Аппаратные кошельки - page 10.

andy_pelevin

legendary

Activity: 2278

Merit: 1186

AI Atelier

Quote from: satscraper on November 05, 2022, 07:31:01 AM

Не убеждает. Имея физический доступ к потрохам можно взломать практически любое устройство. Вопрос только в стоимости взлома.

Вопрос взлома не только в стоимости, но ещё и в целесообразности. Да, можно срезать с чипа тонкие слои и сканировать поверхность. Совместив несколько тысяч сканов в трёхмерную модель, можно получить логическую схему работы этого чипа. А что дальше?... приведут ли вложенные средства к взлому всего устройства?... Знание логической схемы устройства совсем не гарантирует перехват управления этим устройством. На гитхабе в открытом доступе лежат сотни тысяч исходников к различным финансовым программам. И что? К управлению всеми этими программами гарантированно можно получить доступ? Очевидно, что это не так.

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: satscraper on November 05, 2022, 07:31:01 AM

Не убеждает. Имея физический доступ к потрохам можно взломать практически любое устройство.

Не знаю. Но помню, как они писали, что их устройство неуязвимо в том числе и при физическом доступе, благодаря секьюрному чипу. Мол, поэтому у них даже нет пломб на девайсах/коробках, как у трезора.

satscraper

hero member

Activity: 714

Merit: 1298

Quote from: igor72 on November 05, 2022, 07:22:16 AM

Quote from: satscraper on November 05, 2022, 07:03:14 AM

Я привык судить по объективным данным, но не по жалобам посетителей реддита.

Представители леджера на реддите часто признавали справедливость этих жалоб, так что дело не всегда было в посетителях.

Quote

https://www.cvedetails.com/product-list/vendor_id-20298/Ledger.html

https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/

Не убеждает. Имея физический доступ к потрохам можно взломать практически любое устройство. Вопрос только в стоимости взлома.

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: satscraper on November 05, 2022, 07:03:14 AM

Я привык судить по объективным данным, но не по жалобам посетителей реддита.

Представители леджера на реддите часто признавали справедливость этих жалоб, так что дело не всегда было в посетителях.

Quote

https://www.cvedetails.com/product-list/vendor_id-20298/Ledger.html

https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/

satscraper

hero member

Activity: 714

Merit: 1298

Quote from: igor72 on November 04, 2022, 06:18:11 AM

Quote from: satscraper on November 04, 2022, 05:19:04 AM

Как можно судить об уровне програмистов не имея доступа к разрабатываемым кодам?

Разве нельзя судить о мастерстве повара по блюдам на столе? За 5 лет несколько раз сам сталкивался с глюками прошивки и Ledger Live и видел много жалоб на реддите. Еще вспоминается, как уязвимость (именно уязвимость), найденную в конце 17-го года, они исправляли 4 месяца. По-моему, это очень долго. Справедливости ради нужно сказать, что последние две-три прошивки Nano S у меня работают хорошо (да и у народа вроде бы). Но Ledger Live пока еще не безупречен. И с серверами у них периодически проблемы - недавно не мог отправить XLM, пришлось подключаться к стороннему сервису (благо, он есть в данном случае).

Я привык судить по объективным данным, но не по жалобам посетителей реддита, которые в своем большинстве не знают как подступиться к блюду на столе. Аппаратный кошелек, его приложения, LL и сервер это на мой взгляд разные вещи и я бы не мешал их в одну кучу.

https://www.cvedetails.com/product-list/vendor_id-20298/Ledger.html

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: satscraper on November 04, 2022, 05:19:04 AM

Как можно судить об уровне програмистов не имея доступа к разрабатываемым кодам?

Разве нельзя судить о мастерстве повара по блюдам на столе? За 5 лет несколько раз сам сталкивался с глюками прошивки и Ledger Live и видел много жалоб на реддите. Еще вспоминается, как уязвимость (именно уязвимость), найденную в конце 17-го года, они исправляли 4 месяца. По-моему, это очень долго. Справедливости ради нужно сказать, что последние две-три прошивки Nano S у меня работают хорошо (да и у народа вроде бы). Но Ledger Live пока еще не безупречен. И с серверами у них периодически проблемы - недавно не мог отправить XLM, пришлось подключаться к стороннему сервису (благо, он есть в данном случае).

satscraper

hero member

Activity: 714

Merit: 1298

Quote from: igor72 on November 02, 2022, 01:28:41 AM

Может быть. Но за пять лет наблюдения за леджеровцами у меня сложилось впечатление, что там программисты, скажем так, не самого высокого уровня, могли бы быть и лучше при таком бюджете.

