Pages:
Author

Topic: MyEtherWallet.com - вопрос безопасности и доверия (Read 478 times)

member
Activity: 308
Merit: 10
На почту пришли сообщения, скам, пытались пропихнуть ссылку  MyEtherWallet.com только без одной буквы, хорошо браузер не пустил туда, некоторые недобросовестные баунти светят емайлы (

Поэтому и нужно заводить отдельные почтовые ящики на всякие дропы/баунти, а основными, которыми пользуетесь для серьезных дел - нигде не светить.
Повезло вам)
jr. member
Activity: 35
Merit: 2
А разве в JavaScript есть команды для работы с памятью внешних процессов?
Таких команд нет и быть не может в песочнице. Делается это через speculative execution и кэш, что общее для всех процессов. Процессор просто выполняет инструкции, а для прав наложены ограничения на доступ, но все это можно обойти при желании, что не раз делалось. Я думаю там еще методов штук 20 есть данные считывать, там через всякие паразитные токи и прочие хитрости оставленные производителем. GNU уже 20 лет об этом твердит, что монополия ни к чему хорошему не приводит, но все еще нет нормальных открытых процессоров. Вообще когда на счету миллион ни о каких безопасных браузерах и речи быть не может. Только аппаратное решение.
member
Activity: 182
Merit: 11
Про метамаск хотелось бы вновь поднять вопрос.  Уж больно эта хитрая лиса меня страшит.

- Вот поставил юзер себе аддон для браузера (метамаск)
- Создал себе учетку, в которую входит по паролю, а в случае аварийной ситуации по 12 seed words

Вот вроде бы и всё, но вот какие вопросы:

1. Есть ли защита от брутфорса? - Капчи я не видел. Или юзерский пароль никто не даст брутфорсить, пока 12 слов не введешь?
2. Хорошо, там можно быстро переключаться и управлять кошелями - Но как мне получить мой JSON файл?


Да, не приятно когда самостоятельно, читай физически, не можешь повлиять на сохранность денег. Только доверие.
Прописывайте все транзакции в оффлайне и потом отправляйте в блокчейн, как уже говорили, в том числе и в этом треде. Вполне себе физическое влияние.


jr. member
Activity: 76
Merit: 1
Crypto Enthusiast. Software engineer. System Admin
Насколько я понимаю разницы между метамаском и оффлайн версией того же myetherwallet нет, в смысле того что оба единожды скачанные работают до тех пор пока не будут скачаны обновления. Вопрос в том какой код достанется вам в тот момент когда вы будете его скачивать.
По-умолчанию автоматическое обновление расширения MetaMask включено. Это и хорошо и плохо.
newbie
Activity: 12
Merit: 0
1) Метамаск, потом можно подключить его к MEW и не волноваться о подмене или воровстве приватных ключей.

не подскажите на сколько метамаск безопасней обычного входа по файлу? в плане подмены сайта или каких других хитростей.
member
Activity: 203
Merit: 17
На почту пришли сообщения, скам, пытались пропихнуть ссылку  MyEtherWallet.com только без одной буквы, хорошо браузер не пустил туда, некоторые недобросовестные баунти светят емайлы (
full member
Activity: 350
Merit: 100
Если нет доверия, есть несколько вариантов выхода:
1) Метамаск, потом можно подключить его к MEW и не волноваться о подмене или воровстве приватных ключей.
2) Поставьте парити на отдельный комп и совершать все переводы от туда.
3) Ledger
newbie
Activity: 35
Merit: 0
Это и есть неприятная особенность мира крипты - тут нигде нет никаких гарантий, а если их и дают, то цена их равна уровню вашего доверия к тому либо иному сервису. Не больше.
Да, не приятно когда самостоятельно, читай физически, не можешь повлиять на сохранность денег. Только доверие.
Cot
jr. member
Activity: 58
Merit: 10
Это и есть неприятная особенность мира крипты - тут нигде нет никаких гарантий, а если их и дают, то цена их равна уровню вашего доверия к тому либо иному сервису. Не больше.
newbie
Activity: 59
Merit: 0
если были гарнтии там минимальны врядле столько людей пользовались их кошельками, однако они подвержены рискам как например один из самых банальных это зайти на кошель через зекрало
full member
Activity: 154
Merit: 100
IGT - NEW exchange with Fiat in Future
А есть вообще гарантии что например с того же леджера например при подключение из буфера памяти не стырят приватник , для пользователей intel ?
newbie
Activity: 30
Merit: 0
я себе leger nano s буду покупать. если кто то по арп спуфингу надумает взломать, то он взломает! а так будет лучше как по мне

