Bitcoin Forum
December 16, 2024, 02:26:15 AM *
News: Latest Bitcoin Core release: 28.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: [1] 2 »  All
  Print  
Author Topic: Проблема Coinbase: удобство или безопасность?  (Read 3310 times)
Arvicco (OP)
Hero Member
*****
Offline Offline

Activity: 574
Merit: 501


Please bear with me


View Profile WWW
July 03, 2014, 07:11:08 PM
 #1

http://bitnovosti.com/2014/07/03/problema-coinbase/

Quote
Программист из Канады сообщил о выявлении существенной уязвимости в приложении Coinbasе, используя которую, злоумышленники могут получить полный доступ к аккаунту пользователя. Это далеко не первая проблема безопасности, выявленная для данной платформы. В широком смысле, возникает вопрос: какую цену приходится платить пользователям за кажущееся удобство сервиса Coinbase?

...

Возможно, использование Coinbase-aккаунта и удобно для повседневных биткойн-расходов (хотя не очень понятно, что в нем есть такого, чего бы не было в сервисе Blockchain.info). Однако, держать на этом счете остаток в биткойнах, который превышает сумму, которую вы в любой момент готовы потерять, однозначно не стоит. Как показывает нам история, все централизованные сервисы подобного рода рушатся, неизбежно погребая под своими обломками средства излишне доверчивых пользователей.


Pinka42
Newbie
*
Offline Offline

Activity: 19
Merit: 0


View Profile
July 04, 2014, 12:55:01 AM
 #2

кто нибудь пользовался коинбэйс?) я все никак не попробую
MaD!CaT
Newbie
*
Offline Offline

Activity: 30
Merit: 0


View Profile
July 04, 2014, 01:25:09 AM
 #3

кто нибудь пользовался коинбэйс?) я все никак не попробую

А оно вам нужно? Зачем, если есть старый, добрый, проверенный временем Bitcoin-qt
icreator
Legendary
*
Offline Offline

Activity: 1554
Merit: 1008



View Profile WWW
July 04, 2014, 10:44:19 AM
 #4

да пора бы уже всем новичкам понять - что централизация = обман или рабство

Erachain Blockchain is fully ready for use Digital Ecosystem based on blockchain technology for business and government with low transaction costs, identification and built-in functions.
+Decentralized exchange of tokens in Erachain
tee-rex
Hero Member
*****
Offline Offline

Activity: 742
Merit: 526


View Profile
July 04, 2014, 12:35:39 PM
 #5

кто нибудь пользовался коинбэйс?) я все никак не попробую

В Coinbase есть возможность установить двухфакторную двухуровневую аутентификацию - при входе в кошелёк и при переводе денег будет запрашиваться код, присылаемый на телефон. Поэтому даже если зловред получит доступ к учётной записи пользователя, то при включённой аутентификации по смс он едва ли сможет украсть деньги. Smiley
Arvicco (OP)
Hero Member
*****
Offline Offline

Activity: 574
Merit: 501


Please bear with me


View Profile WWW
July 04, 2014, 03:50:33 PM
 #6

кто нибудь пользовался коинбэйс?) я все никак не попробую

В Coinbase есть возможность установить двухфакторную двухуровневую аутентификацию - при входе в кошелёк и при переводе денег будет запрашиваться код, присылаемый на телефон. Поэтому даже если зловред получит доступ к учётной записи пользователя, то при включённой аутентификации по смс он едва ли сможет украсть деньги. Smiley

То же самое можно сделать и в кошельке Blockchain.info, и при этом в отличии от Coinbase он позволяет вам сделать бэкап ваших ключей.

tee-rex
Hero Member
*****
Offline Offline

Activity: 742
Merit: 526


View Profile
July 04, 2014, 05:28:14 PM
 #7

кто нибудь пользовался коинбэйс?) я все никак не попробую

В Coinbase есть возможность установить двухфакторную двухуровневую аутентификацию - при входе в кошелёк и при переводе денег будет запрашиваться код, присылаемый на телефон. Поэтому даже если зловред получит доступ к учётной записи пользователя, то при включённой аутентификации по смс он едва ли сможет украсть деньги. Smiley

То же самое можно сделать и в кошельке Blockchain.info, и при этом в отличии от Coinbase он позволяет вам сделать бэкап ваших ключей.

