MyEtherWallet.com - вопрос безопасности и доверия

UIXID

member

Activity: 308

Merit: 10

Quote from: bitadviser on January 21, 2018, 01:57:03 PM

На почту пришли сообщения, скам, пытались пропихнуть ссылку MyEtherWallet.com только без одной буквы, хорошо браузер не пустил туда, некоторые недобросовестные баунти светят емайлы (

Поэтому и нужно заводить отдельные почтовые ящики на всякие дропы/баунти, а основными, которыми пользуетесь для серьезных дел - нигде не светить.
Повезло вам)

neo_crypt

jr. member

Activity: 35

Merit: 2

Quote from: Coin-1 on January 12, 2018, 10:20:27 PM

А разве в JavaScript есть команды для работы с памятью внешних процессов?

Таких команд нет и быть не может в песочнице. Делается это через speculative execution и кэш, что общее для всех процессов. Процессор просто выполняет инструкции, а для прав наложены ограничения на доступ, но все это можно обойти при желании, что не раз делалось. Я думаю там еще методов штук 20 есть данные считывать, там через всякие паразитные токи и прочие хитрости оставленные производителем. GNU уже 20 лет об этом твердит, что монополия ни к чему хорошему не приводит, но все еще нет нормальных открытых процессоров. Вообще когда на счету миллион ни о каких безопасных браузерах и речи быть не может. Только аппаратное решение.

DustyNomad

member

Activity: 182

Merit: 11

Про метамаск хотелось бы вновь поднять вопрос. Уж больно эта хитрая лиса меня страшит.

- Вот поставил юзер себе аддон для браузера (метамаск)
- Создал себе учетку, в которую входит по паролю, а в случае аварийной ситуации по 12 seed words

Вот вроде бы и всё, но вот какие вопросы:

1. Есть ли защита от брутфорса? - Капчи я не видел. Или юзерский пароль никто не даст брутфорсить, пока 12 слов не введешь?
2. Хорошо, там можно быстро переключаться и управлять кошелями - Но как мне получить мой JSON файл?

Quote from: vtony on January 21, 2018, 01:23:26 PM

Да, не приятно когда самостоятельно, читай физически, не можешь повлиять на сохранность денег. Только доверие.

Прописывайте все транзакции в оффлайне и потом отправляйте в блокчейн, как уже говорили, в том числе и в этом треде. Вполне себе физическое влияние.

OneBlago

jr. member

Activity: 76

Merit: 1

Crypto Enthusiast. Software engineer. System Admin

Насколько я понимаю разницы между метамаском и оффлайн версией того же myetherwallet нет, в смысле того что оба единожды скачанные работают до тех пор пока не будут скачаны обновления. Вопрос в том какой код достанется вам в тот момент когда вы будете его скачивать.
По-умолчанию автоматическое обновление расширения MetaMask включено. Это и хорошо и плохо.

t adam

newbie

Activity: 12

Merit: 0

Quote from: cadreamsurf on January 21, 2018, 01:46:52 PM

1) Метамаск, потом можно подключить его к MEW и не волноваться о подмене или воровстве приватных ключей.

не подскажите на сколько метамаск безопасней обычного входа по файлу? в плане подмены сайта или каких других хитростей.

bitadviser

member

Activity: 203

Merit: 17

На почту пришли сообщения, скам, пытались пропихнуть ссылку MyEtherWallet.com только без одной буквы, хорошо браузер не пустил туда, некоторые недобросовестные баунти светят емайлы (

cadreamsurf

full member

Activity: 350

Merit: 100

Если нет доверия, есть несколько вариантов выхода:
1) Метамаск, потом можно подключить его к MEW и не волноваться о подмене или воровстве приватных ключей.
2) Поставьте парити на отдельный комп и совершать все переводы от туда.
3) Ledger

vtony

newbie

Activity: 35

Merit: 0

Quote from: Cot on January 21, 2018, 09:00:07 AM

Это и есть неприятная особенность мира крипты - тут нигде нет никаких гарантий, а если их и дают, то цена их равна уровню вашего доверия к тому либо иному сервису. Не больше.

Да, не приятно когда самостоятельно, читай физически, не можешь повлиять на сохранность денег. Только доверие.

Cot

jr. member

Activity: 58

Merit: 10

Это и есть неприятная особенность мира крипты - тут нигде нет никаких гарантий, а если их и дают, то цена их равна уровню вашего доверия к тому либо иному сервису. Не больше.

kefan

newbie

Activity: 59

Merit: 0

если были гарнтии там минимальны врядле столько людей пользовались их кошельками, однако они подвержены рискам как например один из самых банальных это зайти на кошель через зекрало

4luxon

full member

Activity: 154

Merit: 100

IGT - NEW exchange with Fiat in Future

А есть вообще гарантии что например с того же леджера например при подключение из буфера памяти не стырят приватник , для пользователей intel ?

