qero (OP)
|
|
January 06, 2018, 12:07:45 AM |
|
Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов. Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW. В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW? Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе. А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных?
|
|
|
|
debext
Full Member
Offline
Activity: 778
Merit: 141
☆☆☆☆☆★
|
|
January 06, 2018, 09:37:34 PM |
|
В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW?
Не могу ничего сказать за гарантии, но я бы не за сбор данных переживал, а за хранящиеся средства на кошельке. Данные собирают почти все приложения, сайты и т.п. для анализа работы и иногда они и правда приносят больше пользы, чем вреда. Да и не совсем понятен вопрос, что имеется ввиду под вашими данными. Сколько монет на каком кошельке лежит? Или компрометация доступа?
|
|
|
|
evgen_povt
Member
Offline
Activity: 122
Merit: 10
|
|
January 07, 2018, 08:43:43 AM |
|
Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов. Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW. В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW? Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе. А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных? Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить. И можно в режиме дебага проверить все отсылаемые данные на сервер.
|
|
|
|
novikov433
|
|
January 07, 2018, 10:46:24 AM |
|
я себе leger nano s буду покупать. если кто то по арп спуфингу надумает взломать, то он взломает! а так будет лучше как по мне
|
|
|
|
HackBTC
Newbie
Offline
Activity: 52
Merit: 0
|
|
January 07, 2018, 06:31:43 PM |
|
Собирают часть данных они и так, но реально ведь страх в деанонимизации не имеет места, страх может быть в потере средств, Вы ведь не спонсируете запрещенные вещи с помощью этой крипты ? А если есть сомнение, то приобретите холодный кошелёк, очень годная вещь
|
|
|
|
pokerstreamer
Jr. Member
Offline
Activity: 58
Merit: 13
|
|
January 07, 2018, 08:30:44 PM |
|
А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных? В общем случае гарантий никаких, кроме того "специальная версия" скрипта может подсосываться не всем и не всегда. Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить. И можно в режиме дебага проверить все отсылаемые данные на сервер.
А если каждый раз заморачиваться проверками и дебагами, почему бы изначально не использовать оффлайн версию?
|
|
|
|
qero (OP)
|
|
January 07, 2018, 08:30:55 PM |
|
Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов. Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW. В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW? Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе. А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных? Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить. И можно в режиме дебага проверить все отсылаемые данные на сервер. Как часто проверяют MEW? Ничто не мешает разрабам на какое-то время (когда идет наплыв пользователей, например, в предверии крупного ICO) подменить скрипт, потом вернуть старый обратно. Либо подсовывать его части пользователей.
|
|
|
|
debext
Full Member
Offline
Activity: 778
Merit: 141
☆☆☆☆☆★
|
|
January 07, 2018, 08:40:46 PM |
|
Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов. Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW. В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW? Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе. А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных? Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить. И можно в режиме дебага проверить все отсылаемые данные на сервер. Как часто проверяют MEW? Ничто не мешает разрабам на какое-то время (когда идет наплыв пользователей, например, в предверии крупного ICO) подменить скрипт, потом вернуть старый обратно. Либо подсовывать его части пользователей. Если есть страх, то лучше пользоваться холодными кошельками, как тут уже посоветовали. А еще лучше поставить холодный кошелек на отдельный компьютер с линуксом и без выхода в интернет. Поверьте, и спать легче, и деньги в сохранности
|
|
|
|
Cepamon
Member
Offline
Activity: 122
Merit: 10
|
|
January 07, 2018, 11:57:31 PM Last edit: January 08, 2018, 12:10:52 AM by Cepamon |
|
Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов. Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW. В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW? Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе. А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных? Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить. И можно в режиме дебага проверить все отсылаемые данные на сервер. Как часто проверяют MEW? Ничто не мешает разрабам на какое-то время (когда идет наплыв пользователей, например, в предверии крупного ICO) подменить скрипт, потом вернуть старый обратно. Либо подсовывать его части пользователей. Не исключено развитие событий, аналогичное etherdelta (подмена адреса сайта в ДНС). А с учетом уязвимости 03.01.2018, возможен запуск скрипта, который собирает ключи. По этому, всем необходимо поставить критические обновления и использовать аппаратные кошельки. Или как минимум использовать: 1. Браузеры, в которых учтена данная аппаратная уязвимость 2. Дополнения к браузеру, которые помогут проконтролировать сайт, в случае подмены. Для параноиков, использовать все вышеперечисленные методы.
|
|
|
|
Coin-1
Legendary
Offline
Activity: 2562
Merit: 2261
|
|
January 08, 2018, 12:42:40 AM |
|
Всё, что связано с сайтами - доверия не может быть никакого. Даже JavaScript-код с сервера в любое время может быть подменён.
Людям просто удобнее работать через браузер. Вроде бы, пока никаких массовых обвинений в сторону MyEtherWallet не поступало, поэтому репутация сайта высокая.
|
|
|
|
criptoguruBEST
Member
Offline
Activity: 364
Merit: 10
|
|
January 11, 2018, 03:27:57 PM |
|
Вопрос безопасности стоит едва ли не первом месте, а о доверии и говорить не стоит.
|
|
|
|
Blacked
|
|
January 12, 2018, 06:53:09 AM |
|
Людям просто удобнее работать через браузер. Вроде бы, пока никаких массовых обвинений в сторону MyEtherWallet не поступало, поэтому репутация сайта высокая.
Ага, особенно после недавних событий с подменой днс серверов... Хотя история, как оказалось, была надуманной, но дыма без огня не бывает. Не зря на сайте стали советовать не пользоваться приватными ключами, а юзать джейсона.
|
|
|
|
Jeex
|
|
January 12, 2018, 04:37:14 PM |
|
Ага, особенно после недавних событий с подменой днс серверов... Хотя история, как оказалось, была надуманной, но дыма без огня не бывает. Не зря на сайте стали советовать не пользоваться приватными ключами, а юзать джейсона.
Понятное дело, что использовать JSON-файлы безопаснее, но после недавнего нахождения дыр в безопасности в процессорах Intel в начале 2018 года, благодаря которой любой JScript из браузера может сделать с компьютером все, что угодно, проблемы с MyEtherWallet меркнут... И к сожалению, никакие патчи ПО не смогут полностью устранить уязвимость в процессорах Intel, а новые модели, без этой дыры в безопасности, появятся не ранее конца этого года, если не еще позже. Переходить на АМД тоже не вариант: там хоть нет уязвимостей, но хватает своих проблем.
|
|
|
|
Coin-1
Legendary
Offline
Activity: 2562
Merit: 2261
|
|
January 13, 2018, 02:20:27 AM |
|
Понятное дело, что использовать JSON-файлы безопаснее, но после недавнего нахождения дыр в безопасности в процессорах Intel в начале 2018 года, благодаря которой любой JScript из браузера может сделать с компьютером все, что угодно, проблемы с MyEtherWallet меркнут...
А разве в JavaScript есть команды для работы с памятью внешних процессов?
|
|
|
|
criptoguruBEST
Member
Offline
Activity: 364
Merit: 10
|
|
January 13, 2018, 07:48:38 AM |
|
Вопрос безопасности и доверия очень важный и для людей очень злободневный. Без доверия к системе развиваться полноценно не может.
|
|
|
|
IcoHash
Newbie
Offline
Activity: 30
Merit: 0
|
|
January 15, 2018, 07:45:57 PM |
|
я себе leger nano s буду покупать. если кто то по арп спуфингу надумает взломать, то он взломает! а так будет лучше как по мне
Аналогично. Точнее уже заказал, правда ждать аж до апреля. Думаю, что если есть хотя бы пара тысяч баксов в крипте, то иначе никак.
|
|
|
|
4luxon
Full Member
Offline
Activity: 154
Merit: 100
IGT - NEW exchange with Fiat in Future
|
|
January 16, 2018, 01:28:57 AM |
|
А есть вообще гарантии что например с того же леджера например при подключение из буфера памяти не стырят приватник , для пользователей intel ?
|
|
|
|
kefan
Newbie
Offline
Activity: 59
Merit: 0
|
|
January 20, 2018, 09:02:19 AM |
|
если были гарнтии там минимальны врядле столько людей пользовались их кошельками, однако они подвержены рискам как например один из самых банальных это зайти на кошель через зекрало
|
|
|
|
Cot
Jr. Member
Offline
Activity: 58
Merit: 10
|
|
January 21, 2018, 01:00:07 PM |
|
Это и есть неприятная особенность мира крипты - тут нигде нет никаких гарантий, а если их и дают, то цена их равна уровню вашего доверия к тому либо иному сервису. Не больше.
|
|
|
|
vtony
Newbie
Offline
Activity: 35
Merit: 0
|
|
January 21, 2018, 05:23:26 PM |
|
Это и есть неприятная особенность мира крипты - тут нигде нет никаких гарантий, а если их и дают, то цена их равна уровню вашего доверия к тому либо иному сервису. Не больше.
Да, не приятно когда самостоятельно, читай физически, не можешь повлиять на сохранность денег. Только доверие.
|
|
|
|
|