Хорошо я признаю, что проблема подмены днс существует. Вы этого признания хотели?
Да это та мысль, которую я и хотел донести. Хотя DNS это лишь один из элементов. А общая мысль в том, что браузеру доверять нельзя, он не приспособлен для этого.
Теперь мои аргументы
1. Сайт можно скачать в офлайн и тогда даже если этот сайт поддельный, он ничего не украдет. В отличии от бинарика, который может запросто пошариться по файловой системе и запомнить что-нибудь интересное до лучших времен...
Сайт может отображать одно, а подписать и отправить другое. Что и делал подмененный MEW.
2. Сайт можно прочитать в исходниках и убедиться в наличии/отсутствии бэкдора. Бинарик тоже можно прочитать и убедиться, но это на 10 порядков сложнее
В идеале – да. Независимый аудит кода – один из важнейших способов построения безопасной среды. Самостоятельно же вычитывать тысячи строк кода для каждой программы просто невозможно, приходится доверять это действие кому-то. Но при обилии минификаторов, обфускаторов и транспилеров читать такой код даже специалисту будет очень трудно.
А теперь вы пожалуйста расскажите как мне безопасно скачать биткоин коре? Не опасаясь атак на днс, подмен сертификатов и прочих ужасов которыми вы пугаете бедных посетителей сайтов? Неужели идти ногами домой к Сатоши за его подписью?
Сегодня это достаточно сложно. Необходимо использовать PGP для проверки подписи. Bitcoin Core и Litecoin немногие из большой 20-ки, кто публикует подписанные релизы, но делают они это только на собственных сайтах, что по сути снижает надежность, поэтому ключи разработчиков нужно постараться найти на других ресурсах, например Github, чтобы убедиться, что они совпадают.
А бедные посетители сайтов пусть пугаются, если не хотят расставаться со своими кровными, и начинают постигать основы информационной безопасности.
