Jump to content
polym0rph

Как вы защищаете компьютер с кошельком?

Recommended Posts

5 часов назад, TheFuzzStone сказал:

Винду нафиг, сразу.

Это вы сельской старушке советуете? Ей сосед может только винду поставить, и это типичная ситуация. Давайте будем реалистами.

5 часов назад, TheFuzzStone сказал:

Раз женщины несколько лет назад вложили, значит какой то профит есть, и как вариант разделить хранение на полностью "холодное" + взять отдельный Андроид (суто под кошелек).

То же самое, сами они это не сделают, и в большинстве случаев помочь им некому.

6 часов назад, TheFuzzStone сказал:

Дальше - кошельки. Пользуюсь кошельками только с открытым исходным кодом.   (здесь как бы без сюрприза)

 

6 часов назад, TheFuzzStone сказал:

Еще как вариант - Trust Wallet. С тех пор как Бинанс их купил, кошелек очень быстро развивается.

Развивается, но код закрыт. Так что либо противоречите себе, либо не знаете, что советуете.

6 часов назад, TheFuzzStone сказал:

Можно посмотреть в сторону Green (от Blockstream).

Можно, но там мультиподписной кошелек, восстановление в случае потери связи с их сервером очень сложное.

 

Из перечисленных вами мобильных кошельков поддерживаю Electrum и Mycelium, еще бы добавил Bluewallet, он функциональнее.

 

Ладно, позицию вашу понял, спасибо. Вы считаете, что "горячий" андроид-кошелек для "гуманитария" лучше "псевдохолодного" трезора, я с этим абсолютно не согласен. И так как позиции слишком разные, то лучше перестанем друг друга переубеждать, это бесполезно.

 

Share this post


Link to post
Share on other sites
1 час назад, jam72 сказал:

Развивается, но код закрыт. Так что либо противоречите себе, либо не знаете, что советуете.

1 час назад, jam72 сказал:

еще бы добавил Bluewallet, он функциональнее.

Тестил, глюков пару поймал, зарепортил. Плюс ко всему там кастодиальное хранение Lightning.

 

1 час назад, jam72 сказал:

лучше перестанем друг друга переубеждать, это бесполезно.

+

Share this post


Link to post
Share on other sites
4 минуты назад, TheFuzzStone сказал:

Более точная ссылка на андроид-кошелек https://github.com/trustwallet/trust-wallet-android-source, а там мы видим ссылку на https://medium.com/@trustwallet/why-open-sourcing-android-app-could-be-a-harm-to-the-crypto-community-fb3ae1707dc6, где написано:

"Feb 8, 2018·1 min read

As of today, we decided to move the Trust Wallet app for Android into closed source development."

8 минут назад, TheFuzzStone сказал:

Тестил, глюков пару поймал, зарепортил.

Ок, может быть, слишком бурно развиваются.

9 минут назад, TheFuzzStone сказал:

Плюс ко всему там кастодиальное хранение Lightning.

Да, но иногда (для копеек) кастодиальный LN-кошелек даже лучше - удобнее, не надо возиться с ликвидностью. Ну а для более солидных сумм надо что-то посерьезнее, конечно. Или сделать свою ноду и в том же Bluewallet ее прописать.

Share this post


Link to post
Share on other sites
21.05.2021 в 11:17, jam72 сказал:

Более точная ссылка на андроид-кошелек https://github.com/trustwallet/trust-wallet-android-source, а там мы видим ссылку на https://medium.com/@trustwallet/why-open-sourcing-android-app-could-be-a-harm-to-the-crypto-community-fb3ae1707dc6, где написано:

"Feb 8, 2018·1 min read

As of today, we decided to move the Trust Wallet app for Android into closed source development."

