Which problems did you encounter when registering/logging in?
Other people don't seem to have the problem.



Why do you need instructions to register / login into a forum?



Never had that happen before, and never heard of that issue. So can't comment on that.



No, they don't.
Electrum is open source software. If you have problems, you might ask other user or the developer for help.
But you don't have any rights to get any help. Use it, or don't. We couldn't care less.

Zunächst mal.. Wordpress? Really?
Bin da absoluter der gleichen Meinung wie Code29. Das hat mit Professionalität gar nichts zu tun.
Eignet sich vielleicht für ein paar kleine Hobbyprojekte in die man nicht zu viel Zeit stecken möchte, aber nicht für mehr.

Zweitens verstehe ich nicht was du hiermit meinst:

Das einzige was wirklich "speziell" für Crypto erforderlich ist, ist das Ein-/Auszahlungssystem und die Transaktionsüberwachung.
Alles andere unterscheidet sich kaum.

Und dafür sollte man eigentlich schon jemanden finden. Zumindest wenn du bereit bist mehr als einen Hungerlohn zahlen.


Weiterhin ist mir jetzt auch noch etwas schleierhaft wieso du nach Scripten fragst, wenn du was eigenes machen möchtest.
Scripte von anderen zusammenfügen und so etwas basteln wird sich ja wohl kaum eignen einen Service o.Ä. anzubieten.

Weil Webseiten im Gegensatz zu herkömmlicher Software nicht vom Entwickler signiert sind und keine deterministischen Builds vorhanden sind.
Es hat keinen Sinn sich den Source Code auf Github etc. anzusehen, wenn du beim herunterladen der Website keine Garantie dafür hast, dass es sich tatsächlich um diesen Code handelt.

Hinzu kommen dann noch alle anderen Probleme die existieren wenn keine Signaturen vorhanden sind bzw. überprüft werden: Das herunterladen einer bösartigen Version (z.B. via DNS hijacking auf einen bösartigen Server umgeleitet).




Ist es.
Da die Builds aber deterministisch sind (ich rede hier ausschließlich von Open Source Software wie z.B. electrum), lässt sich einerseits so eine Änderung im Source code schnell entdecken und andererseits, falls nur die Binärdatei geändert wurde, herausfinden, dass Source Code und Binärdatei nicht übereinstimmen.

Bei Webseiten lässt sich das nicht so einfach herausfinden.




Kannst du, natürlich.
Aber beim überprüfen der Signatur fällt sofort auf, dass was nicht stimmt und du kannst damit die Applikation verwerfen.
Bei einer Website fehlt dieser Kontrollmechanismus komplett.




Natürlich habe ich nicht jeden Generator überprüft.
Aber bei sensitiven Operationen (Schlüsselgenerierung etc.) sollten niemals Javasacript verwendet werden. Gerade diese Bibliotheken sind oft sehr fehlerhaft und enthalten Schwachstellen welche unter anderem den Schlüsselraum einschränken und in der Tat eine reelle Bedrohung darstellen.
Gab auch schon einen Fall, in dem eine Javascript Bibliothek manipuliert wurde um BTC zu stehlen.


Zudem unterschätzt du glaube ich die Schwachstelle von Trezor.
Die Mehrheit der Nutzer verwendet kein zweites Passwort (BIP39 passwort-geschützten Seed). Die meisten verlassen sich auf die Hardware + Pin + Fakt, dass der Seed nach X Versuchen gelöscht wird.

Mit der Hardware Schwachstelle lässt sich jedoch der verschlüsselte Seed mittels Powerglitching vom Trezor extrahieren. Daraufhin kann die bis zu 9 Zeichen lange Pin gebruteforced werden.
Da hilft es nur noch zusätzlich ein BIP39 Passwort zu verwenden.
Das Problem beim Trezor One ist unter anderem, dass das Passwort über den Rechner (potentiell kompromittiert) eingegeben werden muss. Mit "verwendbar mit kompromittierten Geräten" hat das dann auch nicht mehr sehr viel zu tun.

Natürlich handelt es sich hierbei um eine lokal ausnutzbare Schwachstelle und keine, die über das Netzwerk (Internet) ausgenutzt werden kann. Dennoch sollte man sich dem bewusst sein.




Eine VM sollte nie als sicher angsehen werden, falls der Host kompromittiert ist.
Zu deinem 2. Punkt: Das stimmt. Es müsste sogar nicht mal eine Schwachstelle in der Gasterweiterung sein, gab auch schon kritische Schwachstellen in der Virtualisierung (wie u.a. auch in Browsern schon vorgekommen).

Wurde in diesem Update leider geändert.



Finde es auch eher unpraktisch.
Der Button "Send" suggeriert, dass die Transaktion so gesendet wird. Und nicht, dass die Möglichkeit die Gebühr einzustellen später noch kommt.

Verstehe die Entscheidung dahinter auch nicht wirklich.

Neu ist relativ. Das Update kam vor mehr als 2 Wochen.  
Aber besser spät als nie  

Beim Updaten aber bitte immer die Signatur verifizieren. Geht mit GPG4Win unter Windows in weniger als 2 Minuten.