IcoHash

newbie

Activity: 30

Merit: 0

Quote from: novikov433 on January 07, 2018, 06:46:24 AM

я себе leger nano s буду покупать. если кто то по арп спуфингу надумает взломать, то он взломает! а так будет лучше как по мне

Аналогично. Точнее уже заказал, правда ждать аж до апреля.
Думаю, что если есть хотя бы пара тысяч баксов в крипте, то иначе никак.

criptoguruBEST

member

Activity: 364

Merit: 10

Вопрос безопасности и доверия очень важный и для людей очень злободневный. Без доверия к системе развиваться полноценно не может.

Coin-1

legendary

Activity: 2450

Merit: 2190

Quote from: Jeex on January 12, 2018, 12:37:14 PM

Понятное дело, что использовать JSON-файлы безопаснее, но после недавнего нахождения дыр в безопасности в процессорах Intel в начале 2018 года, благодаря которой любой JScript из браузера может сделать с компьютером все, что угодно, проблемы с MyEtherWallet меркнут...

А разве в JavaScript есть команды для работы с памятью внешних процессов?

Jeex

member

Activity: 364

Merit: 58

Quote from: Blacked on January 12, 2018, 02:53:09 AM

Ага, особенно после недавних событий с подменой днс серверов... Хотя история, как оказалось, была надуманной, но дыма без огня не бывает. Не зря на сайте стали советовать не пользоваться приватными ключами, а юзать джейсона.

Понятное дело, что использовать JSON-файлы безопаснее, но после недавнего нахождения дыр в безопасности в процессорах Intel в начале 2018 года, благодаря которой любой JScript из браузера может сделать с компьютером все, что угодно, проблемы с MyEtherWallet меркнут... И к сожалению, никакие патчи ПО не смогут полностью устранить уязвимость в процессорах Intel, а новые модели, без этой дыры в безопасности, появятся не ранее конца этого года, если не еще позже. Переходить на АМД тоже не вариант: там хоть нет уязвимостей, но хватает своих проблем.

Blacked

full member

Activity: 336

Merit: 114

Quote from: Coin-1 on January 07, 2018, 08:42:40 PM

Людям просто удобнее работать через браузер. Вроде бы, пока никаких массовых обвинений в сторону MyEtherWallet не поступало, поэтому репутация сайта высокая.

Ага, особенно после недавних событий с подменой днс серверов... Хотя история, как оказалось, была надуманной, но дыма без огня не бывает. Не зря на сайте стали советовать не пользоваться приватными ключами, а юзать джейсона.

criptoguruBEST

member

Activity: 364

Merit: 10

Вопрос безопасности стоит едва ли не первом месте, а о доверии и говорить не стоит.

Coin-1

legendary

Activity: 2450

Merit: 2190

Всё, что связано с сайтами - доверия не может быть никакого. Даже JavaScript-код с сервера в любое время может быть подменён.

Людям просто удобнее работать через браузер. Вроде бы, пока никаких массовых обвинений в сторону MyEtherWallet не поступало, поэтому репутация сайта высокая.

Cepamon

member

Activity: 122

Merit: 10

Quote from: qero on January 07, 2018, 04:30:55 PM

Quote from: evgen_povt on January 07, 2018, 04:43:43 AM

Quote from: qero on January 05, 2018, 08:07:45 PM

Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов.
Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW.
В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW?
Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе.
А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных?

Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить.
И можно в режиме дебага проверить все отсылаемые данные на сервер.

Как часто проверяют MEW? Ничто не мешает разрабам на какое-то время (когда идет наплыв пользователей, например, в предверии крупного ICO) подменить скрипт, потом вернуть старый обратно. Либо подсовывать его части пользователей.

Не исключено развитие событий, аналогичное etherdelta (подмена адреса сайта в ДНС).
А с учетом уязвимости 03.01.2018, возможен запуск скрипта, который собирает ключи. По этому, всем необходимо поставить критические обновления и использовать аппаратные кошельки.
Или как минимум использовать:
1. Браузеры, в которых учтена данная аппаратная уязвимость
2. Дополнения к браузеру, которые помогут проконтролировать сайт, в случае подмены.
Для параноиков, использовать все вышеперечисленные методы.

debext

full member

Activity: 778

Merit: 141

☆☆☆☆☆★

Quote from: qero on January 07, 2018, 04:30:55 PM

Quote from: evgen_povt on January 07, 2018, 04:43:43 AM

Quote from: qero on January 05, 2018, 08:07:45 PM

Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов.
Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW.
В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW?
Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе.
А вот про то, что стоит на самом https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных?

Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить.
И можно в режиме дебага проверить все отсылаемые данные на сервер.

Как часто проверяют MEW? Ничто не мешает разрабам на какое-то время (когда идет наплыв пользователей, например, в предверии крупного ICO) подменить скрипт, потом вернуть старый обратно. Либо подсовывать его части пользователей.

Если есть страх, то лучше пользоваться холодными кошельками, как тут уже посоветовали. А еще лучше поставить холодный кошелек на отдельный компьютер с линуксом и без выхода в интернет. Поверьте, и спать легче, и деньги в сохранности

Topic: MyEtherWallet.com - вопрос безопасности и доверия (Read 439 times)