Значит, перед ответом провел небольшие поисковые работы, и получается да - частично открыт. Код часть кода закрыли +- как раз после покупки Бинансом, под предлогом что в ГуглПлей появлялись скаммерские копии кошелька.  (спорное решение)

 

А еще вот, ответ фаундера данного кошелька:

screenshot_2021-05-23_09-16-21.thumb.png.0cd66cb5146c68014f897912fdde04f4.png


 

Share this post


Link to post
Share on other sites
25 минут назад, TheFuzzStone сказал:

частично открыт

На мой взгляд это мало чем отличается от "закрыт", я не прав?

27 минут назад, TheFuzzStone сказал:

(спорное решение)

Да конечно, детсадовские отмазки какие-то. Также понравилось: "Our mission doesn’t change. We still want to be transparent in the development of our product, that is why we have made an earlier version of Trust Wallet for Android available to public". Это все равно, что microsoft выложит исходник Windows 3.1 и скажет, что мы хотим быть "прозрачными")).

Когда юзерам впаривают такие тексты, доверия не прибавляется. И даже название "Trust" не помогает (это вообще анекдот).

Share this post


Link to post
Share on other sites

 

3 часа назад, jam72 сказал:

На мой взгляд это мало чем отличается от "закрыт", я не прав?

И да, и не совсем, ИМХО.

Надо смотреть код кошелька (крипто-часть, ту что открыта), куда уходят "корни", и есть ли в архитектуре доверие к закрытой UI части.

 

Но да, по большей части я согласен, что "частично открыт" = "частично беременна".

 

В общем, кто нуждается в экосистеме DeFi, походу это самый популярный и навороченный кошелек.

Я сегодня спросил в Твиттере, мол, есть ли полностью открытые альтернативы Trust Wallet, и буквально через пару секунд прилетело пару мошенников, которые начали предлагать помощь, типа "решить вопрос с поддержкой" (картинки в спойлере).

 

Мошенники хоть и тупые (большинство из крипто-мошенников очень тупые), но одно точно понимают, что кошелек популярный, и что можно поживиться.
 

Скрытый текст

screenshot_2021-05-23_14-55-53.thumb.png.1ddaa4ac81f3f979fdfcada96e390ec2.png

 

screenshot_2021-05-23_14-56-00.thumb.png.1db1690b74994adb8ea2cbecafd7e01b.png

 

screenshot_2021-05-23_14-56-09.thumb.png.31de3c0f5d90816633585a2bb91ab8a8.png

Share this post


Link to post
Share on other sites
14 минут назад, TheFuzzStone сказал:

И да, и не совсем, ИМХО.

Надо смотреть код кошелька (крипто-часть, ту что открыта), куда уходят "корни", и есть ли в архитектуре доверие к закрытой UI части.

Если мы не можем сами скомпилировать приложение, то всё, смысл что-то смотреть пропадает. Откуда нам знать, что в их бинарнике использованы именно те открытые библиотеки, которые выложены на гитхабе, а не какие-то другие закрытые?

Share this post


Link to post
Share on other sites
36 минут назад, TheFuzzStone сказал:

Я сегодня спросил в Твиттере, мол, есть ли полностью открытые альтернативы Trust Wallet

BRD и Trustee вроде бы. Но список монет, юзабельность там, возможно, пониже.

Share this post


Link to post
Share on other sites
15 минут назад, jam72 сказал:

Откуда нам знать, что в их бинарнике использованы именно те открытые библиотеки, которые выложены на гитхабе, а не какие-то другие закрытые?

Тоже правильно.

 

Только что, Helber сказал:

BRD и Trustee вроде бы. Но список монет, юзабельность там, возможно, пониже.

Может быть, но это надо тратить время тому, кто ищет какой то мультивалютный кошелек. Лично мне не надо. 🙂

Share this post


Link to post
Share on other sites

@jam72 у меня есть, кстати, несколько примеров приложений с github, которые по исходниками не используют сеть,а бинарник при этом ломится в мир. Ну или байт-код или размер собранного бинарника отличается от вложенного в релиз🤔

Share this post


Link to post
Share on other sites

Вот такой вот фишинг, который основывается на утечке данных клиентов Ledger:

https://www.reddit.com/r/ledgerwallet/comments/nkbv8x/just_got_attacked_today/

Share this post


Link to post
Share on other sites
Quote

На мой взгляд это мало чем отличается от "закрыт", я не прав?

Quote

Если мы не можем сами скомпилировать приложение, то всё, смысл что-то смотреть пропадает. Откуда нам знать, что в их бинарнике использованы именно те открытые библиотеки, которые выложены на гитхабе, а не какие-то другие закрытые?

 

А Вам какая разница насколько он открыт\закрыт?) Например цитата разработчика Reiser4 - "Лучшая рекламная кампания — это объяснить людям, как она работает. Ибо все смотрят на её код, и никто ничего не понимает. Вот вам и Open Source."

 

Среди миллионов, единицы прочитают код. Полторы калеки сможет вообще понять что там происходит. Что уж говорить, про полноценный коммит.

 

С другой стороны, один из успешных игровых проектов.

 

Quote

Duke Nukem 3D — не одна, а две базы кода:
 

  • Движок Build: обеспечивает рендеринг, работу с сетью, файловой системой и службы кэширования.
  • Игровой модуль: использует службы Build для создания игры.


Зачем нужно было такое разделение? Потому что в 1993 году, когда началась разработка, только у немногих людей были навыки и рвение, необходимые для создания хорошего 3D-движка. Когда 3D Realms решила написать игру, которая станет конкурентом Doom, ей нужно было найти мощную технологию. И в этот момент на сцене появляется Кен Силверман.

Согласно его хорошо документированному веб-сайту и интервью, Кен (в то время ему было 18 лет) написал дома 3D-движок и отправил демо в 3D Realms для оценки. Они посчитали его навыки многообещающими, и заключили соглашение:

2cb26ffe9a3af4aae5b60412bc746693.png

Силверман напишет новый движок для 3D Realms, но сохранит за собой исходный код.

Он предоставит только двоичную статическую библиотеку (Engine.OBJ) с файлом заголовка Engine.h. Со своей стороны, команда 3D Realms возьмёт на себя работу над игровым модулем (Game.OBJ) и выпустит финальный исполняемый DUKE3D.EXE.

 

Из современных актуальных продуктов - браузер Vivaldi. Открытый исходный код ядра и как раз закрытая часть UI, что собственно и делает браузер именно Vivaldi. Тут чуть подробнее - https://zen.yandex.ru/media/id/5e84a1c7c0c17b53a2c3573c/brauzer-vivaldi-i-open-source-5f26576e09f04e63c6fa237c

 

Собственно я к чему. Не всё что есть OpenSource - хорошо. Не всё что с закрытым кодом - плохо. И вообще мир не чёрно-белый.

 

p.s - От самого названия - Trust Wallet уже пахнет обманом 80 уровня 😄

 

Quote

Вот такой вот фишинг, который основывается на утечке данных клиентов Ledger

 

Я уже много лет пытаюсь донести до людей простую и очевидную вещь. Что криптовалютный кошелёк - это всего лишь Public Key и Private Key. Их можно записать на обычной бумажке, как логин и пароль. Всё. По сути этого достаточно для надёжного хранения. Просто хоть куда-нибудь положи, чтобы не потерялось и не забыть. Две долбаных строчки надо записать. Дальше уже чуть сложнее. Ключики храним в любой базе данных (KeePassXC (как раз формат логин\пароль), MongoDB, SQL), зашифровал и к себе в облака, на хостинг. Не важно больше, ни какой компьютер, ни тем более какой кошелёк.

 

А теперь что такое - Ledger. Вот ей богу, а хрен его знает что там внутри. Хардварные кошельки переусложнены. И это аппаратное устройство. Оно когда сломается, его кто чинить будет? Пойдёт человек на условную bits.media спрашивать. Возможно мы ему тут даже постараемся помочь (но это не точно). И уже даже на этом моменте напарываемся на теоретическую ненадёжность. Для этого не надо было ни схемы смотреть, ни исходники. И да. Навсякий - их нет. Как это слишком сложно и ненадёжно по сравнению с записать логин/пароль (Public Key/Private Key.)

 

Quote

Винду нафиг, сразу.

 

Винда не виновата в том, что она винда. Что родилось, то и выросло. Будем откровенны, но религиозные причины - "Linux forever! Windows - must die!" не имеют никакого отношения к безопасности. Пользователю главное решать свою задачу. Есть прекраснейшая статья по обеспечению безопасности кошелька на Windows - https://bits.media/wallet-security/

 

Нужно понимать архитектурные особенности и "детские болезни". И главное - согласиться с EULA Microsoft. И принять второе гораздо сложнее, особенно для ex-CCCP, где пиратский софт случайно стал свободным. Просто в linux другие архитектурные особенности другие детские болезни. И если совсем уж копнуть, то и от лицензионных особенностей попахивает не сильно приятнее, чем от microsoft.

Share this post


Link to post
Share on other sites
1 час назад, Oz сказал:

 

А Вам какая разница насколько он открыт\закрыт?)

 

 

Представим на минуточку, что код Bitcoin Core закрыт! И под лицензией аля Микрософт.

Не спорю, unix так-же был под закрытой, и это ни как не помешало Торвальдсу.

П.С. этого давненько ждут и хотят всякие там "доброжелатели" типа Open Invention Network

или Software Freedom Conservancy

Да и всякие редХаты с прочими нормальными_чуваками с Вами будут согласны.

П.П.С. Просто напомню, перефразируете сами, кто во что горазд: "Если Вы не интересуетесь политикой, то политика заинтересуется Вами".

Share this post


Link to post
Share on other sites
Quote

П.П.С. Просто напомню, перефразируете сами, кто во что горазд: "Если Вы не интересуетесь политикой, то политика заинтересуется Вами".

 

Вы сами будете баг исследовать/вычитывать и исправлять в opensource софте? Или это за Вас сделают "нормальные_чуваки" из того же сообщества GNU/Debian, в котором все технические проблемы "уже решены". Если да, то респект, конечно. Если по каким-либо причинам нет. Отсутствие времени/сил/денег/квалификации исправить ошибку, то и смысла от того, что эта абстракция в opensource не так уж и много. Мифическая свобода. И даже свободная свобода у GNU и BSD противоречат другим несвободным свободам. Ну а если политика ... То к сожалению проблемы не на уровне открытого/закрытого исходного кода. Почти всё опенсурсное "сообщество" поражено "SJW раком" и только чудо помогло убрать шильдик #Black Lives Matter с сайта Node.JS.

 

Религия религиозная и фанатичная - есть зло. Я как с винды по идеологическим причинам уходил. Так по факту можно было с неё и не уходить. Так завело меня глубоко, что идеология на дебиане сломалась, с которого из-за политических причин убежать гораздо сложнее, да и по факту особо и не куда. Индустрия глубоко больна. А тем временем можно вылечить как debian, так и windows.

 

Пфф. Политика. Бежать некуда! Земной шарик круглый. Не получится убежать от проблем. Тоже идиотское законодательство достанет в любой стране. Да и орды умалишённых точно так же, к сожалению, повсеместно. Или Вы серьёзно думаете, что если проприетарный windows загадили, то linux и opensource это не коснётся? Позволили. Тут тогда последовательным надо быть. За хорошее и качественное программное обеспечение.

 

Подпись за Столлмана поставили?

Share this post


Link to post
Share on other sites
10 часов назад, Oz сказал:

 

Вы сами будете баг исследовать/вычитывать и исправлять в opensource софте? Или это за Вас сделают "нормальные_чуваки" из того же сообщества GNU/Debian, в котором все технические проблемы "уже решены". Если да, то респект, конечно. Если по каким-либо причинам нет. Отсутствие времени/сил/денег/квалификации исправить ошибку, то и смысла от того, что эта абстракция в opensource не так уж и много. Мифическая свобода. И даже свободная свобода у GNU и BSD противоречат другим несвободным свободам. Ну а если политика ... То к сожалению проблемы не на уровне открытого/закрытого исходного кода. Почти всё опенсурсное "сообщество" поражено "SJW раком" и только чудо помогло убрать шильдик #Black Lives Matter с сайта Node.JS.

 

 

Если есть возможность и знания-да

Мы в двойственном мире, Приходится доверять.

"SJW раком" у Вас как вижу в кавычках!?

опенсорс далеко не свободно, опять-же:-Двойственность. И там, да, всё загажено,

Это не отменяет факта, что та-же микрософт попросту стёб над двуногими.

10 часов назад, Oz сказал:

 

 

 

Религия религиозная и фанатичная - есть зло. Я как с винды по идеологическим причинам уходил. Так по факту можно было с неё и не уходить. Так завело меня глубоко, что идеология на дебиане сломалась, с которого из-за политических причин убежать гораздо сложнее, да и по факту особо и не куда. Индустрия глубоко больна. А тем временем можно вылечить как debian, так и windows.

 

 

Надеюсь "лицензионное соглашение" от Микрософт читали!

Дебиан, странно.., но да, не торт.

Не сложнее, если только специфичного софта нет, хотя с виндой вроде как сложнее(не знаю , вернее не помню, начинал с ASPLinux, который от редхата)

Она не просто больна.

10 часов назад, Oz сказал:

 

 

 

Подпись за Столлмана поставили?

+

Share this post


Link to post
Share on other sites
21 час назад, Oz сказал:

криптовалютный кошелёк - это всего лишь Public Key и Private Key. Их можно записать на обычной бумажке, как логин и пароль. Всё.

Не всё, потому что среднестатистическому пользователю нужно удобство. И часто погоня за удобством плохо влияют на безопасность. А еще есть разные сценарии использования, например, холодное хранение не самый лучший вариант в плане когда надо потратить часть средств, так как после импортирования приватника в кошелек, и отправки части средств (а, да, еще желательно сдачу не потерять), надо опять безопасно сгенерировать холодное хранилище... и так по кругу, для пару проектов.

 

21 час назад, Oz сказал:

Оно когда сломается, его кто чинить будет?

Покупаешь другой аппаратник, и вводишь свою мастер мнемонику. Ну или пару человек поковыряются в кошельке чисто ради теста, потому что с закрытой прошивкой ты все равно нифига не сделаешь.

 

 

18 часов назад, Oz сказал:

Подпись за Столлмана поставили?

Я да.

 

 

22 часа назад, Oz сказал:

Будем откровенны, но религиозные причины - "Linux forever! Windows - must die!" не имеют никакого отношения к безопасности. Пользователю главное решать свою задачу.

Согласен. И, если я вдруг стану художником-дизайнером, то мне будет нужна Винда, Adobe и прочие закрытые продукты, которые решат мою задачу.

 

Правда, Винде я постараюсь по максимуму "подрезать когти", например *тыц* и *тыц*.

 

Я не агитирую из религиозных побуждений переходить на Линукс, а чисто из своего опыта. Как и в прочем использовать другие FOSS инструменты. Все что я советую, пользуюсь сам, и далеко не первый год.

 

Для Линукс сейчас меньше всякой малвари, и её сложнее подцепить, даже нубасу, у которого условный Минт/Убунту. Зашифровать установку того же Минта, это одна галочка, а для безопасности несомненный +.

 

Не спорю, что и под Виндой можно работать, и хранить крипту, и шифровать данные (теми же FOSS инструментами), и что все норм будет, но, лично мне комфортно с Линукс и другими FOSS тулзами, уже много лет. Так что я остаюсь в этом лагере.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...