qero (OP)
|
|
January 06, 2018, 12:07:45 AM |
|
Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов. Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW. В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW? Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе. А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных?
|
|
|
|
|
|
|
|
|
Even if you use Bitcoin through Tor, the way transactions are handled by the network makes anonymity difficult to achieve. Do not expect your transactions to be anonymous unless you really know what you're doing.
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
|
debext
Full Member
Offline
Activity: 778
Merit: 141
☆☆☆☆☆★
|
|
January 06, 2018, 09:37:34 PM |
|
В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW?
Не могу ничего сказать за гарантии, но я бы не за сбор данных переживал, а за хранящиеся средства на кошельке. Данные собирают почти все приложения, сайты и т.п. для анализа работы и иногда они и правда приносят больше пользы, чем вреда. Да и не совсем понятен вопрос, что имеется ввиду под вашими данными. Сколько монет на каком кошельке лежит? Или компрометация доступа?
|
|
|
|
evgen_povt
Member
Offline
Activity: 122
Merit: 10
|
|
January 07, 2018, 08:43:43 AM |
|
Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов. Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW. В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW? Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе. А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных? Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить. И можно в режиме дебага проверить все отсылаемые данные на сервер.
|
|
|
|
novikov433
|
|
January 07, 2018, 10:46:24 AM |
|
я себе leger nano s буду покупать. если кто то по арп спуфингу надумает взломать, то он взломает! а так будет лучше как по мне
|
|
|
|
HackBTC
Newbie
Offline
Activity: 52
Merit: 0
|
|
January 07, 2018, 06:31:43 PM |
|
Собирают часть данных они и так, но реально ведь страх в деанонимизации не имеет места, страх может быть в потере средств, Вы ведь не спонсируете запрещенные вещи с помощью этой крипты ? А если есть сомнение, то приобретите холодный кошелёк, очень годная вещь
|
|
|
|
pokerstreamer
Jr. Member
Offline
Activity: 58
Merit: 13
|
|
January 07, 2018, 08:30:44 PM |
|
А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных? В общем случае гарантий никаких, кроме того "специальная версия" скрипта может подсосываться не всем и не всегда. Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить. И можно в режиме дебага проверить все отсылаемые данные на сервер.
А если каждый раз заморачиваться проверками и дебагами, почему бы изначально не использовать оффлайн версию?
|
|
|
|
qero (OP)
|
|
January 07, 2018, 08:30:55 PM |
|
Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов. Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW. В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW? Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе. А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных? Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить. И можно в режиме дебага проверить все отсылаемые данные на сервер. Как часто проверяют MEW? Ничто не мешает разрабам на какое-то время (когда идет наплыв пользователей, например, в предверии крупного ICO) подменить скрипт, потом вернуть старый обратно. Либо подсовывать его части пользователей.
|
|
|
|
debext
Full Member
Offline
Activity: 778
Merit: 141
☆☆☆☆☆★
|
|
January 07, 2018, 08:40:46 PM |
|
Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов. Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW. В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW? Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе. А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных? Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить. И можно в режиме дебага проверить все отсылаемые данные на сервер. Как часто проверяют MEW? Ничто не мешает разрабам на какое-то время (когда идет наплыв пользователей, например, в предверии крупного ICO) подменить скрипт, потом вернуть старый обратно. Либо подсовывать его части пользователей. Если есть страх, то лучше пользоваться холодными кошельками, как тут уже посоветовали. А еще лучше поставить холодный кошелек на отдельный компьютер с линуксом и без выхода в интернет. Поверьте, и спать легче, и деньги в сохранности
|
|
|
|
Cepamon
Member
Offline
Activity: 122
Merit: 10
|
|
January 07, 2018, 11:57:31 PM Last edit: January 08, 2018, 12:10:52 AM by Cepamon |
|
Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов. Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW. В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW? Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе. А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных? Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить. И можно в режиме дебага проверить все отсылаемые данные на сервер. Как часто проверяют MEW? Ничто не мешает разрабам на какое-то время (когда идет наплыв пользователей, например, в предверии крупного ICO) подменить скрипт, потом вернуть старый обратно. Либо подсовывать его части пользователей. Не исключено развитие событий, аналогичное etherdelta (подмена адреса сайта в ДНС). А с учетом уязвимости 03.01.2018, возможен запуск скрипта, который собирает ключи. По этому, всем необходимо поставить критические обновления и использовать аппаратные кошельки. Или как минимум использовать: 1. Браузеры, в которых учтена данная аппаратная уязвимость 2. Дополнения к браузеру, которые помогут проконтролировать сайт, в случае подмены. Для параноиков, использовать все вышеперечисленные методы.
|
|
|
|
Coin-1
Legendary
Offline
Activity: 2450
Merit: 2190
|
|
January 08, 2018, 12:42:40 AM |
|
Всё, что связано с сайтами - доверия не может быть никакого. Даже JavaScript-код с сервера в любое время может быть подменён.
