johhnyUA
Legendary
Offline
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
|
|
September 07, 2019, 08:43:35 PM |
|
Я тут где-то уже докладывал, что на днях у меня леджер сам сбросился до заводского состояния при подключении к Ledger Live (баг какой-то у них там, обещают исправить в следующей прошивке). Представляю ощущения при отсутствии сида ).
А можно поподробнее? Довольно "интересная", а если серъезно, то опасная ситуация. Знать было бы полезно. Притом что сброс до заводских настроек сам по себе может быть свидетельством очень нехороших вещей (где то здесь товарищ расписывал что в чип при желании можно прописать все что угодно, а в Леджере один чип закрыт и кто его знает что там, а второй на половину под действием лицензии Леджера)
|
|
|
|
igor72
Legendary
Offline
Activity: 1974
Merit: 2061
Crypto Swap Exchange
|
|
September 07, 2019, 09:09:49 PM Last edit: September 07, 2019, 09:33:41 PM by igor72 Merited by chimk (2), johhnyUA (1), Vadi2323 (1) |
|
А можно поподробнее? Да особо нечего добавить. У меня в основном битки, поэтому я леджер лайв редко запускаю, вместо него пользуюсь электрумом. Ну а тут прочитал, что наконец-то erc-20 к ЛЛ прикрутили. Залез посмотреть. Потом смотрю, а девайс мне "Welcome" пишет (то есть как новый, "заряженный" приветствие не показывает), ну и полчаса промудохался сид вбивать, пароль, пины... А по проблеме - я уже видел раньше на реддите подобные сообщения, поэтому был готов. Поищите, если интересно. Вот, например, одно из них, там СТО что-то пытается объяснить, но подозреваю, они еще сами до конца не разобрались, что за фигня ). Вот еще одно нашел.. где то здесь товарищ расписывал что в чип при желании можно прописать все что угодно Сомневаюсь, там же проверка чек-суммы прошивки (или что-то в этом духе, не помню точно, не важно) производится при подключении к ЛЛ.
|
|
|
|
|
igor72
Legendary
Offline
Activity: 1974
Merit: 2061
Crypto Swap Exchange
|
|
September 08, 2019, 04:48:49 AM Last edit: September 08, 2019, 05:13:04 AM by igor72 |
|
проверка чек-суммы прошивки у трезора тоже есть ? Да, в Trezor One загрузчик(bootloader) и прошивка(firmware) как-то там друг друга проверяют ). А в Trezor T еще есть неперезаписываемый boardloader, проверяющий загрузчик, который в свою очередь проверяет прошивку. Нашел, как в леджере происходит проверка, описано здесь или здесь.
|
|
|
|
be.open
Copper Member
Hero Member
Offline
Activity: 2184
Merit: 915
White Russian
|
|
September 08, 2019, 05:08:13 AM |
|
А можно поподробнее? Да особо нечего добавить. У меня в основном битки, поэтому я леджер лайв редко запускаю, вместо него пользуюсь электрумом. Ну а тут прочитал, что наконец-то erc-20 к ЛЛ прикрутили. Залез посмотреть. Потом смотрю, а девайс мне "Welcome" пишет (то есть как новый, "заряженный" приветствие не показывает), ну и полчаса промудохался сид вбивать, пароль, пины... А по проблеме - я уже видел раньше на реддите подобные сообщения, поэтому был готов. Поищите, если интересно. Вот, например, одно из них, там СТО что-то пытается объяснить, но подозреваю, они еще сами до конца не разобрались, что за фигня ). Вот еще одно нашел.. У меня тоже на днях ресетнулся леджер на ровном месте, live конечно весьма сыроват ещё, хотя обновляется довольно часто. Благо я почти сразу после начала использования кошелька принудительно сбрасывал его и восстанавливался из сида (что и всем советую делать), поэтому нервяков не было, просто восстановился ещё раз.
|
|
|
|
igor72
Legendary
Offline
Activity: 1974
Merit: 2061
Crypto Swap Exchange
|
|
September 08, 2019, 05:32:30 AM Last edit: September 08, 2019, 05:43:31 AM by igor72 |
|
У меня тоже на днях ресетнулся леджер на ровном месте, live конечно весьма сыроват ещё, хотя обновляется довольно часто. Да, вроде хороший кошелек, все продумано, но софтописатели там средненькие и неторопливые (кажется, в общем это свойственно французам). Жаль, что в трезоре passphrase надо каждый раз вбивать, иначе перешел бы на него, наверное. Благо я почти сразу после начала использования кошелька принудительно сбрасывал его и восстанавливался из сида (что и всем советую делать), поэтому нервяков не было, просто восстановился ещё раз.