Как можно судить об уровне програмистов не имея доступа к разрабатываемым кодам?

Хороший обзор по основным имеющимся аппаратным кошелькам. Может кому-то пригодится.

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: witcher_sense on November 01, 2022, 11:37:54 PM

Quote from: igor72 on November 01, 2022, 10:17:23 AM

Это безопасно настолько, насколько они захотели или смогли, не больше.

Это значит уязвимости они добавляют намеренно?

Мне в это не верится, хотя исключать бэкдор в прошивке у меня тоже оснований нет.

Quote

Все люди ошибаются и никто не сможет написать идеальный код.

Может быть. Но за пять лет наблюдения за леджеровцами у меня сложилось впечатление, что там программисты, скажем так, не самого высокого уровня, могли бы быть и лучше при таком бюджете.

Quote

Не совсем понял вашу мысль. Я говорю, что новые версии леджеров принципиально мало отличаются от старой, поэтому вероятность новой уязвимости ненамного выше, чем в старой нано с.

Аналогия с айфонами здесь тоже уместна?

Не слежу за айфонами, но думаю, что нет, все-таки слишком разные устройства по сложности - в леджере прошивка-операционка весит около 150 килобайт, в смартфонах на порядки больше.

witcher_sense

legendary

Activity: 2464

Merit: 4419

🔐BitcoinMessage.Tools🔑

Quote from: igor72 on November 01, 2022, 10:17:23 AM

Открытые и проверенные сообществом исходники для меня являются основанием считать кошелек безопасным (в плане дыр).

По моим постам будет видно, что я всегда бвл против проприетарного ПО и давно перешел на Линукс. То же самое касается и аппаратников и софтверных кошельков. Так что не защищаю Леджер в этом плане.

Quote

Что они там делают и на что тратят деньги на самом деле, нам достоверно неизвестно. Ищут уязвимости у конкурентов и выкладывают их на своем сайте, это мы видим. В то же время мы сталкиваемся с периодическими багами в леджер лайв и нестабильной работой нод некоторых монет. Может, и с прошивкой там не все так безопасно, как утверждают, кто знает?

Чем больше поддержки для шитков они добавляют, тем больше багов имеется на выходе. Это расплата за погоню за прибылью.

Quote

Это безопасно настолько, насколько они захотели или смогли, не больше.

Это значит уязвимости они добавляют намеренно? Все люди ошибаются и никто не сможет написать идеальный код.

Quote

Не совсем понял вашу мысль. Я говорю, что новые версии леджеров принципиально мало отличаются от старой, поэтому вероятность новой уязвимости ненамного выше, чем в старой нано с.

Аналогия с айфонами здесь тоже уместна?

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: witcher_sense on November 01, 2022, 08:20:03 AM

А что есть доказанный факт с точки зрения нахождения дыр в безопасности?

Открытые и проверенные сообществом исходники для меня являются основанием считать кошелек безопасным (в плане дыр).

Quote

Уязвимости найти пытаются постоянно, тратят на это тысячи и миллионы долларов и пока безуспешно.

Что они там делают и на что тратят деньги на самом деле, нам достоверно неизвестно. Ищут уязвимости у конкурентов и выкладывают их на своем сайте, это мы видим. В то же время мы сталкиваемся с периодическими багами в леджер лайв и нестабильной работой нод некоторых монет. Может, и с прошивкой там не все так безопасно, как утверждают, кто знает?

Quote

Это безопасно насколько возможно и это факт.

Это безопасно настолько, насколько они захотели или смогли, не больше.

Quote

Для чего на аппаратные постоянно выпускают прошивку в таком случае? Если баги не фиксяться, то в один прекрасный момент могут появится через неосторожное обновление прошивки. А если баги найдут, то старыми версиями кошельков пользоваться будет невозможно.

Не совсем понял вашу мысль. Я говорю, что новые версии леджеров принципиально мало отличаются от старой, поэтому вероятность новой уязвимости ненамного выше, чем в старой нано с.

witcher_sense

legendary

Activity: 2464

Merit: 4419

🔐BitcoinMessage.Tools🔑

Quote from: igor72 on October 31, 2022, 07:54:03 AM

Доказанный факт? Или факт потому, что не доказано обратное? Я бы любой кошелек с закрытым кодом относил к небезопасным.