Аналогично. Точнее уже заказал, правда ждать аж до апреля.
Думаю, что если есть хотя бы пара тысяч баксов в крипте, то иначе никак.
member
Activity: 364
Merit: 10
Вопрос безопасности и доверия очень важный и для людей очень злободневный. Без доверия к системе развиваться полноценно не может.
legendary
Activity: 2618
Merit: 2304
Понятное дело, что использовать JSON-файлы безопаснее, но после недавнего нахождения дыр в безопасности в процессорах Intel в начале 2018 года, благодаря которой любой JScript из браузера может сделать с компьютером все, что угодно, проблемы с MyEtherWallet меркнут...
А разве в JavaScript есть команды для работы с памятью внешних процессов?
member
Activity: 364
Merit: 58
Ага, особенно после недавних событий с подменой днс серверов... Хотя история, как оказалось, была надуманной, но дыма без огня не бывает. Не зря на сайте стали советовать не пользоваться приватными ключами, а юзать джейсона.
Понятное дело, что использовать JSON-файлы безопаснее, но после недавнего нахождения дыр в безопасности в процессорах Intel в начале 2018 года, благодаря которой любой JScript из браузера может сделать с компьютером все, что угодно, проблемы с MyEtherWallet меркнут... И к сожалению, никакие патчи ПО не смогут полностью устранить уязвимость в процессорах Intel, а новые модели, без этой дыры в безопасности, появятся не ранее конца этого года, если не еще позже. Переходить на АМД тоже не вариант: там хоть нет уязвимостей, но хватает своих проблем.
full member
Activity: 336
Merit: 114
Людям просто удобнее работать через браузер. Вроде бы, пока никаких массовых обвинений в сторону MyEtherWallet не поступало, поэтому репутация сайта высокая.
Ага, особенно после недавних событий с подменой днс серверов... Хотя история, как оказалось, была надуманной, но дыма без огня не бывает. Не зря на сайте стали советовать не пользоваться приватными ключами, а юзать джейсона.
member
Activity: 364
Merit: 10
Вопрос безопасности стоит едва ли не первом месте, а о доверии и говорить не стоит.
legendary
Activity: 2618
Merit: 2304
Всё, что связано с сайтами - доверия не может быть никакого. Даже JavaScript-код с сервера в любое время может быть подменён.

Людям просто удобнее работать через браузер. Вроде бы, пока никаких массовых обвинений в сторону MyEtherWallet не поступало, поэтому репутация сайта высокая.
member
Activity: 122
Merit: 10
Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов.
Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW.
В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW?
Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе.
А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных?



Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить.
И можно в режиме дебага проверить все отсылаемые данные на сервер.
Как часто проверяют MEW? Ничто не мешает разрабам на какое-то время (когда идет наплыв пользователей, например, в предверии крупного ICO) подменить скрипт, потом вернуть старый обратно. Либо подсовывать его части пользователей.

Не исключено развитие событий, аналогичное etherdelta (подмена адреса сайта в ДНС).
А с учетом уязвимости 03.01.2018, возможен запуск скрипта, который собирает ключи. По этому, всем необходимо поставить критические обновления и использовать аппаратные кошельки.
Или как минимум использовать:
1. Браузеры, в которых учтена данная аппаратная уязвимость
2. Дополнения к браузеру, которые помогут проконтролировать сайт, в случае подмены.
Для параноиков, использовать все вышеперечисленные методы.
full member
Activity: 778
Merit: 141
☆☆☆☆☆★
Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов.
Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW.
В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW?
Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе.
А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных?



Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить.
И можно в режиме дебага проверить все отсылаемые данные на сервер.
Как часто проверяют MEW? Ничто не мешает разрабам на какое-то время (когда идет наплыв пользователей, например, в предверии крупного ICO) подменить скрипт, потом вернуть старый обратно. Либо подсовывать его части пользователей.

Если есть страх, то лучше пользоваться холодными кошельками, как тут уже посоветовали. А еще лучше поставить холодный кошелек на отдельный компьютер с линуксом и без выхода в интернет. Поверьте, и спать легче, и деньги в сохранности  Smiley
Pages:
Jump to: