OpenForum RSS: JavaScript-приложения криптовалют, использующие SecureRandom... https://opennet.ru/openforum/vsluhforumID3/114091.html Раскрыты (https://davidgerard.co.uk/blockchain/2018/04/11/javascript-securerandom-isnt-securely-random-most-web-wallets-affected-and-the-bug-was-warned-of-five-years-ago/) сведения о серьёзных проблемах с качеством генерации ключей криптовалют через браузерные web-интерфейсы или старые приложения, написанные на JavaScript, в которых для получения случайных чисел использовался класс SecureRandom() из библиотеки jsbn (https://github.com/andyperlitch/jsbn). Недостаточный размер энтропии приводил к созданию предсказуемых ключей и делал реальным подбор закрытого ключа по открытому. <br><br><br>Проблема затрагивает только ключи, сгенерированные при помощи JavaScript-приложений, в которых применяется старая версия библиотеки jsbn, выпущенная до 2013 года. Например, проблема зафиксирована в выпусках приложения BitAddress до 2013 года и bitcoinjs до 2014 года. Важно отметить, что в сети в JavaScript-реализациях криптовалют и в web-сервисах до сих пор встречается уязвимый старый код, например, при запросе jsbn на первом мест JavaScript-приложения криптовалют, использующие SecureRandom... (qwe) https://opennet.ru/openforum/vsluhforumID3/114091.html#40 Fri, 20 Apr 2018 23:41:47 GMT &gt; Сходил бы на сервер за рандомом, если в браузере все плохо.<br><br>Ага, отличная идея - формировать приватные ключи пользователя на сервере.<br> JavaScript-приложения криптовалют, использующие SecureRandom... (rvs2016) https://opennet.ru/openforum/vsluhforumID3/114091.html#39 Thu, 19 Apr 2018 07:05:10 GMT &gt;&gt; Как имеющиеся браузеры заставить выполнять программы на этих языках?<br>&gt; Первые два - в виде устанавливаемых из репозитория пакетного менеджера<br><br>Это слова для кого? Для программистов и сисадминов? Или для пользователей? Программисты и сами напишут себе что угодно. А пользователи не знают даже что такое браузер. Они его называют - вот та штука, как её там... интернет короче... А менеджер для них - это такой человек, который ходит по магазину и пристаёт с вопросами типа "вам что-нибудь подсказать"? Соответственно, если вебмастеры вместо наваяния скриптов на JS будут пользователям сайтов писать что-то типа - да установите такую-то приблдуду из репозитория, то такие вебмастеры быстро лишатся работы и заказов.<br><br> (или скачиваемых <br>&gt; с левых сайтов, в зависимости от ОС) расширений, <br>&gt; третий - прямо в исходниках страниц в форме &lt;script type="text/lisp"&gt; <br>&gt; Разумеется, "само" это не заработает, кто-то должен сделать поддержку в браузерах. JavaScript-приложения криптовалют, использующие SecureRandom... (Аноним) https://opennet.ru/openforum/vsluhforumID3/114091.html#38 Wed, 18 Apr 2018 20:32:22 GMT &gt; Но в браузерах сейчас это есть?<br><br>Изначально вопрос стоял "предложите альтернативы яваскрипту". Если одним из критериев будет "есть в браузерах ПРЯМО СЕЙЧАС", то вопрос теряет смысл, так как кроме яваскрипта ничего и нет.<br> JavaScript-приложения криптовалют, использующие SecureRandom... (rvs2016) https://opennet.ru/openforum/vsluhforumID3/114091.html#37 Wed, 18 Apr 2018 11:12:31 GMT &gt; А что, понятие API только для js изобрели и для других языков <br>&gt; принципиально нельзя программный интерфейс к возможностям браузера?<br><br>Ну конечно же изобрести можно любые программы, подпрограммы да алгоритмы. Но в браузерах сейчас это есть? Если этого нет, то не будут же вебмастеры ждать снисхождения благодатного АПИ на браузеры вместо того, чтобы ваять программы на каком-никаком, но зато на уже имеющемся, JS?<br> JavaScript-приложения криптовалют, использующие SecureRandom... (Аноним) https://opennet.ru/openforum/vsluhforumID3/114091.html#36 Wed, 18 Apr 2018 05:01:04 GMT Для ускорения работы и повышения безопасности это надо поместить в специальную сборку, а то мало ли перехватят и изменят или ещё что нибудь.<br> JavaScript-приложения криптовалют, использующие SecureRandom... (Аноним) https://opennet.ru/openforum/vsluhforumID3/114091.html#35 Tue, 17 Apr 2018 22:41:39 GMT &gt; минимум юнит-тестов - что ты с хипстеров возьмёшь.<br><br>У хипстеров как раз TDD вместо мозга. Написали тест - написали реализацию. Не написали тест - не написали реализацию.<br> JavaScript-приложения криптовалют, использующие SecureRandom... (Аноним) https://opennet.ru/openforum/vsluhforumID3/114091.html#34 Tue, 17 Apr 2018 21:47:45 GMT &gt; Как имеющиеся браузеры заставить выполнять программы на этих языках?<br><br>Первые два - в виде устанавливаемых из репозитория пакетного менеджера (или скачиваемых с левых сайтов, в зависимости от ОС) расширений,<br>третий - прямо в исходниках страниц в форме &lt;script type="text/lisp"&gt;<br><br>Разумеется, "само" это не заработает, кто-то должен сделать поддержку в браузерах.<br> JavaScript-приложения криптовалют, использующие SecureRandom... (Аноним) https://opennet.ru/openforum/vsluhforumID3/114091.html#33 Tue, 17 Apr 2018 21:45:28 GMT &gt; Т.е. блобы во все щели?<br><br>Какие ещё блобы?[code]&lt;script type="text/lisp"&gt;<br><br>($ (onload<br> #'(lambda (this)<br> ($ (find "p.to-apply") (html "HelloWorld"))<br> (alert "Done!")))<br><br>&lt;/script&gt;[/code]<br> JavaScript-приложения криптовалют, использующие SecureRandom... (Аноним) https://opennet.ru/openforum/vsluhforumID3/114091.html#32 Tue, 17 Apr 2018 21:44:07 GMT А что, понятие API только для js изобрели и для других языков принципиально нельзя программный интерфейс к возможностям браузера?<br>