Людям просто удобнее работать через браузер. Вроде бы, пока никаких массовых обвинений в сторону MyEtherWallet не поступало, поэтому репутация сайта высокая.
|
|
|
|
criptoguruBEST
Member
Offline
Activity: 364
Merit: 10
|
|
January 11, 2018, 03:27:57 PM |
|
Вопрос безопасности стоит едва ли не первом месте, а о доверии и говорить не стоит.
|
|
|
|
Blacked
|
|
January 12, 2018, 06:53:09 AM |
|
Людям просто удобнее работать через браузер. Вроде бы, пока никаких массовых обвинений в сторону MyEtherWallet не поступало, поэтому репутация сайта высокая.
Ага, особенно после недавних событий с подменой днс серверов... Хотя история, как оказалось, была надуманной, но дыма без огня не бывает. Не зря на сайте стали советовать не пользоваться приватными ключами, а юзать джейсона.
|
|
|
|
Jeex
|
|
January 12, 2018, 04:37:14 PM |
|
Ага, особенно после недавних событий с подменой днс серверов... Хотя история, как оказалось, была надуманной, но дыма без огня не бывает. Не зря на сайте стали советовать не пользоваться приватными ключами, а юзать джейсона.
Понятное дело, что использовать JSON-файлы безопаснее, но после недавнего нахождения дыр в безопасности в процессорах Intel в начале 2018 года, благодаря которой любой JScript из браузера может сделать с компьютером все, что угодно, проблемы с MyEtherWallet меркнут... И к сожалению, никакие патчи ПО не смогут полностью устранить уязвимость в процессорах Intel, а новые модели, без этой дыры в безопасности, появятся не ранее конца этого года, если не еще позже. Переходить на АМД тоже не вариант: там хоть нет уязвимостей, но хватает своих проблем.
|
|
|
|
Coin-1
Legendary
Offline
Activity: 2450
Merit: 2190
|
|
January 13, 2018, 02:20:27 AM |
|
Понятное дело, что использовать JSON-файлы безопаснее, но после недавнего нахождения дыр в безопасности в процессорах Intel в начале 2018 года, благодаря которой любой JScript из браузера может сделать с компьютером все, что угодно, проблемы с MyEtherWallet меркнут...
А разве в JavaScript есть команды для работы с памятью внешних процессов?
|
|
|
|
criptoguruBEST
Member
Offline
Activity: 364
Merit: 10
|
|
January 13, 2018, 07:48:38 AM |
|
Вопрос безопасности и доверия очень важный и для людей очень злободневный. Без доверия к системе развиваться полноценно не может.
|
|
|
|
IcoHash
Newbie
Offline
Activity: 30
Merit: 0
|
|
January 15, 2018, 07:45:57 PM |
|
я себе leger nano s буду покупать. если кто то по арп спуфингу надумает взломать, то он взломает! а так будет лучше как по мне
Аналогично. Точнее уже заказал, правда ждать аж до апреля. Думаю, что если есть хотя бы пара тысяч баксов в крипте, то иначе никак.
|
|
|
|
4luxon
Full Member
Offline
Activity: 154
Merit: 100
IGT - NEW exchange with Fiat in Future
|
|
January 16, 2018, 01:28:57 AM |
|
А есть вообще гарантии что например с того же леджера например при подключение из буфера памяти не стырят приватник , для пользователей intel ?
|
|
|
|
kefan
Newbie
Offline
Activity: 59
Merit: 0
|
|
January 20, 2018, 09:02:19 AM |
|
если были гарнтии там минимальны врядле столько людей пользовались их кошельками, однако они подвержены рискам как например один из самых банальных это зайти на кошель через зекрало
|
|
|
|
Cot
Jr. Member
Offline
Activity: 58
Merit: 10
|
|
January 21, 2018, 01:00:07 PM |
|
Это и есть неприятная особенность мира крипты - тут нигде нет никаких гарантий, а если их и дают, то цена их равна уровню вашего доверия к тому либо иному сервису. Не больше.
|
|
|
|
vtony
Newbie
Offline
Activity: 35
Merit: 0
|
|
January 21, 2018, 05:23:26 PM |
|
Это и есть неприятная особенность мира крипты - тут нигде нет никаких гарантий, а если их и дают, то цена их равна уровню вашего доверия к тому либо иному сервису. Не больше.
