Проблема Coinbase: удобство или безопасность?

[tee-rex]

Как правило, сервис исчезает вместе с деньгами. Ключи-то у вас останутся, но кошелёк очевидно будет пуст - легче вам этого станет?

Хм, какой момент в фразе "blockchain.info не имеет доступа к зашифрованным ключам, хранящихся на их серверам" остался для вас непонятным?

Напомню, речь идёт про безопасность и удобство пользования кошельком Coinbase. У кого здесь непонятки?

С безопасностью Coinbase как раз все понятно - ее просто нет, как ни крути. Я как раз говорю о том, что любой вменяемый сервис "облачного кошелька" должен быть построен по модели Blockchain.info, и в этом случае бэкап ключей - дополнительный уровень безопасности, который может быть отнюдь не лишним (зависит от того, сколько у вас там денег хранится, конечно).

Каким образом blockchain.info не может иметь доступа к зашифрованным ключам, хранящимся на их серверах?

Я хоть и не пользуюсь blockchain.info (как кошельком), но чувствую, что вы начали конекретно выдумывать.

[Arvicco]

Каким образом blockchain.info не может иметь доступа к зашифрованным ключам, хранящимся на их серверах?

Я хоть и не пользуюсь blockchain.info (как кошельком), но чувствую, что вы начали конекретно выдумывать.

Еще раз: кошелек на сервере хранится в зашифрованном виде. У blockchain.info вашего пароля нет. Hа стороне сервера расшифровки не происходит - получив зашифрованный кошелек, вы его расшифровываете у себя на компьютере. При изменении кошелька, оно также происходит локально, а потом вы сохраняете на серверах новый зашифрованный файл. Blockchain.info не имеет возможности украсть ваши монеты, хотя и хранит ваш кошелек.

[tee-rex]

Каким образом blockchain.info не может иметь доступа к зашифрованным ключам, хранящимся на их серверах?

Я хоть и не пользуюсь blockchain.info (как кошельком), но чувствую, что вы начали конекретно выдумывать.

Еще раз: кошелек на сервере хранится в зашифрованном виде. У blockchain.info вашего пароля нет. Hа стороне сервера расшифровки не происходит - получив зашифрованный кошелек, вы его расшифровываете у себя на компьютере. При изменении кошелька, оно также происходит локально, а потом вы сохраняете на серверах новый зашифрованный файл. Blockchain.info не имеет возможности украсть ваши монеты, хотя и хранит ваш кошелек.

Сказанное вами сейчас противоречит сказанному вами ранее. Получается, что blockchain.info всё-таки имеет доступ к зашифрованным ключам, правильно?

[Arvicco]

Сказанное вами сейчас противоречит сказанному вами ранее. Получается, что blockchain.info всё-таки имеет доступ к зашифрованным ключам, правильно?

OK, кажется я понял в какой момент у нас с вами возникло недопонимание. Переформулирую: "Blockchain.info не имеет доступ к секретным ключам пользователя, поскольку они зашифрованы".

[tee-rex]

Сказанное вами сейчас противоречит сказанному вами ранее. Получается, что blockchain.info всё-таки имеет доступ к зашифрованным ключам, правильно?

OK, кажется я понял в какой момент у нас с вами возникло недопонимание. Переформулирую: "Blockchain.info не имеет доступ к секретным ключам пользователя, поскольку они зашифрованы".

Я так и понял, однако в этом случае смысл blockchain.info как кошелька теряется. С тем же успехом можно хранить ключи в зашифрованном виде на Яндекс-диске, например.

[Arvicco]

Я так и понял, однако в этом случае смысл blockchain.info как кошелька теряется. С тем же успехом можно хранить ключи в зашифрованном виде на Яндекс-диске, например.

Ну, расшифровав эти ключи в соответствующем приложении или в своем браузере, вы можете с ними выполнить весьма широкий набор операций, интегрированных с данными blockchain.info. Практически все, что вы можете сделать в Bitcoin Core, и даже больше... многие, допустим, очень удивляются, узнав что кошелек blockchain.info давно уже содержит встроенный биткойн-миксер по технологии coinjoin, который великолепно работает.

[tee-rex]

Я так и понял, однако в этом случае смысл blockchain.info как кошелька теряется. С тем же успехом можно хранить ключи в зашифрованном виде на Яндекс-диске, например.

Ну, расшифровав эти ключи в соответствующем приложении или в своем браузере, вы можете с ними выполнить весьма широкий набор операций, интегрированных с данными blockchain.info. Практически все, что вы можете сделать в Bitcoin Core, и даже больше... многие, допустим, очень удивляются, узнав что кошелек blockchain.info давно уже содержит встроенный биткойн-миксер по технологии coinjoin, который великолепно работает.

Да, но в этом случае ("расшифровав эти ключи в своем браузере") как вы можете быть уверены, что они не отправятся в девственном виде на сервер?

[Arvicco]

Да, но в этом случае ("расшифровав эти ключи в своем браузере") как вы можете быть уверены, что они не отправятся в девственном виде на сервер?

