MyEtherWallet.com - вопрос безопасности и доверия

[qero]

Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов.
Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW.
В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW?
Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе.
А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных?

[1715555776]

1715555776

[1715555776]

1715555776

[1715555776]

1715555776

[1715555776]

1715555776

[1715555776]

1715555776

[debext]

В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW?

Не могу ничего сказать за гарантии, но я бы не за сбор данных переживал, а за хранящиеся средства на кошельке. Данные собирают почти все приложения, сайты и т.п. для анализа работы и иногда они и правда приносят больше пользы, чем вреда.
Да и не совсем понятен вопрос, что имеется ввиду под вашими данными. Сколько монет на каком кошельке лежит? Или компрометация доступа?

[evgen_povt]

Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов.
Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW.
В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW?
Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе.
А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных?

Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить.
И можно в режиме дебага проверить все отсылаемые данные на сервер.

[novikov433]

я себе leger nano s буду покупать. если кто то по арп спуфингу надумает взломать, то он взломает! а так будет лучше как по мне

[HackBTC]

Собирают часть данных они и так, но реально ведь страх в деанонимизации не имеет места, страх может быть в потере средств, Вы ведь не спонсируете запрещенные вещи с помощью этой крипты ?
А если есть сомнение, то приобретите холодный кошелёк, очень годная вещь

[pokerstreamer]

А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных?

В общем случае гарантий никаких, кроме того "специальная версия" скрипта может подсосываться не всем и не всегда.

Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить.
И можно в режиме дебага проверить все отсылаемые данные на сервер.

А если каждый раз заморачиваться проверками и дебагами, почему бы изначально не использовать оффлайн версию?

[qero]

Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов.
Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW.
В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW?
Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе.
А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных?

Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить.
И можно в режиме дебага проверить все отсылаемые данные на сервер.

Как часто проверяют MEW? Ничто не мешает разрабам на какое-то время (когда идет наплыв пользователей, например, в предверии крупного ICO) подменить скрипт, потом вернуть старый обратно. Либо подсовывать его части пользователей.

[debext]

Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов.
Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW.
В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW?
Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе.
А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных?

Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить.
И можно в режиме дебага проверить все отсылаемые данные на сервер.

Как часто проверяют MEW? Ничто не мешает разрабам на какое-то время (когда идет наплыв пользователей, например, в предверии крупного ICO) подменить скрипт, потом вернуть старый обратно. Либо подсовывать его части пользователей.

Если есть страх, то лучше пользоваться холодными кошельками, как тут уже посоветовали. А еще лучше поставить холодный кошелек на отдельный компьютер с линуксом и без выхода в интернет. Поверьте, и спать легче, и деньги в сохранности 

[Cepamon]

Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов.
Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW.
В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW?
Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе.
А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных?

Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить.
И можно в режиме дебага проверить все отсылаемые данные на сервер.

Как часто проверяют MEW? Ничто не мешает разрабам на какое-то время (когда идет наплыв пользователей, например, в предверии крупного ICO) подменить скрипт, потом вернуть старый обратно. Либо подсовывать его части пользователей.

Не исключено развитие событий, аналогичное etherdelta (подмена адреса сайта в ДНС).
А с учетом уязвимости 03.01.2018, возможен запуск скрипта, который собирает ключи. По этому, всем необходимо поставить критические обновления и использовать аппаратные кошельки.
Или как минимум использовать:
1. Браузеры, в которых учтена данная аппаратная уязвимость
2. Дополнения к браузеру, которые помогут проконтролировать сайт, в случае подмены.
Для параноиков, использовать все вышеперечисленные методы.

[Coin-1]

Всё, что связано с сайтами - доверия не может быть никакого. Даже JavaScript-код с сервера в любое время может быть подменён.

Людям просто удобнее работать через браузер. Вроде бы, пока никаких массовых обвинений в сторону MyEtherWallet не поступало, поэтому репутация сайта высокая.

[criptoguruBEST]

Вопрос безопасности стоит едва ли не первом месте, а о доверии и говорить не стоит.

[Blacked]

Людям просто удобнее работать через браузер. Вроде бы, пока никаких массовых обвинений в сторону MyEtherWallet не поступало, поэтому репутация сайта высокая.

Ага, особенно после недавних событий с подменой днс серверов... Хотя история, как оказалось, была надуманной, но дыма без огня не бывает. Не зря на сайте стали советовать не пользоваться приватными ключами, а юзать джейсона.

[Jeex]

Ага, особенно после недавних событий с подменой днс серверов... Хотя история, как оказалось, была надуманной, но дыма без огня не бывает. Не зря на сайте стали советовать не пользоваться приватными ключами, а юзать джейсона.

Понятное дело, что использовать JSON-файлы безопаснее, но после недавнего нахождения дыр в безопасности в процессорах Intel в начале 2018 года, благодаря которой любой JScript из браузера может сделать с компьютером все, что угодно, проблемы с MyEtherWallet меркнут... И к сожалению, никакие патчи ПО не смогут полностью устранить уязвимость в процессорах Intel, а новые модели, без этой дыры в безопасности, появятся не ранее конца этого года, если не еще позже. Переходить на АМД тоже не вариант: там хоть нет уязвимостей, но хватает своих проблем.

