BrainWallet AGAIN

[dserrano5]

Usar la pagina offline (y no volver a conectarla). Dado que si funciona ya que es un client side java, la creen una buena y sencilla alternativa?

No sólo es buena y sencilla sino también comúnmente recomendada.

(ojo, no es java sino javascript)

[amgomez]

Y os fiais del programa de un tercero para calcular vuestra wallet?

Edit: No me he explicado bien. Me refiero al programa de una página web, por muy "offline" que lo ejecutéis.

[tbcoin]

Y os fiais del programa de un tercero para calcular vuestra wallet?

Edit: No me he explicado bien. Me refiero al programa de una página web, por muy "offline" que lo ejecutéis.

El código esta ahi, son proyectos que puedes descargar directamente de github, es tan fiable como confiar en un cliente bitcoin.

[amgomez]

Quería decir que, en el peor caso, prefiero usar el addrgen.py frente a brainwallet.org.

El código del addrgen.py es fijo (además es código fuente directamente interpretado por python, no es ni siquiera un ejecutable) y revisable por cualquiera. Brainwallet puede enviarte en cualquier momento un código que no haya revisado nadie.

[dserrano5]

Quería decir que, en el peor caso, prefiero usar el addrgen.py frente a brainwallet.org.

El código del addrgen.py es fijo (además es código fuente directamente interpretado por python, no es ni siquiera un ejecutable) y revisable por cualquiera. Brainwallet puede enviarte en cualquier momento un código que no haya revisado nadie.

brainwallet es código fuente interpretado por un motor de javascript, tampoco es un ejecutable. Y si te lo guardas en tu ordenador, el código también es fijo. No tienes muchas más probabilidades de problemas con una opción que con otra. Lo que tiene addrgen es que es bastante simple (180 líneas), porque simplemente va a lo que va y punto. Brainwallet (y bitaddress, dicho sea de paso) tienen más chicha porque te permiten hacer más cosas.

[maxcarjuzaa]

Ojito con el historial de la shell, que guarda todos los comandos en claro, incluyendo:

Code:

$ echo "clave privada" | shasum

y

Code:

$ bitcoind walletpassphrase "clave del wallet"

Para ejecutar cosas como esas de forma segura (usando bash):

- abrir una terminal nueva
- teclear 'unset HISTFILE'
- ejecutar el comando que sea
- cerrar la terminal lo antes posible

Si ya habéis ejecutado algo sin tomar esta precaución del 'unset HISTFILE', debéis editar el .bash_history y borrar a mano los comandos que contengan contraseñas (pero eso no necesariamente hace que tales comandos desaparezcan del disco a bajo nivel).

Para que lo que tecleamos en el shell no quede en el historia lo único que hace falta es agregar un espacio en blanco antes del comado echo.

[tbcoin]

Ojito con el historial de la shell, que guarda todos los comandos en claro, incluyendo:

Code:

$ echo "clave privada" | shasum

y

Code:

$ bitcoind walletpassphrase "clave del wallet"

Para ejecutar cosas como esas de forma segura (usando bash):

- abrir una terminal nueva
- teclear 'unset HISTFILE'
- ejecutar el comando que sea
- cerrar la terminal lo antes posible

Si ya habéis ejecutado algo sin tomar esta precaución del 'unset HISTFILE', debéis editar el .bash_history y borrar a mano los comandos que contengan contraseñas (pero eso no necesariamente hace que tales comandos desaparezcan del disco a bajo nivel).

Para que lo que tecleamos en el shell no quede en el historia lo único que hace falta es agregar un espacio en blanco antes del comado echo.

Siempre que este así definido con 'export HISTCONTROL=ignorespace'

[amgomez]

Si hilamos fino con brainwallet puedes tener mas problemas. Una discusión análoga ya la tuvieron en el foro ingles, que puede resumirse en que el código de un programa en github (por ejemplo) es revisable por cualquiera, y su análisis además es extensible al resto de usuarios, por lo que no es necesario que tu te molestes en hacerlo. El código javascript que recibes durante una sesión web es revisable por cualquiera, pero su análisis no extensible. La página puede mandar distinto código según qué usuario, por lo que para estar seguro, debes revisar el código tu mismo para esa sesión en particular.

De todas formas, entiendo que todo esto ya empieza a entrar dentro del "cogersela con papel de fumar". 

[dserrano5]

De todas formas, entiendo que todo esto ya empieza a entrar dentro del "cogersela con papel de fumar". 

En un post anterior tenía algo tecleado acerca de las bibliotecas SSL y el núcleo pero lo borré antes de enviar .