А что есть доказанный факт с точки зрения нахождения дыр в безопасности? Уязвимости найти пытаются постоянно, тратят на это тысячи и миллионы долларов и пока безуспешно. Это безопасно насколько возможно и это факт. Но это не значит, что взломать его совсем нельзя.

Quote

Каждые три года точнее (nano s - 2016, nano x - 2019, nano s+ - 2022). Да и последние два, я думаю, по софту мало чем отличаются от первого, вряд ли там появятся новые уязвимости. По этому поводу я бы не переживал.

Для чего на аппаратные постоянно выпускают прошивку в таком случае? Если баги не фиксяться, то в один прекрасный момент могут появится через неосторожное обновление прошивки. А если баги найдут, то старыми версиями кошельков пользоваться будет невозможно.

bakasabo

legendary

Activity: 2548

Merit: 1223

Если вдруг Ваш выбор остановился на кошельке Trezor, то сейчас действует 15% скидка на покупку моделей Trezor One или Model T. Данная акция продлится до 8 ноября.

Если же Вы еще не определились или Вам не к спеху покупка аппаратного кошелька, то советую подождать конца ноября. Зачастую на черную пятницу (Black Friday - пройдет 25 ноября в этом году) производители предоставляют скидки на покупку кошельков.

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: igorkryukov9393 on October 31, 2022, 01:02:11 PM

Какой аппаратный кошелёк самый опенсорсный ?

Trezor, наверное.
Тут список: https://bitcointalksearch.org/topic/list-open-source-hardware-wallets-5288971
Или тут еще можно глянуть: https://walletscrutiny.com/?platform=hardware

igorkryukov9393

newbie

Activity: 1

Merit: 0

Какой аппаратный кошелёк самый опенсорсный ?

igor72

legendary

Activity: 1848

Merit: 2033

Crypto Swap Exchange

Quote from: witcher_sense on October 31, 2022, 01:22:09 AM

Кошелек безопасен, это факт

Доказанный факт? Или факт потому, что не доказано обратное? Я бы любой кошелек с закрытым кодом относил к небезопасным.

Quote

Вместо прддеожки старой продукции, они выпускают новую чуть ли не каждый год и уязвимости в одной из новых моделей это лишь вопрос времени.

Каждые три года точнее (nano s - 2016, nano x - 2019, nano s+ - 2022). Да и последние два, я думаю, по софту мало чем отличаются от первого, вряд ли там появятся новые уязвимости. По этому поводу я бы не переживал.

witcher_sense

legendary

Activity: 2464

Merit: 4419

🔐BitcoinMessage.Tools🔑

Quote from: delfastTions on October 29, 2022, 04:48:31 AM

Однако у команды Леджера есть и серьезные косяки в безопасности. Несмотря на эти милльоны баксов.

Чего стоит одна утечка данных почти миллиона покупателей за 2018-2019 годы. Я смотрел этот список. Там все данные покупателей, адрес телефон.
Если где то в дикой Колумбии-Никарагуа, так просто четкая наводка для местных бандосов.

Кроме того конечно неудобно юзать, если у вас много разной крипты. Все время надо перезакачивать приложения. Памяти мало, в нано s так точно не хватает.

А так во всем остальном то норм.

Всегда хотел приобрести леджер, привлекала его низкая цена и довольно высокое качество. Но этот слив данных перечеркнул это желание, так как мое мыло оказалось среди слитых (я был подписан на рассылку) и стало приходить настолько много спама, угроз, левых аирдропов и фишинговых писем, что желание резко пропало и отношение к компании испортилось сразу же. Но тем не менее на безопасность кошельков это никак не повлияло и не отразилось на общем количестве пользователей, желающих приобрести продукцию этой компании. Кошелек безопасен, это факт, но минусы все равно есть. Вместо прддеожки старой продукции, они выпускают новую чуть ли не каждый год и уязвимости в одной из новых моделей это лишь вопрос времени. А так да, пока существуют альткоины будет спрос и на аппаратные кошельки Леджер.

delfastTions

legendary

Activity: 2702

Merit: 1465

Quote from: witcher_sense on October 18, 2022, 12:15:27 AM

Quote from: klarki on October 16, 2022, 03:29:02 PM

Кто лучший на рынке и почему? Про какой конкретно аппаратный кошелек вы пишите?