Это да, обязательно. Но там сейчас приложение есть для этого, можно и без сброса сид прочекать, если кто-то эту операцию сразу не сделал.
|
|
|
|
TheFuzzStone
Legendary
Offline
Activity: 1512
Merit: 1442
thefuzzstone.github.io
|
|
September 08, 2019, 05:32:30 AM |
|
Твиттер мне рекламу тыкнул... Ну вот, еще один "the most secure"... Жду интересных новостей, от наивных дурачков, которые потеряли бабло. Ну и конечно, "the most secure" не open source, они только " plan to make it open-source". Ну зато на сайте у них модный промо-ролик. Покупайте, лол.
|
|
|
|
Dimenzino
Member
Offline
Activity: 826
Merit: 56
|
|
September 08, 2019, 10:22:35 AM |
|
Жаль, что в трезоре passphrase надо каждый раз вбивать, иначе перешел бы на него, наверное. А надежность хранения крипты от этого "каждый раз" не повышается разве ?
|
|
|
|
igor72
Legendary
Offline
Activity: 1974
Merit: 2061
Crypto Swap Exchange
|
|
September 08, 2019, 11:01:48 AM |
|
Жаль, что в трезоре passphrase надо каждый раз вбивать, иначе перешел бы на него, наверное. А надежность хранения крипты от этого "каждый раз" не повышается разве ? Раз при физическом взаимодействии с трезором можно добыть 24 слова, то очень вероятно, что тем же способом и пароль можно было бы добыть, если бы он хранился в флеш-памяти микроконтроллера. Поэтому в сложившихся обстоятельствах хорошо, что так. Только, если часто пользоваться, надоест длинный пароль каждый раз набирать, будет соблазн сделать его коротким, а это небезопасно. На леджере такой недостаток не выявлен, поэтому работа с ним более удобная. У меня, например, пароль больше 30 знаков, а вбивается он только однажды при начальной установке.
|
|
|
|
johhnyUA
Legendary
Offline
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
|
|
September 08, 2019, 01:22:59 PM |
|
Сомневаюсь, там же проверка чек-суммы прошивки (или что-то в этом духе, не помню точно, не важно) производится при подключении к ЛЛ.
Ну я намекал скорее на действия разработчиков. Думаю ты понимаешь что в таком случае сумма прошивки ничего не значит. Притом, уже было расследование, что если используется тип атаки MITM с перехватом посылки и потом модифицируется сам аппаратник, то никакие чек суммы не помогут. Ссылочка: https://xakep.ru/2018/12/29/trezor-ledger-flaws/
|
|
|
|
Dimenzino
Member
Offline
Activity: 826
Merit: 56
|
|
September 08, 2019, 06:32:06 PM |
|
Раз при физическом взаимодействии с трезором можно добыть 24 слова, то очень вероятно, что тем же способом и пароль можно было бы добыть, если бы он хранился в флеш-памяти микроконтроллера. Поэтому в сложившихся обстоятельствах хорошо, что так. Только, если часто пользоваться, надоест длинный пароль каждый раз набирать, будет соблазн сделать его коротким, а это небезопасно. вот так новость а как проводится сие "физическое взаимодействие" ? + насчет флеш-памяти для если-б-хранения пароля - эта инфа откуда ? особливо трезор-Т интересует
|
|
|
|
igor72
Legendary
Offline
Activity: 1974
Merit: 2061
Crypto Swap Exchange
|
|
September 08, 2019, 07:02:01 PM |
|
|
|
|
|
AlexDogwill
Jr. Member
Offline
Activity: 31
Merit: 77
|
Я только что завершил большую статью по аппаратному кошельку Keepkey. Раскрыл практически весь его функционал. Каждый раздел статьи наполнен подробными описаниями, скриншотами, фотографиями, ссылками на видео. Одно написание текста и его шлифовка заняла около 21 часа непрерывной работы. Это без учета времени на фотосессию и перенос статьи на движок сайта. Выпускаю эту статью как очередное детище и очень хотел бы, что как можно больше людей смогло найти ответы на свои вопросы по использованию кошелька. Важные части статьи – это обзор нового интерфейса ShapeShift, U2F аутентификация (с визуалкой) и ответы на