Да, подложить серверный код, перегоняющий ключи в незашифрованном виде из браузера, конечно же можно. Для особо параноидальных есть, впрочем, плагин или приложение с открытым исходным кодом, установив которые можно защититься от такого сценария.

[tee-rex]

Да, но в этом случае ("расшифровав эти ключи в своем браузере") как вы можете быть уверены, что они не отправятся в девственном виде на сервер?

Да, подложить серверный код, перегоняющий ключи в незашифрованном виде из браузера, конечно же можно. Для особо параноидальных есть, впрочем, плагин или приложение с открытым исходным кодом, установив которые можно защититься от такого сценария.

Ну вот видите, мы пришли к тому, с чего собственно и начали - хранение ключей у себя и использование биткоин-клиентов с открытым исходным кодом (для параноиков) против использования сторонних онлайн-кошельков типа Coinbase (для всех остальных).

[tee-rex]

И, в данном случае, Coinbase получается ничуть не хуже blockchain.info с точки зрения безопасности, а фактически даже лучше...

[Arvicco]

Да, подложить серверный код, перегоняющий ключи в незашифрованном виде из браузера, конечно же можно. Для особо параноидальных есть, впрочем, плагин или приложение с открытым исходным кодом, установив которые можно защититься от такого сценария.

Ну вот видите, мы пришли к тому, с чего собственно и начали - хранение ключей у себя и использование биткоин-клиентов с открытым исходным кодом (для параноиков) против использования сторонних онлайн-кошельков типа Coinbase (для всех остальных).

Я не говорю о приложении типа Bitcoin Core. Я говорю о приложении Blockchain.info, которое позволяет работать с данным онлайн-кошельком, устранив уязвимости, присущие браузеру. Суть кошелька при этом не меняется, это по-прежнему облачный кошелек, а не локальный.

Иначе говоря, чтобы предоставить пользователям полноценный сервис облачного кошелька, вовсе не обязательно контролировать их ключи, как это делает Coinbase.

[Arvicco]

И, в данном случае, Coinbase получается ничуть не хуже blockchain.info с точки зрения безопасности, а фактически даже лучше...

В упор не замечаю никаких преимуществ Coinbase с точки зрения безопасности - по-моему, они кругом в пролете. Поясните вашу мысль, если не трудно.

[tee-rex]

И, в данном случае, Coinbase получается ничуть не хуже blockchain.info с точки зрения безопасности, а фактически даже лучше...

В упор не замечаю никаких преимуществ Coinbase с точки зрения безопасности - по-моему, они кругом в пролете. Поясните вашу мысль, если не трудно.

Ну самое очевидное преимущество лежит на поверхности - ключи ни в каком виде не передаются по сети, т.е. полностью отсутствует возможность их выцепить где-либо. Я думаю, с этим глупо спорить, и это здоровый такой булыжник в огород blockchain.info.

[tee-rex]

Да, подложить серверный код, перегоняющий ключи в незашифрованном виде из браузера, конечно же можно. Для особо параноидальных есть, впрочем, плагин или приложение с открытым исходным кодом, установив которые можно защититься от такого сценария.

Ну вот видите, мы пришли к тому, с чего собственно и начали - хранение ключей у себя и использование биткоин-клиентов с открытым исходным кодом (для параноиков) против использования сторонних онлайн-кошельков типа Coinbase (для всех остальных).

Я не говорю о приложении типа Bitcoin Core. Я говорю о приложении Blockchain.info, которое позволяет работать с данным онлайн-кошельком, устранив уязвимости, присущие браузеру. Суть кошелька при этом не меняется, это по-прежнему облачный кошелек, а не локальный.

Это ничего принципиально не меняет с точки зрения безопасности ("я говорю о приложении Blockchain.info"), ибо ключ хранится в расшифрованном виде в оперативной памяти компьютера - со всеми вытекающими отсюда последствиями в виде троянов и прочих зловредов. Очевидно, что двухфакторная аутентификация в данном случае также теряет свой смысл (если она есть, конечно).

[Arvicco]

Это ничего принципиально не меняет с точки зрения безопасности ("я говорю о приложении Blockchain.info"), ибо ключ хранится в расшифрованном виде в оперативной памяти компьютера - со всеми вытекающими отсюда последствиями в виде троянов и прочих зловредов. Очевидно, что двухфакторная аутентификация в данном случае также теряет свой смысл (если она есть, конечно).

Она есть, и ее смысл - предотвратить получение зашифрованных ключей неавторизованной третьей стороной с целью брутфорсного взлома. Насчет расшифрованных ключей в оперативной памяти, это ставит уровень безопасности при использовании кошелька Blockchain.info на уровень Bitcoin Core, что является своего рода эталоном. Уж это всяко побивает отсутствие любого доступа к своим собственным ключам, характерное для сервиса Coinbase.

[tee-rex]

Это ничего принципиально не меняет с точки зрения безопасности ("я говорю о приложении Blockchain.info"), ибо ключ хранится в расшифрованном виде в оперативной памяти компьютера - со всеми вытекающими отсюда последствиями в виде троянов и прочих зловредов. Очевидно, что двухфакторная аутентификация в данном случае также теряет свой смысл (если она есть, конечно).