Nutze electrum zwar nicht aber es müsste unter den "Advanced" Einstellungen auftauchen, nachdem man auf "Pay" oder "Send" geklickt hat.

UI-technisch ist die Entscheidung fragwürdig.. aber so ist es eben. Dort sollte man die Gebühr anpassen können.

Also angenommen der alte Key und der Rechner sind kompromittiert?
Wenn du dann mit "offline" meinst von einer Linux-Distribution auf einem USB-Stick, dann ja. Das ginge so.
Am besten die Transaktion ohne RBF broadcasten (kann in den Einstellungen von Electrum deaktiviert werden).

Aber, es kommt natürlich darauf an wie konkret verfahren wird.
Wird der neue Key auf dem kompromittierten Rechner erstellt (also im infizierten Betriebssystem) und wird dieser später wieder ans Netz geschlossen? Unsicher.
Wird stattdessen eine Live-Distribution verwendet, höchstwahrscheinlich sicher.


Wenn ich dich richtig verstanden habe, dann wäre die kurze Antwort: Ja reicht aus.

But there literally is not a single reason to download any software when there are built-in command line tools to retrieve the information you are looking for.
A single command is all OP has to enter.

I didn't even know that 32 bit CPU's are still a thing. I can't imagine OP is using a 32bit only CPU.

And that's exactly why people who (at least somewhat) care about their privacy should use software (e.g. browser extensions) to block ads, trackers and javascript.

uBlock origin (for easy usage) or uMatrix (for advanced user) together with HTTPS Everywhere and NoScript are enough to not get tracked across the whole web by everyone while also browsing securely and limiting the attack surface.
Definitely recommendable.

I'd recommend you to not use jaxx.
Their developer are extremely incompetent.


The Desktop version has a severe vulnerability where anyone with a few seconds access to your computer (e.g. network access) is able to extract your seed.
The reason for that is a faulty encryption.

After disclosing the vulnerability to them, they claimed its not a vulnerability at all and your wallet "is only as secure as your computer".
The statement itself is true, but that's a horrible excuse to not fix the vulnerability. There are many scenarios where this can be exploited, while other wallets (e.g. every other proper wallet like core, wasabi, electrum, ..) are not vulnerable in those scenarios.


I wouldn't touch anything from the jaxx development team.

"Watch only" means that you can only watch that address. You don't need to control it.

Watch only basically is checking the blockchain for updates regarding that address (i.e. incoming/outgoing transactions).
Anyone can do it.

Most mobile wallets offer that option to import addresses to watch (e.g. electrum).

No, it's not.
Your wallet stays fully functional while a transaction is being confirmed. It was just a coincidence.




A CPFP means to use unconfirmed outputs from a parent transaction as new inputs in a new (child) transaction with a fee high enough to pay for both transactions.
If the total fee rate of both transactions is worth it, miners do want to include your second transaction which requires them to also confirm the first transaction. This can happen in the same block.

If you did use unconfirmed outputs as an input (e.g. by using some change), then it indeed was a CPFP. Otherwise not.




Transactions never can be cancelled.
But electrum offers to replace an unconfirmed transaction by broadcasting one sending the funds to yourself.

Please note that a transaction is not completed until it has at least 1 confirmation. At that point it can't be cancelled anymore.

Can you define "standard fees" ?

The total fee paid is influenced by the size of the transaction.
The size of a transaction is influenced by the amount of inputs and outputs.

Depending on how fast you want your transaction to be confirmed, you need to choose a higher fee rate.
If you can wait, you can freely choose 1 sat/vB as your fee rate.

I can't imagine this would result in a fee being as high as 30$.
The mempool is quite clogged right now as you can see here. For a confirmation within the next few blocks, a fee rate of more than 100 sat/vB would be necessary.
If you can wait a few days (e.g. until sunday night), a fee rate below 10 sat/vB is most often enough to get your transaction confirmed.

Ok. Hier hab ich aufgehört zu lesen.

Bitte niemals ein Paper Wallet mit Hilfe einer Website (egal ob online oder offline) erstellen.


Selbst wenn du die Offline Seite in einer absolut perfekt abgeschirmten Umgebung aufrufst und verwendest (d.h. nicht einfach nur deinen Rechner vom Netz getrennt), kannst du dir nie sicher sein, dass deine Keys korrekt erstellt wurden.
Die Gründe sind dafür verschieden:

• Keine Möglichkeit den Code zu verifizieren
• Bösartige Manipulation des Codes (z.B. Zufallszahlengenerator)
• Code wurde bei der Übertragung oder auf deinem Rechner manipuliert
• Veraltete Bibliotheken wurden genutzt (können u.a. Schwachstellen bei Keygenerierung enthalten)

Wenn du auf eine einfache Art und Weise ein Paper wallet erstellen willst:
1. Boot-fähigen USB Stick mit einer Linux Distribution erstellen (PGP Signatur verifizieren)
2. Electrum herunterladen (Signatur verifizieren)
3. Ohne Netzwerkverbindung vom USB-Stick booten
4. Electrum Wallet erstellen
5. Den Mnemonic Code (die 12 Wörter) aufschreiben, sowie X Adressen (eben so viele wie du haben möchtest)
6. Electrum wallet-Datei löschen und nochmals mit den gleichen 12 Wörtern herstellen -> Dient zur Überprüfung ob die gleichen Adressen wiederhergestellt werden
7. Rechner herunterfahren

Und bitte verwende beim ausdrucken keinen Netzwerkfähigen Drucker oder modernen Drucker mit Puffer.

