MyEtherWallet.com - вопрос безопасности и доверия

[qero]

Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов.
Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW.
В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW?
Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе.
А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных?

[1715138869]

1715138869

[1715138869]

1715138869

[1715138869]

1715138869

[debext]

В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW?

Не могу ничего сказать за гарантии, но я бы не за сбор данных переживал, а за хранящиеся средства на кошельке. Данные собирают почти все приложения, сайты и т.п. для анализа работы и иногда они и правда приносят больше пользы, чем вреда.
Да и не совсем понятен вопрос, что имеется ввиду под вашими данными. Сколько монет на каком кошельке лежит? Или компрометация доступа?

[evgen_povt]

Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов.
Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW.
В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW?
Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе.
А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных?

Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить.
И можно в режиме дебага проверить все отсылаемые данные на сервер.

[novikov433]

я себе leger nano s буду покупать. если кто то по арп спуфингу надумает взломать, то он взломает! а так будет лучше как по мне

[HackBTC]

Собирают часть данных они и так, но реально ведь страх в деанонимизации не имеет места, страх может быть в потере средств, Вы ведь не спонсируете запрещенные вещи с помощью этой крипты ?
А если есть сомнение, то приобретите холодный кошелёк, очень годная вещь

[pokerstreamer]

А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных?

В общем случае гарантий никаких, кроме того "специальная версия" скрипта может подсосываться не всем и не всегда.

Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить.
И можно в режиме дебага проверить все отсылаемые данные на сервер.

А если каждый раз заморачиваться проверками и дебагами, почему бы изначально не использовать оффлайн версию?

[qero]

Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов.
Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW.
В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW?
Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе.
А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных?

Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить.
И можно в режиме дебага проверить все отсылаемые данные на сервер.

Как часто проверяют MEW? Ничто не мешает разрабам на какое-то время (когда идет наплыв пользователей, например, в предверии крупного ICO) подменить скрипт, потом вернуть старый обратно. Либо подсовывать его части пользователей.

[debext]

Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов.
Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW.
В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW?
Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе.
А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных?

Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить.
И можно в режиме дебага проверить все отсылаемые данные на сервер.

Как часто проверяют MEW? Ничто не мешает разрабам на какое-то время (когда идет наплыв пользователей, например, в предверии крупного ICO) подменить скрипт, потом вернуть старый обратно. Либо подсовывать его части пользователей.

Если есть страх, то лучше пользоваться холодными кошельками, как тут уже посоветовали. А еще лучше поставить холодный кошелек на отдельный компьютер с линуксом и без выхода в интернет. Поверьте, и спать легче, и деньги в сохранности 

[Cepamon]

Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов.
Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW.
В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW?
Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе.
А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных?

Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить.
И можно в режиме дебага проверить все отсылаемые данные на сервер.

Как часто проверяют MEW? Ничто не мешает разрабам на какое-то время (когда идет наплыв пользователей, например, в предверии крупного ICO) подменить скрипт, потом вернуть старый обратно. Либо подсовывать его части пользователей.

Не исключено развитие событий, аналогичное etherdelta (подмена адреса сайта в ДНС).
А с учетом уязвимости 03.01.2018, возможен запуск скрипта, который собирает ключи. По этому, всем необходимо поставить критические обновления и использовать аппаратные кошельки.
Или как минимум использовать:
1. Браузеры, в которых учтена данная аппаратная уязвимость
2. Дополнения к браузеру, которые помогут проконтролировать сайт, в случае подмены.
Для параноиков, использовать все вышеперечисленные методы.

[Coin-1]

Всё, что связано с сайтами - доверия не может быть никакого. Даже JavaScript-код с сервера в любое время может быть подменён.

Людям просто удобнее работать через браузер. Вроде бы, пока никаких массовых обвинений в сторону MyEtherWallet не поступало, поэтому репутация сайта высокая.

[criptoguruBEST]

Вопрос безопасности стоит едва ли не первом месте, а о доверии и говорить не стоит.

[Blacked]

Людям просто удобнее работать через браузер. Вроде бы, пока никаких массовых обвинений в сторону MyEtherWallet не поступало, поэтому репутация сайта высокая.

Ага, особенно после недавних событий с подменой днс серверов... Хотя история, как оказалось, была надуманной, но дыма без огня не бывает. Не зря на сайте стали советовать не пользоваться приватными ключами, а юзать джейсона.

[Jeex]

Ага, особенно после недавних событий с подменой днс серверов... Хотя история, как оказалось, была надуманной, но дыма без огня не бывает. Не зря на сайте стали советовать не пользоваться приватными ключами, а юзать джейсона.

Понятное дело, что использовать JSON-файлы безопаснее, но после недавнего нахождения дыр в безопасности в процессорах Intel в начале 2018 года, благодаря которой любой JScript из браузера может сделать с компьютером все, что угодно, проблемы с MyEtherWallet меркнут... И к сожалению, никакие патчи ПО не смогут полностью устранить уязвимость в процессорах Intel, а новые модели, без этой дыры в безопасности, появятся не ранее конца этого года, если не еще позже. Переходить на АМД тоже не вариант: там хоть нет уязвимостей, но хватает своих проблем.

[Coin-1]

Понятное дело, что использовать JSON-файлы безопаснее, но после недавнего нахождения дыр в безопасности в процессорах Intel в начале 2018 года, благодаря которой любой JScript из браузера может сделать с компьютером все, что угодно, проблемы с MyEtherWallet меркнут...

А разве в JavaScript есть команды для работы с памятью внешних процессов?

[criptoguruBEST]

Вопрос безопасности и доверия очень важный и для людей очень злободневный. Без доверия к системе развиваться полноценно не может.

[IcoHash]

я себе leger nano s буду покупать. если кто то по арп спуфингу надумает взломать, то он взломает! а так будет лучше как по мне

Аналогично. Точнее уже заказал, правда ждать аж до апреля.
Думаю, что если есть хотя бы пара тысяч баксов в крипте, то иначе никак.

[4luxon]

А есть вообще гарантии что например с того же леджера например при подключение из буфера памяти не стырят приватник , для пользователей intel ?

[kefan]

если были гарнтии там минимальны врядле столько людей пользовались их кошельками, однако они подвержены рискам как например один из самых банальных это зайти на кошель через зекрало

[Cot]

Это и есть неприятная особенность мира крипты - тут нигде нет никаких гарантий, а если их и дают, то цена их равна уровню вашего доверия к тому либо иному сервису. Не больше.

[vtony]

Это и есть неприятная особенность мира крипты - тут нигде нет никаких гарантий, а если их и дают, то цена их равна уровню вашего доверия к тому либо иному сервису. Не больше.

Да, не приятно когда самостоятельно, читай физически, не можешь повлиять на сохранность денег. Только доверие.