Topic: Леджер - аппаратный кошелек для хранения к
- page 27. (Read 49169 times)

Сейчас проверил - да, видны xpub-ы, у меня в линуксе это файл ~/.config/Ledger Live/sqlite/database_v3_ledgerlive, в винде, наверное, это будет %appdata%/Ledger Live/sqlite/database_v3_ledgerlive.

Вот про то, что в ЛЛ в открытом виде где-то лежит база с публичными ключами и можно транзы просмотреть - этого не знал. Тогда да - критика ЛЛ вполне уместна, согласен.

Кроме того, что LL однозначно указывает на владение аппаратником, он еще хранит в открытом виде базу с публичными мастер-ключами (сейчас не проверял, но недавно это было именно так), то есть любой, получивший доступ к компу, может узнать балансы и всю историю транзакций. Так что критика, на мой взгляд, вполне заслуженная, можно было бы даже пожестче ). Это правда, но проверить на оригинальность достаточно один раз после покупки, для прошивки и обновления приложений LL тоже можно устанавливать ненадолго, это на приватность не повлияет.

Может и так, но все же точная цитата от довольно таки безапелляционна и где-то даже оскорбительна для для Леджера. Yocom-Piatt дословно сказал, цитирую:
что можно перевести как: "по возможности вам следует избегать использования софта от вендора аппаратного кошелька (Леджера, в данном кейсе), чтобы обеспечить максимальную конфиденциальность".
Да, можно трактовать это как "ЛЛ, установленный на вашем компе выдает вас как владельца Леджера с потрохами" - и опасность потери конфиденциальности таком вот образом довольно призрачна, а вот с другой стороны мы имеем, что ЛЛ - самый надежный способ проверки оригинальности самой приблуды, поскольку проверяет ее прошивку всякий раз при подключении, ну и быстрое легкое обновление прошивок и app тоже через ЛЛ. Так что будь на на месте СТО, я бы где-то вот так парировал. ))

По-моему, не было никакого камня и наезда. Насколько я понял, он хотел сказать. что наличие Ledger Live на компе однозначно указывает на наличие леджера у владельца компа, поэтому, допустим, если у вас только биткоин и эфиры с токенами, вам для повышения конфиденциальности лучше вместо LL пользоваться Electrum и MEW.
С другой стороны, леджеровцам все равно, что у вас там установлено, они сами часто рекомендуют сторонний софт в случае проблем и недостатка функциональности. Их бизнес - продажа железа.

Да, Вы правы, спасибо за уточнение, еще раз перечитал статью в Коинтелеграфе:
Конечно такая цитата довольно странно смотрится в статье, где Ledger CTO отвечает на вопросы и критику. После такого камня в огород  CTO Леджера Charles Guillemet должен был как минимум как-то отпарировать такой наезд на софт компании со стороны Jacob Yocom-Piatt, но возможно журналист Коинтелеграфа не счел необходимым получить ответ от Charles Guillemet по этому поводу. ))

Насколько я понял, это сказал Yocom-Piatt, а не CTO леджера.

Да уж, очень странно читать такое от технического директора Ledger, я даже не поленился почитать статью в оригинале. И да, именно это он и говорит. Первый раз встречаю CTO проекта, который прямо призывает НЕ пользоваться родным софтом проекта.  Может cointelegraph что-то в самом интервью напутал и слова CTO как-то исказил? Но это вряд ли, конечно.

Технический директор Ledger обсуждает безопасность кошельков после нескольких неудач компании в сфере безопасности

В том числе оригинальным мне показалась его заявление о том, что (выделено в тексте) :
....
Фишинг-мошенничество происходит, когда злоумышленник отправляет электронное письмо маскируясь под другое лицо или компанию, в попытке получить конфиденциальную информацию от клиента.  «Мы никогда не будем спрашивать у наших клиентов 24 слова из их фразы для восстановления», - сказал Гиллеме, призвав клиентов использовать двухфакторную аутентификацию, а также указал на образовательную информацию по безопасности, которую можно найти на сайте Ledger.

 Помимо фишинговых атак, Ledger защищает и от вредоносных программ.  «Устройства Ledger предназначены для защиты средств пользователей от вредоносных программ на компьютерах пользователей, в том числе от поддельных приложений Ledger Live», - пояснил Гиллемет, ссылаясь на настольное приложение Ledger для взаимодействия с устройствами-кошельками.  Он уточнил, что пользователи должны убедиться, что получили приложение на официальном онлайн-сайте Ledger или в магазине приложений.

 Yocom-Piatt также рассказала о защите от утечки данных компании, например, от которой пострадала Ledger.  «Поскольку системы электронной коммерции обычно имеют слабую защиту, я рекомендую пользователям, заказывающим эти устройства, отправлять их на адрес, который не является их основным местом жительства», - сказал он.

 Использование другого физического адреса защищает клиентов от разоблачения их места жительства в случае такого нарушения, помогая защититься от потенциальной личной кражи устройства кошелька Ledger. «Кроме того, по возможности, вам следует избегать использования программного обеспечения кошелька, поставляемого производителем аппаратного кошелька, чтобы обеспечить максимальную конфиденциальность», - добавил он.

Это как же понимать по отношению в леджер лайф  

Хотя, да... Может быть, может быть...