вопросы. Вначале статьи есть удобная навигация по ключевым разделам: 01. Введение02. Упаковка и комплектация03. Интерфейс Keepkey client04. Новый интерфейс ShapeShift05. Совместимость06. Документация и поддержка07. Безопасность08. U2F аутентификация09. Частые вопросы10. О производителе11. Технические характеристики12. Сравнение с Trezor и Ledger13. Видео-обзорыНебольшое заключение от себя. Хочу сказать, что до появления ShapeShift у меня складывалось ощущение, что этот кошелек будет либо выкуплен другим проектом, либо закончит свое существование. Так как он сильно отставал от конкурентов Trezor и Ledger: не было поддержки u2f, кодовой фразы, segwit адресов, менеджера паролей, меньшая мультивалютность и главное - не было нормального интерфейса! В смысле не интерфейса-криптовалютного кошелька, а интерфейса приложения Keepkey Client. За 2019 год компания реально подтянулась: ввела u2f, кодовую фразу и появился наконец-то ShapeShift интерфейс с возможностью обменивать крипту. Основным преимуществом кошелька перед конкурентами является действительно большой дисплей 256x64px. Для сравнения Trezor T 240x240, Nano X 128x64. На мой взгляд, это идеальный кошелек для людей предпочитающим большие шрифты. Более того, кошелек удобно размещает любые виды публичных адресов на одном экране. Мои хотелки или недостатки Keepkey: 1) добавить шаг - проверки мнемонической фразы (после записи) - сейчас этот шаг вовсе отсутствует. На мой взгляд, очень странное решение. Если есть контрольная сумма, то почему бы не прогнать пользователя через проверку? Учитывая потенциальный риск невнимательности людей и риск утраты денег это ОБЯЗАТЕЛЬНО надо сделать! 2) добавить в ShapeShift поддержку аккаунтов больше индекса 0. Сейчас отображаются только аккаунты с нулевым индексом. 3) добавить user friendly возможность отображения xpub ключа 4) доработать ShapeShift, чтобы можно было задавать все настройки - от пин-кода, времени блокировки и до восстановления. Сейчас можно только очищать кошелек и создавать новый и все! 5) уменьшить конские комиссии при обмене валют. Если вы считаете, что статья будет полезной для знакомых и друзей, то просьба поделиться ею. Это будет ценным вкладом в развитие нашего проекта. Ссылка на статью - https://cryptonist.ru/blog/apparatnye-koshelki/obzor-keepkey/
|
|
|
|
Dimenzino
Member
Offline
Activity: 826
Merit: 56
|
|
September 13, 2019, 02:50:11 PM Last edit: September 13, 2019, 04:19:03 PM by Dimenzino |
|
спасибо за статью, https://cryptonist.ru/blog/apparatnye-koshelki/obzor-keepkey/Аналоги: сравнение с Trezor и Ledger Основным существенным преимуществом Keepkey перед конкурентами является большой дисплей, который удобно размещает на одном экране полные адреса разных криптовалют. Большой экран и увеличенный шрифт идеально подойдут для людей с пониженным зрением. Достаточно просто сравнить размеры дисплея в пикселях: Trezor T – 240×240, Ledger Nano X – 128×64 и Keepkey 256×64! сравнения размеров рабочего поля экранчиков сравниваемых кошелей в миллиметрах - явно не хватает, это важнее числа пикселей для людей с пониженным зрением, ну, с дальнозоркостью. диагонали тоже неинформативны - при вытянутых экранах площадь будет мала + не описаны плюсы отсутствия драйверов уязвимых для хакеров трезорцы вроде тоже хотят избавиться от драйвера по причине его уязвимости но у них это пока не получается как я понял п.2 о пользе аппаратников кстати https://google.ru/аппаратные кошельки для партии навальногоhttps://www.ridus.ru/news/302311https://www.youtube.com/watch?v=rhD1qJFDx38https://www.youtube.com/watch?v=Qmd1vV_AO4khttps://www.reddit.com/r/True_Russia... п.3 + насчет флеш-памяти для если-б-хранения пароля - эта инфа откуда ? Не понял, какая инфа?