Сочетание "бэкап ваших ключей" и "двухфакторная аутентификация" звучит немного нелепо.
Arvicco (OP)
Hero Member
*****
Offline Offline

Activity: 574
Merit: 501


Please bear with me


View Profile WWW
July 04, 2014, 06:24:30 PM
 #8

Сочетание "бэкап ваших ключей" и "двухфакторная аутентификация" звучит немного нелепо.

Почему же? Ключи на удаленных серверах хранятся в зашифрованном виде. Чтобы получить к ним доступ, можно требовать 2-уровневую аутентикацию. Но если доступ получен, вы можете сделать бэкап. Что нелогично?

icreator
Legendary
*
Offline Offline

Activity: 1554
Merit: 1008



View Profile WWW
July 04, 2014, 06:44:04 PM
 #9

кто нибудь пользовался коинбэйс?) я все никак не попробую

В Coinbase есть возможность установить двухфакторную двухуровневую аутентификацию - при входе в кошелёк и при переводе денег будет запрашиваться код, присылаемый на телефон. Поэтому даже если зловред получит доступ к учётной записи пользователя, то при включённой аутентификации по смс он едва ли сможет украсть деньги. Smiley

все это было и на mtgox - не спасло ))
а старожилы говорят и до этого биткоины много раз уходили от владельцев на других "крутых" веб-проектах

Erachain Blockchain is fully ready for use Digital Ecosystem based on blockchain technology for business and government with low transaction costs, identification and built-in functions.
+Decentralized exchange of tokens in Erachain
tee-rex
Hero Member
*****
Offline Offline

Activity: 742
Merit: 526


View Profile
July 04, 2014, 06:50:07 PM
 #10

Сочетание "бэкап ваших ключей" и "двухфакторная аутентификация" звучит немного нелепо.

Почему же? Ключи на удаленных серверах хранятся в зашифрованном виде. Чтобы получить к ним доступ, можно требовать 2-уровневую аутентикацию. Но если доступ получен, вы можете сделать бэкап. Что нелогично?

После того, как копия ключей получена, смысл двухфакторной аутентификации теряется. Это означает, что где-то еще существует второй действительный кошелёк, деньги с которого могут быть украдены. Нет особого смысла ставить крутую противовзломную дверь, если вор элементарно может влезть в окно.
Arvicco (OP)
Hero Member
*****
Offline Offline

Activity: 574
Merit: 501


Please bear with me


View Profile WWW
July 05, 2014, 10:04:41 AM
 #11

Сочетание "бэкап ваших ключей" и "двухфакторная аутентификация" звучит немного нелепо.

Почему же? Ключи на удаленных серверах хранятся в зашифрованном виде. Чтобы получить к ним доступ, можно требовать 2-уровневую аутентикацию. Но если доступ получен, вы можете сделать бэкап. Что нелогично?

После того, как копия ключей получена, смысл двухфакторной аутентификации теряется. Это означает, что где-то еще существует второй действительный кошелёк, деньги с которого могут быть украдены. Нет особого смысла ставить крутую противовзломную дверь, если вор элементарно может влезть в окно.

Если вы надежно храните полученный бэкап - допустим, в оффлайн-хранилище в банковском сейфе, то ваша безопасность нисколько не скомпрометирована, а вот защитой на случай внезапного исчезновения сервиса вы обеспечены. Или вы полагаете, что полный отказ в доступе клиентов к их ключам, на манер Coinbase, почему-то дает им большую безопасность? По-моему, как раз наоборот.

