Bisakah sebuah website ‘SSL certificated’ maupun yang ‘Not secure’ meng exploit wallet extension?
SSL certified itu ga ada hubungannya dengan keamanan isi situs, itu cuma menjamin kalau domain yang dituju bukan domain phising (terkait https), tinggal klik autossl doang udah dapet sertifikatnya. Kalau "not secure" dia protokol tidak pakai https, cuma http biasa data tidak dienkripsi.
extension dengan reputasi yang buruk, bisa meretas keamanan wallet extension yang lain?
Extension itu kita kasih permission tergantung mintanya apa, makanya jangan langsung next, dilihat dia minta permission apa.
Banyak permission yang bisa ngasih akses data sensitif.
RPC end-point provider yang tidak familiar dapat membocorkan seed / private key?
Harusnya private key tidak dikirim via RPC dong, nanti yang dikirimkan data yang "sudah jadi." Proses signing setau ane dikomputasi lokal (CMIIW ilmu sudah menguap).
Yang biasanya terjadi adalah user sembangarangan ngasih permission di contract, yang pakai solusi revoke ntu
aplikasi bajakan, bagaimana itu bisa terjadi mengambil / mengobrak abrik file yang ada di PC ?
Sama terkait permission, malah ada yang bisa remote assitance/RDP jadi kompi kita diakses secara remote oleh attacker asalkan terkoneksi internet.
Aplikasi di playstore belum tentu secure? di Appstore juga kah?
Sebelum listing app dilakukan due diligence tapi tentu saja manusia ga ada yang sempurna dan bisa luput, apalagi kalau karyawan Google/Apple kerjanya ga sepenuh hati. Tidak ada jaminan apps yang listing itu aman.
sign message function, bisakah mengekspos privkey / seed?
Kalau appsnya bener harusnya itu proses signing dilakukan secara lokal, data yang dikirim adalah yang "sudah jadi" sudah tidak bisa diekstrak lagi privkeynya.
Pertanyaan terkait extension, RPC, dan signed message itu senada, kalau app wallet dan dapp web3 yang digunakan malicious ya privkey agan tidak aman.