отсюда если бы он хранился в флеш-памяти микроконтроллера он видимо там и хранится (а если не там то где?) + В конце концов аппаратник можно хранить дома в тайнике, а не в ящике стола. только тут нет защиты от пожара + На леджере такой недостаток не выявлен, поэтому работа с ним более удобная. У меня, например, пароль больше 30 знаков, а вбивается он только однажды при начальной установке. то есть защита от кражи у такого аппаратника отсутствует ? воткнул в комп и сливай кассу ? https://yandex.ru/ где ищут воры тайникиhttps://yandex.ru/ Куда не надо прятать ценностиhttps://rg.ru/2007/06/29/vor.htmlПростукивают стены и полы - паркет, панель, кафель, линолеум или утеплитель - не помеха. Проверяют и потолок, особенно если он подвесной. Изучают балкон или лоджию. Цветы нередко вырывают с корнем: вдруг в горшке - клад? Не щадят ни детские игрушки, ни музыкальные инструменты - после ухода воров плюшевые мишки безжалостно прооперированы, скрипки разбиты, у аккордеонов изрезаны меха.
|
|
|
|
igor72
Legendary
Offline
Activity: 1974
Merit: 2061
Crypto Swap Exchange
|
|
September 13, 2019, 04:06:41 PM |
|
+ насчет флеш-памяти для если-б-хранения пароля - эта инфа откуда ? Не понял, какая инфа?
отсюда если бы он хранился в флеш-памяти микроконтроллера он видимо там и хранится (а если не там то где?) нигде + В конце концов аппаратник можно хранить дома в тайнике, а не в ящике стола. только тут нет защиты от пожара Ну и что? При чем тут пожар? От пожара сид прятать нужно. + На леджере такой недостаток не выявлен, поэтому работа с ним более удобная. У меня, например, пароль больше 30 знаков, а вбивается он только однажды при начальной установке. то есть защита от кражи у такого аппаратника отсутствует ? воткнул в комп и снимай битки ? Пин-код защищает.
|
|
|
|
johhnyUA
Legendary
Offline
Activity: 2436
Merit: 1849
Crypto for the Crypto Throne!
|
|
September 13, 2019, 08:41:13 PM |
|
~snip~
Я вот одного не понял: если они от шейпшифт, то там случаем не нужно будет КУС проходить, в кошельке то, а? Или в декстопном интерфейсе, чтобы пользоваться кошельком.
|
|
|
|
|
TheFuzzStone
Legendary
Offline
Activity: 1512
Merit: 1442
thefuzzstone.github.io
|
|
September 14, 2019, 07:36:42 AM |
|
Ну вот, еще один аппаратник появится на рынке.
|
|
|
|
igor72
Legendary
Offline
Activity: 1974
Merit: 2061
Crypto Swap Exchange
|
|
September 14, 2019, 07:53:57 AM |
|
А что там аппаратного, кусок пластика? Еще один бумажный кошелек, сгенерированный не пользователем. Я бы и даром такой не взял ).
|
|
|
|
be.open
Copper Member
Hero Member
Offline
Activity: 2184
Merit: 915
White Russian
|
|
September 14, 2019, 08:08:29 AM |
|
А что там аппаратного, кусок пластика? Еще один бумажный кошелек, сгенерированный не пользователем. Я бы и даром такой не взял ). Ну даром то поди уж можно, кинуть туда пару сатошиков и дать официантке в кафе на чай. А то они болезные с распространением безнала на голодном пайке сидят без чаевых. Вчера столкнулся с косяком леджера, точнее не самого аппаратного кошелька, а приложения ledger live. При отправлении транзакции он предложил подозрительно маленькую комиссию кажется 3 сатоши на байт, я пожал плечами и нажал кнопку отправить, ну и попал под резкий скачок в мемпуле, короче несколько часов транзакция висела без подтверждения пока не рассосалось. А косяк в том, что раньше в хром-приложении для биткоина была кнопочка с молнией, с помощью которой можно было ускорить зависшую транзакцию методом "ребёнок платит за родителя", а теперь её нету. Начал гуглить - действительно нету, " this functionality will be implemented in Ledger Live later.". Досадно, чё.
|
|
|
|
|