DeQuade
Hero Member
*****
Offline Offline

Activity: 798
Merit: 1009


View Profile
July 05, 2014, 10:28:18 AM
 #12

Если вы надежно храните полученный бэкап - допустим, в оффлайн-хранилище в банковском сейфе, то ваша безопасность нисколько не скомпрометирована, а вот защитой на случай внезапного исчезновения сервиса вы обеспечены. Или вы полагаете, что полный отказ в доступе клиентов к их ключам, на манер Coinbase, почему-то дает им большую безопасность? По-моему, как раз наоборот.
А мне казалось банки тоже грабят...
Arvicco (OP)
Hero Member
*****
Offline Offline

Activity: 574
Merit: 501


Please bear with me


View Profile WWW
July 05, 2014, 10:38:26 AM
 #13

А мне казалось банки тоже грабят...

Каждый уровень безопасности призван уменьшить вероятность потери ваших биткойнов, но не снизить ее до нуля. Банковский сейф - физический уровень. Если этот уровень пал, и злоумышленник получил в свои руки носитель с вашими ключами, у вас должно быть продумана пара других уровней, чтобы замедлить его продвижение. Скажем, поместить ключи на зашифрованный диск? И при этом, с секретным TrueCrypt-разделом?

Или, допустим, разделить файл с ключами по принципу "разделенного секрета", и поместить каждую часть в разные сейфы в разных банках?

DeQuade
Hero Member
*****
Offline Offline

Activity: 798
Merit: 1009


View Profile
July 05, 2014, 11:23:04 AM
 #14

Каждый уровень безопасности призван уменьшить вероятность потери ваших биткойнов, но не снизить ее до нуля. Банковский сейф - физический уровень. Если этот уровень пал, и злоумышленник получил в свои руки носитель с вашими ключами, у вас должно быть продумана пара других уровней, чтобы замедлить его продвижение. Скажем, поместить ключи на зашифрованный диск? И при этом, с секретным TrueCrypt-разделом?

Или, допустим, разделить файл с ключами по принципу "разделенного секрета", и поместить каждую часть в разные сейфы в разных банках?
Для обычного пользователя, у которого на счету небольшое количество биткоинов, хранение нескольких частей кошелька, да еще и в разных банках не приемлемо...
Pinka42
Newbie
*
Offline Offline

Activity: 19
Merit: 0


View Profile
July 05, 2014, 12:10:19 PM
 #15

Каждый уровень безопасности призван уменьшить вероятность потери ваших биткойнов, но не снизить ее до нуля. Банковский сейф - физический уровень. Если этот уровень пал, и злоумышленник получил в свои руки носитель с вашими ключами, у вас должно быть продумана пара других уровней, чтобы замедлить его продвижение. Скажем, поместить ключи на зашифрованный диск? И при этом, с секретным TrueCrypt-разделом?

Или, допустим, разделить файл с ключами по принципу "разделенного секрета", и поместить каждую часть в разные сейфы в разных банках?
Для обычного пользователя, у которого на счету небольшое количество биткоинов, хранение нескольких частей кошелька, да еще и в разных банках не приемлемо...
странный ты )) сначала говоришь что мол хранение в банк ячейке не безопасно, потому что банк могут ограбить, а потом говоришь что для обычного пользователя с небольшим кол-вом бтц хранение в разных банках разделенного ключа неприемлемо так как слишком сложно Grin в таком случае обычному пользователю у которого небольшое кол-во биткоинов нет смысла хранить бэкап в банк ячейке )
а способ с разделением ключей очень изощренный и годится для параноиков с десятками тысяч бтц
DeQuade
Hero Member
*****
Offline Offline