Подозреваю, что про тот аппаратник что в первом посте. Один из самых пропиаренных кошельков, который поддерживает тысячи шитков и меняет модели чуть ли не чаще, чем производители яблокофонов. Но все равно он довольно привлекателен по соотношению цена-качество, так что интерес новичков конкретно к Леджеру вполне понятен. И во вторых, лучше уж такой аппаратник, чем вообще никакого. Но что действительно привлекает, это не сам кошелек, а команда в компании Леджер, которая занимается вопросами безопасности. У https://donjon.ledger.com/ есть много интересных исследований, они тратят миллионы на попытки взлома аппаратных кошельков и помогают многим производителям в усовершенствовании их продукта. Без них бы экосистема аппаратнвх кошельков была бы менее защищенной, так что это большой плюс в том чтотони активно работают.

Однако у команды Леджера есть и серьезные косяки в безопасности. Несмотря на эти милльоны баксов.

Чего стоит одна утечка данных почти миллиона покупателей за 2018-2019 годы. Я смотрел этот список. Там все данные покупателей, адрес телефон.
Если где то в дикой Колумбии-Никарагуа, так просто четкая наводка для местных бандосов.

Кроме того конечно неудобно юзать, если у вас много разной крипты. Все время надо перезакачивать приложения. Памяти мало, в нано s так точно не хватает.

А так во всем остальном то норм.

witcher_sense

legendary

Activity: 2464

Merit: 4419

🔐BitcoinMessage.Tools🔑

Quote from: klarki on October 16, 2022, 03:29:02 PM

Кто лучший на рынке и почему? Про какой конкретно аппаратный кошелек вы пишите?

Подозреваю, что про тот аппаратник что в первом посте. Один из самых пропиаренных кошельков, который поддерживает тысячи шитков и меняет модели чуть ли не чаще, чем производители яблокофонов. Но все равно он довольно привлекателен по соотношению цена-качество, так что интерес новичков конкретно к Леджеру вполне понятен. И во вторых, лучше уж такой аппаратник, чем вообще никакого. Но что действительно привлекает, это не сам кошелек, а команда в компании Леджер, которая занимается вопросами безопасности. У https://donjon.ledger.com/ есть много интересных исследований, они тратят миллионы на попытки взлома аппаратных кошельков и помогают многим производителям в усовершенствовании их продукта. Без них бы экосистема аппаратнвх кошельков была бы менее защищенной, так что это большой плюс в том чтотони активно работают.

klarki

legendary

Activity: 3262

Merit: 3675

Top Crypto Casino

Quote from: ?? on ??

Пользуюсь уже 2 года. Без нареканий. По моему лучший на рынке

Кто лучший на рынке и почему? Про какой конкретно аппаратный кошелек вы пишите?

witcher_sense

legendary

Activity: 2464

Merit: 4419

🔐BitcoinMessage.Tools🔑

Quote from: xandry on October 12, 2022, 08:52:34 AM

Для тех, кто всё читать не хочет, относительно темы топика про аппаратные кошельки там лишь написано, что ими можно продолжать безопасно пользоваться (какая неожиданность...). В остальном тоже ничего нового, вся эта информация и так циркулирует на форуме.

Это хорошо, что пользоваться аппаратными кошельками не запретили, а то создался бы прецедент и можно было бы запрещать то или иное в угоду своим целям. В следующий раз они могли бы запретить генераторы случайных чисел или разрешили бы только небезопасные типа random.org. Далее бы стало запрещено пользоваться хэш-алгоритмами такими как SHA-256, потому что таким способом можно незаконно добывать криптовалюту и обходить санкции. Потом можно запретить запоминать и хранить у себя в голове любые последовательности слов, стобы предотвратить опять же отмывание денег, ведь это может быть и сид-фраза, что незаконно. Ну уж про отмену законов математики тут и говорить не стоит, давно уже запрещают: https://www.zdnet.com/article/the-laws-of-australia-will-trump-the-laws-of-mathematics-turnbull/ Так или иначе, новость хорошая, потому что запретили пока не все.

Topic: Аппаратные кошельки - page 10. (Read 154462 times)