Topic: Hybritwallets potentiell angreifbar? (Read 732 times)
Wenn der Betreiber der Seite den "Angriff" ausführt ist das auch bei blockchain.info denkbar. Da (meines Wissens nach) das Plugin die Signatur des JavaScripts prüft, würde es auch nicht schützen, da der Betreiber ja die entsprechenden Signaturschlüssel sowieso besitzt.
Hallo Leute,
basierend auf der Sache mit ozcoin und strongcoin (beschrieben hier: http://bitcoinmagazine.com/ozcoin-hacked-stolen-funds-seized-and-returned-by-strongcoin/)
mache ich mir doch sehr große Gedanken über die Sicherheit von Online-Hybrid-Wallets.
Derzeit nutze ich noch die Blockchain.info wallet und frage mich, ob sowas dort in der Theorie auch möglich ist?
Ich bin wahrlich kein Programmier-Experte. Wenn ich das allerdings richtig verstanden habe, war es in diesem Fall dem Betreiber der Seite möglich, durch eine Änderung am Javascript Code die Überweisung der BTC's umzuleiten, ohne den privaten Key des Besitzers gekannt zu haben. Hier wurde das genutzt um gestohlene Coins zurück zu bekommen. Das Vertrauen zumindest in Strongcoin habe ich jedenfalls trotzdem verloren. Es wird damit geworben, dass alles Clientside verschlüsselt wird und keine Angreifer, auch wenn er die Seite hackt zugriff auf die Wallets hat. Wenn man das durch eine simple "Einschleusung" von Code umgehen kann, nutzt mir der ganze Quatsch relativ wenig.
Hat vielleicht jemand ein wenig mehr JavaScript Erfahrung und kann mal kurz erklären was dort passiert ist und ob sowas auch theoretisch bei Blockchain.info möglich ist? Desweiteren würde es mich auch mal interessieren, ob das Browserplugin von denen da irgendeinen unterschied macht oder ob auch hier Angriffsmöglichkeiten gegeben sind? Hier wird ja dann ausschließlich der source-code des Plugins genutzt und kein Code von der Website geladen, oder?
Danke für eure Hilfe.
basierend auf der Sache mit ozcoin und strongcoin (beschrieben hier: http://bitcoinmagazine.com/ozcoin-hacked-stolen-funds-seized-and-returned-by-strongcoin/)
mache ich mir doch sehr große Gedanken über die Sicherheit von Online-Hybrid-Wallets.
Derzeit nutze ich noch die Blockchain.info wallet und frage mich, ob sowas dort in der Theorie auch möglich ist?
Ich bin wahrlich kein Programmier-Experte. Wenn ich das allerdings richtig verstanden habe, war es in diesem Fall dem Betreiber der Seite möglich, durch eine Änderung am Javascript Code die Überweisung der BTC's umzuleiten, ohne den privaten Key des Besitzers gekannt zu haben. Hier wurde das genutzt um gestohlene Coins zurück zu bekommen. Das Vertrauen zumindest in Strongcoin habe ich jedenfalls trotzdem verloren. Es wird damit geworben, dass alles Clientside verschlüsselt wird und keine Angreifer, auch wenn er die Seite hackt zugriff auf die Wallets hat. Wenn man das durch eine simple "Einschleusung" von Code umgehen kann, nutzt mir der ganze Quatsch relativ wenig.
Hat vielleicht jemand ein wenig mehr JavaScript Erfahrung und kann mal kurz erklären was dort passiert ist und ob sowas auch theoretisch bei Blockchain.info möglich ist? Desweiteren würde es mich auch mal interessieren, ob das Browserplugin von denen da irgendeinen unterschied macht oder ob auch hier Angriffsmöglichkeiten gegeben sind? Hier wird ja dann ausschließlich der source-code des Plugins genutzt und kein Code von der Website geladen, oder?
Danke für eure Hilfe.
Jump to: