|
| 1.2, Аноним (2), 11:26, 16/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Ladger был одним из лучших холодных кошельков. Был... Пока они не придумали Ladger Recovery, сервис для распределённого бэкапа seed-фразы в облачных хранилищах. Это полный провал в отношении к защите информации. Закрытый ключ должен только записываться на этапе генерации в чип Secure Element, который должен быть чёрным ящиком, допускающим только отдачу результатов подписывания ключом. Если предусмотрена возможность передачи во вне seed-фразы для резервного копирования, о какой безопасности может идти речь? Если есть возможность программно выгрузить seed, то значит подобный запрос выгрузки можно симулировать во вредоносном ПО.
| | |
| |
| 2.9, morphe (?), 12:42, 16/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
Фраза восстановления леджера была доступна человеку с самого начала, при его настройке же нужно записать 24 слова, а это ключ и есть (bip39), и именно его предлагает бекапить на сервисе.
Более того, для бекапа этот самый секретный ключ и надо вводить, с леджера его в таком виде не извлечь.
Однако да, это неправильно что у леджера в принципе ключ при настройке наружу сообщается, что в то же время возможно и хорошо, учитывая насколько кривой у него внутри код. Так хоть в случае чего можно руками приватные ключи восстановить.
| | |
| |
| 3.15, Аноим (?), 13:02, 16/12/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Фраза восстановления леджера была доступна человеку с самого начала, при его настройке же нужно
> записать 24 слова, а это ключ и есть (bip39), и именно его предлагает бекапить на сервисе.
Разница в том, что фраза восстановление раньше показывалась _только_ на ЖК-экране леджера и _не_выходила_ за пределы устройства. Ladger Recovery бэкапит фразу восстановления на _внешних_ облаках, что подразумевает то, что фраза перед разделением на части будет передана на сторону приложения Lender Live и на сервер компании Ladger, а не останется только внутри устройства. Ещё раз, наличие в прошивке холодного кошелька самой возможности передачи seed-фразы во вне ломает всё доверие к устройству.
| | |
| |
| 4.22, Аноним (22), 15:00, 16/12/2023 [^] [^^] [^^^] [ответить]
| –2 +/– |
Ничего не ломает, это твои какие-то измышлизмы. Как бэкапить то фразу?
| | |
| |
| 5.33, kafka (?), 15:59, 16/12/2023 [^] [^^] [^^^] [ответить]
| +16 +/– | |
>>Как бэкапить то фразу?
НА БУМАГЕ!
поколение снежинок, мать вашу.
| | |
|
| 4.36, morphe (?), 16:38, 16/12/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Ещё раз, наличие в прошивке холодного кошелька самой возможности передачи seed-фразы во вне ломает всё доверие к устройству.
~~Я возможно чот не понимаю, но для работы ledger recovery тебе нужно самому перегнать сид фразу в облако с его экрана, в прошивке нет возможности это автоматизировать?~~
Да, понял, не совсем так, оно на устройстве разбивает ключ, а затем приложение ledger live передаёт на устройство 3 приватных ключа, с которыми шифруются куски согласно маркетинговым материалам. Тогда действительно не круто
| | |
|
|
| 2.46, Аноним (-), 18:37, 16/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
> полный провал в отношении к защите информации. Закрытый ключ должен только записываться
> на этапе генерации в чип Secure Element, который должен быть чёрным ящиком, допускающим
> только отдачу результатов подписывания ключом.
Вопрос: а что нелох делает если чип скончался, девайс про@#$лся и тому подобное? А, ожесточенно выдирает волосы на всех местах где они растут?!
| | |
| |
| 3.48, torvn77 (ok), 21:24, 16/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
 Не лох не будет держать основные деньги на аппаратном кошельке, он нужен для удобства текущих операций.
| | |
| 3.51, Аноним (51), 00:06, 17/12/2023 [^] [^^] [^^^] [ответить] | +2 +/– | Нелох при начальной инициализации устройства переписывает новенькую сгенерирован... большой текст свёрнут, показать | | |
|
|
| 1.5, Аноним (5), 11:43, 16/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> В качестве причин успеха атаки упоминается возможность публикации выпусков без прохождения двухфакторной аутентификации, оставление прав доступа у уволенного сотрудника и использование сети доставки контента, не позволяющей привязаться к конкретной проверенной версии библиотеки (приложения всегда использовали самую свежую версию).
Лучшие практики смузи-разработки.
| | |
| |
| 2.8, nox. (?), 12:40, 16/12/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> приложения всегда использовали самую свежую версию
Так поступают многие проекты через самостоятельное безусловное обновление.
| | |
| |
| 3.12, Вы забыли заполнить поле Name (?), 12:46, 16/12/2023 [^] [^^] [^^^] [ответить]
| –2 +/– | |
Для смузихлебов новая версия - это как игрушка для собаки, у них сразу появляется слюноотделение, учащается сердцебиение и желание совершать движения.
Смотришь на некоторые проекты, а там только комитет от бота, который араки зависимости.
| | |
| |
| 4.23, Аноним (22), 15:03, 16/12/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Эти смузихлебы сейчас с нами? Я тоже люблю новые версии, да и все любят, это только совсем дединсайдам пофиг. Не надо подменять понятие профнепригодности.
| | |
| |
| 5.41, Аноним (41), 17:43, 16/12/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Я тоже люблю новые версии, да и все любят
Говори за себя.
> это только совсем дединсайдам пофиг
Я-то думал, профи должны относиться к новому с трезвой осторожностью, а не визжать как девочки. Результаты непофигизма "весёлой хипстоты-инсайд" - в посте.
| | |
| 5.54, Аноним (54), 04:55, 17/12/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Не надо подменять понятие профнепригодности.
Молодец! Сам диагноз определил. Правда начал с ним спорить. Но, все равно - это уже успех!
| | |
| 5.57, User (??), 07:38, 18/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
Не-не-не, не знаю, как у вас - а у нас новые версии боятся-и-ненавидят - патамучта нельзя же вот так просто - взять и не переломать все нах..., пардон, УЛУЧШИТЬ, правда? Пацаны-не-поймут, спросят "нафиг обновлял?!" тогда.
| | |
|
|
|
|
| |
| 2.13, Аноним (13), 12:54, 16/12/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Переходим на Tangem Wallet.
У него нет функции показа seed-а для создания резервной копии. Если потеряешь/поломаешь имеющиеся карты, деньги не восстановить. Еще непонятно как там синхронизация и генерация ключа работает, сказано, что ключ генерируется на каждой карте, но при этом есть возможность привязывать/синхронизировать дополнительные карты, значит программа может извлекать ключи или seed не такой рандомный как заявлено, очень сомнительно в плане безопасности. Где на карте берётся энтропия для генератора случайных чисел? В Ledger в энтропия формируется на основе задержек при нажатии клавиш на брелоке, а в Tangem где взять внешний шум? К тому же мутное происхождение, бренд зарегистрирован в Швейцарии, а по факту владельцы бизнеса россияне.
| | |
| |
| 3.21, Sw00p aka Jerom (?), 14:55, 16/12/2023 [^] [^^] [^^^] [ответить]
| +/– | |
>бренд зарегистрирован в Швейцарии
лол,кек вы думаете где-то на белом свете позволят создавать милитари грейд устройсва защиты информации, темболее в указанной стране?
у вашего это леджера темпер протекшен хоть имеется?
| | |
|
|
| 1.17, ИмяХ (ok), 13:31, 16/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Неееет, такого не бывает! Криптовалюта это надёжно и безопасно, никто не сможет украсть ваши деньги, всё зашифровано так, что нужен квантовый компьютер размером с планету, чтобы его взломать.
| | |
| |
| 2.49, torvn77 (ok), 21:26, 16/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
Так у тех кто всё делает правильно так безопасно и секюрно всё и есть.
| | |
|
| 1.30, Kuromi (ok), 15:29, 16/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Крипта + "В качестве причин успеха атаки упоминается возможность публикации выпусков без прохождения двухфакторной аутентификации" = замечательная безопасность.
Знаю что сейчас в комменты набегут товарищи которые думают что двухфакторка = смс = палево по номеру телефона, но по вашему возможность тыринга крипты через "троян" в официальном софте это нормально?
| | |
| |
| |
| 3.35, Kuromi (ok), 16:30, 16/12/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> TOTP у вас ещё не изобрели?
Забыл про него упомянуть. Но кстати не им единым мир живет, есть еще WebAuthn
| | |
| |
| 4.56, Kuromi (ok), 02:06, 18/12/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Или U2F
А это сейчас де факто одно и тоже (вернее, WebAuthn поглотил U2F и поддерживает устройства с ним). Как таковую поддержку именно U2F из того же ФФ уже вырезали.
| | |
|
|
|
| 1.37, Аноним (-), 16:39, 16/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Хм... Интересно, у них тоже было привычное AS IS в лицензии?
Ну и что никаких возмещений за кривой код.
| | |
| 1.52, noc101 (ok), 00:48, 17/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Никогда не было и вот в очередной раз повторяется. История никого не учит.
| | |
| |
| 2.55, Аноним (55), 13:30, 17/12/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
История учит тех, кто ее застал или хотя бы изучал. Поколение смузихлебов открывает для себя все заново.
| | |
|
| 1.58, Аноним (58), 08:46, 21/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я не понимаю, почему на всех официальных сайтах криптовалют, даже мега приватного монеро, рекомендуют использовать холодные проприетарные аппаратные кошельки, вроде Ledger. Им за это платят? Там же закрытая прошивка в них и простор для вставки закладок просто неограниченный, даже необязательно, что у вас сид фразы украдут, могут просто при подключении к компу связывать ваш айпи, с вашим кошельком и отправлять эту информацию кому надо
| | |
|