[Coin-1]

Понятное дело, что использовать JSON-файлы безопаснее, но после недавнего нахождения дыр в безопасности в процессорах Intel в начале 2018 года, благодаря которой любой JScript из браузера может сделать с компьютером все, что угодно, проблемы с MyEtherWallet меркнут...

А разве в JavaScript есть команды для работы с памятью внешних процессов?

[criptoguruBEST]

Вопрос безопасности и доверия очень важный и для людей очень злободневный. Без доверия к системе развиваться полноценно не может.

[IcoHash]

я себе leger nano s буду покупать. если кто то по арп спуфингу надумает взломать, то он взломает! а так будет лучше как по мне

Аналогично. Точнее уже заказал, правда ждать аж до апреля.
Думаю, что если есть хотя бы пара тысяч баксов в крипте, то иначе никак.

[4luxon]

А есть вообще гарантии что например с того же леджера например при подключение из буфера памяти не стырят приватник , для пользователей intel ?

[kefan]

если были гарнтии там минимальны врядле столько людей пользовались их кошельками, однако они подвержены рискам как например один из самых банальных это зайти на кошель через зекрало

[Cot]

Это и есть неприятная особенность мира крипты - тут нигде нет никаких гарантий, а если их и дают, то цена их равна уровню вашего доверия к тому либо иному сервису. Не больше.

[vtony]

Это и есть неприятная особенность мира крипты - тут нигде нет никаких гарантий, а если их и дают, то цена их равна уровню вашего доверия к тому либо иному сервису. Не больше.

Да, не приятно когда самостоятельно, читай физически, не можешь повлиять на сохранность денег. Только доверие.

[cadreamsurf]

Если нет доверия, есть несколько вариантов выхода:
1) Метамаск, потом можно подключить его к MEW и не волноваться о подмене или воровстве приватных ключей.
2) Поставьте парити на отдельный комп и совершать все переводы от туда.
3) Ledger

[bitadviser]

На почту пришли сообщения, скам, пытались пропихнуть ссылку  MyEtherWallet.com только без одной буквы, хорошо браузер не пустил туда, некоторые недобросовестные баунти светят емайлы (

[t adam]

1) Метамаск, потом можно подключить его к MEW и не волноваться о подмене или воровстве приватных ключей.

не подскажите на сколько метамаск безопасней обычного входа по файлу? в плане подмены сайта или каких других хитростей.

[OneBlago]

Насколько я понимаю разницы между метамаском и оффлайн версией того же myetherwallet нет, в смысле того что оба единожды скачанные работают до тех пор пока не будут скачаны обновления. Вопрос в том какой код достанется вам в тот момент когда вы будете его скачивать.
По-умолчанию автоматическое обновление расширения MetaMask включено. Это и хорошо и плохо.

[DustyNomad]

Про метамаск хотелось бы вновь поднять вопрос.  Уж больно эта хитрая лиса меня страшит.

- Вот поставил юзер себе аддон для браузера (метамаск)
- Создал себе учетку, в которую входит по паролю, а в случае аварийной ситуации по 12 seed words

Вот вроде бы и всё, но вот какие вопросы:

1. Есть ли защита от брутфорса? - Капчи я не видел. Или юзерский пароль никто не даст брутфорсить, пока 12 слов не введешь?
2. Хорошо, там можно быстро переключаться и управлять кошелями - Но как мне получить мой JSON файл?

Да, не приятно когда самостоятельно, читай физически, не можешь повлиять на сохранность денег. Только доверие.

Прописывайте все транзакции в оффлайне и потом отправляйте в блокчейн, как уже говорили, в том числе и в этом треде. Вполне себе физическое влияние.

[neo_crypt]

А разве в JavaScript есть команды для работы с памятью внешних процессов?

Таких команд нет и быть не может в песочнице. Делается это через speculative execution и кэш, что общее для всех процессов. Процессор просто выполняет инструкции, а для прав наложены ограничения на доступ, но все это можно обойти при желании, что не раз делалось. Я думаю там еще методов штук 20 есть данные считывать, там через всякие паразитные токи и прочие хитрости оставленные производителем. GNU уже 20 лет об этом твердит, что монополия ни к чему хорошему не приводит, но все еще нет нормальных открытых процессоров. Вообще когда на счету миллион ни о каких безопасных браузерах и речи быть не может. Только аппаратное решение.

[UIXID]

На почту пришли сообщения, скам, пытались пропихнуть ссылку  MyEtherWallet.com только без одной буквы, хорошо браузер не пустил туда, некоторые недобросовестные баунти светят емайлы (

Поэтому и нужно заводить отдельные почтовые ящики на всякие дропы/баунти, а основными, которыми пользуетесь для серьезных дел - нигде не светить.
Повезло вам)