Activity: 798
Merit: 1009


View Profile
July 05, 2014, 05:48:07 PM
 #16

странный ты )) сначала говоришь что мол хранение в банк ячейке не безопасно, потому что банк могут ограбить, а потом говоришь что для обычного пользователя с небольшим кол-вом бтц хранение в разных банках разделенного ключа неприемлемо так как слишком сложно Grin в таком случае обычному пользователю у которого небольшое кол-во биткоинов нет смысла хранить бэкап в банк ячейке )
а способ с разделением ключей очень изощренный и годится для параноиков с десятками тысяч бтц
Кто сказал сложно? Я лично такого не говорил. А нецелесообразно потому, что аренда этих ячеек не бесплатна!
tee-rex
Hero Member
*****
Offline Offline

Activity: 742
Merit: 526


View Profile
July 06, 2014, 04:35:30 PM
 #17

Сочетание "бэкап ваших ключей" и "двухфакторная аутентификация" звучит немного нелепо.

Почему же? Ключи на удаленных серверах хранятся в зашифрованном виде. Чтобы получить к ним доступ, можно требовать 2-уровневую аутентикацию. Но если доступ получен, вы можете сделать бэкап. Что нелогично?

После того, как копия ключей получена, смысл двухфакторной аутентификации теряется. Это означает, что где-то еще существует второй действительный кошелёк, деньги с которого могут быть украдены. Нет особого смысла ставить крутую противовзломную дверь, если вор элементарно может влезть в окно.

Если вы надежно храните полученный бэкап - допустим, в оффлайн-хранилище в банковском сейфе, то ваша безопасность нисколько не скомпрометирована, а вот защитой на случай внезапного исчезновения сервиса вы обеспечены. Или вы полагаете, что полный отказ в доступе клиентов к их ключам, на манер Coinbase, почему-то дает им большую безопасность? По-моему, как раз наоборот.

Как правило, сервис исчезает вместе с деньгами. Ключи-то у вас останутся, но кошелёк очевидно будет пуст - легче вам этого станет? Cheesy
Arvicco (OP)
Hero Member
*****
Offline Offline

Activity: 574
Merit: 501


Please bear with me


View Profile WWW
July 06, 2014, 05:44:49 PM
 #18

Как правило, сервис исчезает вместе с деньгами. Ключи-то у вас останутся, но кошелёк очевидно будет пуст - легче вам этого станет? Cheesy

Хм, какой момент в фразе "blockchain.info не имеет доступа к зашифрованным ключам, хранящихся на их серверам" остался для вас непонятным?

tee-rex
Hero Member
*****
Offline Offline

Activity: 742
Merit: 526


View Profile
July 06, 2014, 06:22:52 PM
 #19

Как правило, сервис исчезает вместе с деньгами. Ключи-то у вас останутся, но кошелёк очевидно будет пуст - легче вам этого станет? Cheesy

Хм, какой момент в фразе "blockchain.info не имеет доступа к зашифрованным ключам, хранящихся на их серверам" остался для вас непонятным?

Напомню, речь идёт про безопасность и удобство пользования кошельком Coinbase. У кого здесь непонятки?
Arvicco (OP)
Hero Member
*****
Offline Offline

Activity: 574
Merit: 501


Please bear with me


View Profile WWW
July 06, 2014, 06:44:15 PM
 #20

Как правило, сервис исчезает вместе с деньгами. Ключи-то у вас останутся, но кошелёк очевидно будет пуст - легче вам этого станет? Cheesy

Хм, какой момент в фразе "blockchain.info не имеет доступа к зашифрованным ключам, хранящихся на их серверам" остался для вас непонятным?

Напомню, речь идёт про безопасность и удобство пользования кошельком Coinbase. У кого здесь непонятки?

С безопасностью Coinbase как раз все понятно - ее просто нет, как ни крути. Я как раз говорю о том, что любой вменяемый сервис "облачного кошелька" должен быть построен по модели Blockchain.info, и в этом случае бэкап ключей - дополнительный уровень безопасности, который может быть отнюдь не лишним (зависит от того, сколько у вас там денег хранится, конечно).

Pages: [1] 2 »  All
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!