Ich würde dir empfehlen ein neues (ordentliches) Paper Wallet zu erstellen und alles zu übertragen.


Und um damit nun auch auf deine Frage zu antworten: Wenn du dein Paper Wallet, wie von mir oben beschrieben, erstellt hast dann gibt es keinen Grund nochmals "überprüfen" zu müssen ob der Private Key (oder in meinem Beispiel: der Mnemonic Code) stimmt.





Wenn der Host kompromittiert ist, dann ist die VM ebenfalls kompromittiert.
Eine VM zu benutzen (auch offline) ist in diesem Kontext nicht sicher.

Glaubst du wir kennen hier alle Gebühren von jeder Handelsbörse auswendig?

Rate mal was wir tun wenn so eine Frage kommt.. richtig.. eine Suchmaschine benutzen.
Ist es deswegen wirklich zu viel verlangt wenigstens 2 Minuten in eine Internetsuche zu investieren?




Du meinst also in etwa so Leute, die in einem Forum Fragen stellen die sich mit 2 Minuten googlen beantworten lassen? Hmm..




Auf einer Börse kaufen und nicht auszahlen.
Ist zwar unsicher und risikoreich, aber da es sich eh nur um geringe Summen handelt und es nicht sicher ist ob die BTC wirklich behalten werden, wäre das ein Kompromiss.
Bei höheren Summen (>1000€) fallen die Gebühren kaum mehr ins Gewicht. Zudem lohnt es sich z.B. keine "Sofort kaufen" Optionen zu verwenden sondern in etwa einen Exchange mit Orderbuch (z.B. Kraken).

"We" aren't choosing one over the other.

In the end, it really doesn't matter which you choose and only comes down to your own preference.

Do you want to install the wallet properly without giving up more space than necessary? Go for .tar.gz
Do you want it to be just a single file you need to run and don't care that libraries are included you already got installed which take up a few more MB while guaranteeing better compatibility between all systems? Go for .AppImage


Security-wise it doesn't matter as long as you verify the signature.

Malware nistet sich im System ein, indem Registry, Autostart, andere Prozesse etc. manipuliert und/oder übernommen werden.

Es ist durchaus möglich, dass fortgeschrittene Malware z.B. andere ausführbare Datein (.exe) infiziert.
Dadurch ändert sich jedoch die Signatur der Datei. Das heißt, dass z.B. der PDF Reader von Acrobat wenn er gestartet wird, jetzt nicht mehr als "von Adobe" signiert, sondern "von unbekannter Hersteller" (o.Ä.) dargestellt wird. Das fällt also auf.

Aber: Dateien - im Sinne von Text, Bild, oder Video - werden nicht infiziert, da diese ja auch nicht auf dem System ausgeführt, sondern nur von einer Software interpretiert werden.
Sollte eine Sicherheitslücke in der zu interpretierenden Software (z.B. Videoplayer, PDF-Reader, etc..) bekannt sein, wäre es theoretisch schon möglich solche Dateien zu infizieren um den Rechner daraufhin wieder zu kompromittieren.
Hier reden wird dann aber schon von sehr fähigen Angreifern. Das hat mit dem "Ich habe mich aus versehen einen Virus heruntergeladen" (99%+) nichts mehr zu tun.


Daten (Bild, Text, Video, ...) lassen sich also immer noch gut retten.
Die sollten dann aber auch nur von aktueller Software (Kein PDF-Reader mit dem Update-Stand von 2013) geöffnet werden. Dann ist in den aller meisten Fällen alles gut.

And OP shouldn't do that, even if he could.
Windows is not able to read other file systems properly.

For forensic tasks, you should always use a linux-based distro. Especially if the OS from which you are trying to recover is a linux distro (i.e. linux file systems).




When rebooting, there usually is a short period of time where the RAM is not powered.

Wenn es sich um alt bekannte und weit verbreitete Malware handelt, ja.
Andernfalls, nein.

Sicher kannst du dir nie sein. Aber wenn du weiterhin Windows 7 nutzen möchtest, dann macht es auch keinen Sinn Malware zu entfernen.

Hat es irgendeinen Grund, dass du weiterhin ein Betriebssystem nutzen möchtest das nicht mehr unterstützt wird und das End-of-Life erreicht hat?

Nein.

Du nutzt Windows 7. Das ist outdated, hat eine Menge Sicherheitslücken, wichtige Sicherheitsmechanismen fehlen und ist zusammenfassend gesagt ein offenes Scheunentor.

Das hat nichts mit einem "Hacker" zu tun. Jedes 13 jährige Kind, dass googlen kann, kann einen Windows 7 Rechner automatisiert kompromittieren.


Sichere deine wichtigsten Daten, formatiere deine Festplatte und installiere Windows 10.