous cases when people got punished with death penalty which in fact turned out to be another cold-blooded murder. There may indeed be social, religious, or whatever beliefs as well as differences between cultures, but what is your choice, personally?

Это где такое присутствует?

Я не особый фанат расширений и стараюсь их избегать в принципе (разве что за исключением AdBlock'а и Flash'а под Моциллу), поэтому, возможно, я чего-то не понимаю, но насколько помню, расширения скачиваются с официальных порталов соответствующих браузеров. И там просто не может быть описанной ситуации, когда нельзя почитать отзывы. Вероятно, есть какие-то расширения, которые устанавливаются не из официальных депозитариев, но я бы от таких держался подальше по умолчанию, независимо от того легитимные там отзывы или нет

Ну так приходится вертеться

Ведь раньше как было? Раньше всё было предельно просто и ясно. Грамотный? На кол тебя! Считать умеешь? На кол, слишком много умеешь! Ахахах. А сейчас даже в фильмах (особенно в сериалах), не поймёшь, кто главный злодей, а кто настоящий герой. Сначала одного изображают исчадием ада и реинкарнацией зла, а потом вроде как и не совсем негодяй в итоге оказывается и вроде как даже жалко становится. А на главном герое, так на самом пробу негде ставить