Она есть, и ее смысл - предотвратить получение зашифрованных ключей неавторизованной третьей стороной с целью брутфорсного взлома. Насчет расшифрованных ключей в оперативной памяти, это ставит уровень безопасности при использовании кошелька Blockchain.info на уровень Bitcoin Core, что является своего рода эталоном.

И каким же образом двухфакторная аутентификация может помешать перехватить зашифрованные ключи на пути от сервера к компьютеру пользователя (я уже не говорю о том, чтобы выцепить их непосредственно с клиента в расшифрованном виде)?

Уж это всяко побивает отсутствие любого доступа к своим собственным ключам, характерное для сервиса Coinbase

Другими словами, то, что ключи могут быть перехвачены третьей стороной, это ерунда (что в случае расшифрованных ключей равнозначно потере денег), а то, что пользователь их не видит (не имеет к ним непосредственного доступа) и при этом никто не может их перехватить в принципе, это у вас прямо апокалипсис!

Скажу прямо, у вас какое-то искаженное (если не сказать грубее) представление о безопасности.

[Arvicco]

Уж это всяко побивает отсутствие любого доступа к своим собственным ключам, характерное для сервиса Coinbase

Другими словами, то, что ключи могут быть перехвачены третьей стороной, это ерунда (что в случае расшифрованных ключей равнозначно потере денег), а то, что пользователь их не видит (не имеет к ним непосредственного доступа) и при этом никто не может их перехватить в принципе, это у вас прямо апокалипсис!

Скажу прямо, у вас какое-то искаженное (если не сказать грубее) представление о безопасности.

Ничего странного. У каждого есть свое представление о соотношении различных типов рисков. Кому-то кажется, что держать ключи на своем собственном компьютере - абсолютно идиотская идея, украдут или хакеры или обычные воры вместе с компьютером. Кому-то кажется, что доверить свои приватные ключи третьей стороне, при этом не имея к ним доступа - абсолютно идиотская идея, какая гарантия что самая уважаемая третья сторона не окажется очередным Mt.Goxом, как бы она не надувала щеки?

Этих самых Goxов на притяжении недолгой истории биткойна уже были вагон и маленькая тележка, не проходит и пары месяцев чтобы очередной централизованный сервис не гоксанулся. А люди все отдают им и отдают свои монеты, как зазомбированные. Почитав ваши отклики (а вас явно зомби или идиотом не назовешь), я могу понять почему - просто они по-иному оценивают риски.

[tee-rex]

Уж это всяко побивает отсутствие любого доступа к своим собственным ключам, характерное для сервиса Coinbase

Другими словами, то, что ключи могут быть перехвачены третьей стороной, это ерунда (что в случае расшифрованных ключей равнозначно потере денег), а то, что пользователь их не видит (не имеет к ним непосредственного доступа) и при этом никто не может их перехватить в принципе, это у вас прямо апокалипсис!

Скажу прямо, у вас какое-то искаженное (если не сказать грубее) представление о безопасности.

Ничего странного. У каждого есть свое представление о соотношении различных типов рисков. Кому-то кажется, что держать ключи на своем собственном компьютере - абсолютно идиотская идея, украдут или хакеры или обычные воры вместе с компьютером. Кому-то кажется, что доверить свои приватные ключи третьей стороне, при этом не имея к ним доступа - абсолютно идиотская идея, какая гарантия что самая уважаемая третья сторона не окажется очередным Mt.Goxом, как бы она не надувала щеки?

Этих самых Goxов на притяжении недолгой истории биткойна уже были вагон и маленькая тележка, не проходит и пары месяцев чтобы очередной централизованный сервис не гоксанулся. А люди все отдают им и отдают свои монеты, как зазомбированные. Почитав ваши отклики (а вас явно зомби или идиотом не назовешь), я могу понять почему - просто они по-иному оценивают риски.

Всё то же самое я могу сказать и о blockchain.info (как раз его, кстати, совсем недавно и ломанули).

Ваша позиция не выглядит последовательной - если исходить из того, что вы сейчас ответили, то самым правильным вариантом было бы не хранить ключи на внешнем сервере, хотя бы даже и в зашифрованном виде. Очевидно, что если речь идёт о суммах в десятки-сотни биткоинов, то это единственный правильный вариант (отсутствие доверия к третьей стороне).

[world-success]

Пропали деньги с Coinbase  2.3 ВТС , вся история кошелька была и в одно мгновение все исчезло . Служба поддержки пишет ничего не знаем , хотя мы предоставили историю на почте о приходе денег . Так же скрин блокчейна о приходе денег .  В общем сейчас готовлю видео ролик о МОШЕННИЧЕСТВЕ  COINBASE  , Считаю это лохотронская платежка  и не рекомендую в ней держать деньги , хотя у меня никогда проблем не было . Это все случилось с моим партнером , я ему хотел помочь ,но видимо поддержки пофиг .  Факт мошенничества есть.... кабинет полнустью обнулен , как будто в кошельке не происходили транзакции.