Вероятность попасть на такую ситуацию практически равна нулю. Для начала надо суметь заразить свой кошелек (не буду пересказывать маловероятность этого, в постах выше все описано), и потом, я как-то мало себе представляю человека, у которого на леджере лежит свыше 5 битков и он при этом оправляет 5 (пять) догов. )) Кто вообще в наше время отправляет куда-то 5 догов, зачем, с какой целью? 
И вообще, я думаю, что люди, у которых количество битков исчисляется целыми единицами, десятками и паче того, скорей всего создали для этих целей реально холодный кошелек, а не хранят доступ к этим биткам на леджере или трезоре. Леджер иди трезор - это, имхо, компромиссный вариант, между настоящим холодным кошельком и всякими горячими вариантами, клиентами и т.д. Будь у меня овер 5 битков, я бы их положил на настоящий холодный, хотя леджер люблю и пользуюсь им регулярно для всяческой альты.   

Почитал за леджеры, устройство классное тут и придраться не к чему. Только ситуации разные бывают, что бы пользоваться таким устройством нужно должное обращение с ним, впринципе задумка классная, хоть сам и не пользовался лично, скажу ток то что как криптовалюта идёт в перёд так и технологии начали подгонять под нее, а это прогресс друзья мои. Приятно видеть что есть перспективы в будущем, хотя и прийдеться перетерпеть многое, пользоваться и развивать разными способами крипту это наш долг

У леджера видно с финансами не очень, мало того, что цены снизили на леджер, так ещё в Leger Live v 2.9.0 рекламку впендюрили
Раньше вроде не видел, глаза не мозолила.

Трезор как мне кажется даже если не брать в расчет то что у Леджера  в последнее время полоса неудач, все-таки более функционален. Там помимо основного функционала как кошелька есть еще хорошая вещь. Менеджер паролей. Который например очень удобно использовать с хромом для почты gmail.

Да, в трезоре можно залить спец. прошивку "только для BTC", без поддержки альтов. Я, правда, так и не понял, какой в этом смысл. Никто не мешает изолировать разные монеты по разным аккаунтам или даже по разным сидам. В случае с сидами - это просто делается изменением passphrase при входе в трезор (к примеру, btcqwerty12345, xrpqwerty12345, ethqwerty12345 итд.), в леджере тоже можно, но там это глубоко запрятано - быстро надоест.

Насколько я помню из описания в Трезоре том же можно не активировать мультивалютность, а пользоваться им лишь для хранения битков. Но что есть то есть - и у Трезора были моменты не очень приятные и тут аналогично.

Насколько я понял, чтобы "заработать" на этой уязвимости, злоумышленник должен был:
1. Распространить модифицированный софт (Ledger Live, например). Что уже очень непросто, по-моему.
2. Как-то заставить жертву сделать ему перевод (то есть продать ему товар или услугу). Причем относительно экзотической монетой, что подозрительно (обычно расчеты производятся в битках или эфирах).
3. При этом сохранить анонимность (так как вскоре станет очевидно, что именно он и есть злодей). Пока не очень представляю, как это сделать.
4. Наконец, на кошельке жертвы должно быть нужное количество битков. То есть если товар/услуга стоит 10$, то при оплате в LTC битков в кошельке должно быть 0.2, а при оплате в DOGE должно быть уже 3000 BTC )).

Кстати, эта уязвимость была и в трезорах (уже вышла прошивка с фиксом), и, наверняка, в других аппаратниках.

Это означает что хотел отправить допустим 5 догов, а отправишь 5 битков вместо этого кому-то ? Звучит совсем плохо. Такому счастливчику не позавидуешь если это случится.

Leger может заставить тратить биткойн вместо альткоинов
 
В статье говорится о том, что
"Уязвимость в аппаратных кошельках  Leger позволяет по запросу на транзакцию altcoin фактически запросить Bitcoin"
Сообщается, что эксплойт был раскрыт leger еще в 2019 году, но до сих пор девы не исправили его.
Эта уязвимость может позволить злоумышленникам украсть Bitcoin, согласно отчету, опубликованному разработчиком Liquality Мохаммедом Нохбехом вчера.
Всё это связано с приложениями леджер лайфа, используемым для разных монет.

Да, на леджере можно сделать вход с двумя пинами: первый пин - одно адресное пространство, второй - другое. В трезорах такой фичи пока нет. Но если вводить пароль (passphrase), то такое можно устроить и там, и там в неограниченных количествах. Вход по пину более удобен.

Можно, но вам придется для смены 24 слов пользоваться двумя кнопками леджера - неудобно и долго. А зачем вам сид менять?
[/quote]

Возможно я не правильно поставил вопрос.

Необходимо иметь 2 адреса эфирных, 2 биткойна, и чтобы для подтверждения отправки из каждого адреса нужен был разный пароль (у меня не было аппаратника никогда и в вопрос особо не углублялся).

На одну комбинацию кошельков биткойн+эфирный собирать краны/баунти/дропы/светить их во всяких раздачах. А вторую комбинацию кошельков биткойн+эфирный использовать уже для хранения собственных средств. Чтобы в случае засвета первой пары, каким-нибудь чудесным образом не просрать накопления на второй паре.

Это как иметь телефон с двумя симками, но разными пинами. Один номер для семьи/близких/определенного круга людей, второй номер например для торговли на авито  Те не таскать с собой 2 телефона. Можно ли подобное организовать на леджере или ином аппаратнике?