Да, не приятно когда самостоятельно, читай физически, не можешь повлиять на сохранность денег. Только доверие.
|
|
|
|
cadreamsurf
|
|
January 21, 2018, 05:46:52 PM |
|
Если нет доверия, есть несколько вариантов выхода: 1) Метамаск, потом можно подключить его к MEW и не волноваться о подмене или воровстве приватных ключей. 2) Поставьте парити на отдельный комп и совершать все переводы от туда. 3) Ledger
|
|
|
|
bitadviser
Member
Offline
Activity: 203
Merit: 17
|
|
January 21, 2018, 05:57:03 PM |
|
На почту пришли сообщения, скам, пытались пропихнуть ссылку MyEtherWallet.com только без одной буквы, хорошо браузер не пустил туда, некоторые недобросовестные баунти светят емайлы (
|
|
|
|
t adam
Newbie
Offline
Activity: 12
Merit: 0
|
|
January 22, 2018, 07:10:20 PM |
|
1) Метамаск, потом можно подключить его к MEW и не волноваться о подмене или воровстве приватных ключей.
не подскажите на сколько метамаск безопасней обычного входа по файлу? в плане подмены сайта или каких других хитростей.
|
|
|
|
OneBlago
Jr. Member
Offline
Activity: 76
Merit: 1
Crypto Enthusiast. Software engineer. System Admin
|
|
January 23, 2018, 05:22:30 AM |
|
Насколько я понимаю разницы между метамаском и оффлайн версией того же myetherwallet нет, в смысле того что оба единожды скачанные работают до тех пор пока не будут скачаны обновления. Вопрос в том какой код достанется вам в тот момент когда вы будете его скачивать. По-умолчанию автоматическое обновление расширения MetaMask включено. Это и хорошо и плохо.
|
█▐ FLOGmail ▐ █ INTERNATIONAL E-COMMERSE SITE ▬▬▬▬ TOKEN SALE 22 Feb 2018 ▬▬▬▬ (https://flogmall.com/)
|
|
|
DustyNomad
Member
Offline
Activity: 182
Merit: 11
|
|
February 20, 2018, 08:06:18 AM |
|
Про метамаск хотелось бы вновь поднять вопрос. Уж больно эта хитрая лиса меня страшит. - Вот поставил юзер себе аддон для браузера (метамаск) - Создал себе учетку, в которую входит по паролю, а в случае аварийной ситуации по 12 seed words Вот вроде бы и всё, но вот какие вопросы: 1. Есть ли защита от брутфорса? - Капчи я не видел. Или юзерский пароль никто не даст брутфорсить, пока 12 слов не введешь? 2. Хорошо, там можно быстро переключаться и управлять кошелями - Но как мне получить мой JSON файл? Да, не приятно когда самостоятельно, читай физически, не можешь повлиять на сохранность денег. Только доверие.
Прописывайте все транзакции в оффлайне и потом отправляйте в блокчейн, как уже говорили, в том числе и в этом треде. Вполне себе физическое влияние.
|
Hello world!
|
|
|
neo_crypt
Jr. Member
Offline
Activity: 35
Merit: 2
|
|
February 20, 2018, 09:38:40 AM |
|
А разве в JavaScript есть команды для работы с памятью внешних процессов?
Таких команд нет и быть не может в песочнице. Делается это через speculative execution и кэш, что общее для всех процессов. Процессор просто выполняет инструкции, а для прав наложены ограничения на доступ, но все это можно обойти при желании, что не раз делалось. Я думаю там еще методов штук 20 есть данные считывать, там через всякие паразитные токи и прочие хитрости оставленные производителем. GNU уже 20 лет об этом твердит, что монополия ни к чему хорошему не приводит, но все еще нет нормальных открытых процессоров. Вообще когда на счету миллион ни о каких безопасных браузерах и речи быть не может. Только аппаратное решение.
|
|
|
|
UIXID
Member
Offline
Activity: 308
Merit: 10
|
|
February 23, 2018, 05:53:05 PM |
|
На почту пришли сообщения, скам, пытались пропихнуть ссылку MyEtherWallet.com только без одной буквы, хорошо браузер не пустил туда, некоторые недобросовестные баунти светят емайлы (
Поэтому и нужно заводить отдельные почтовые ящики на всякие дропы/баунти, а основными, которыми пользуетесь для серьезных дел - нигде не светить. Повезло вам)
|
|
|
|
|