Перейти к содержанию

iancoleman.io — что это и как пользоваться данным сервисом? + что делать при replay attack


Helber

Рекомендуемые сообщения

7 минут назад, zlg сказал:

Удалось ли кому запустить ian.coleman  в Tails без сети, оффлайн?

А если попробовать не в Торе? 
Я всегда запускал в Firefox

Ссылка на комментарий
Поделиться на другие сайты

6 minutes ago, Helber said:

А если попробовать не в Торе?

Если бы я знал как. ? Tails настолько весь огороженный. У него есть только две опции - Тор браузер и какой то Unsafe Browser. Причем Unsafe Browser в оффлайне даже не хочет запускаться. Либо я не знаю как Tails-ом пользоваться.?

Изменено пользователем zlg
Ссылка на комментарий
Поделиться на другие сайты

24 минуты назад, zlg сказал:

Вопрос к Уважаемым Спецам и в особенности к профи jam72 ?

Да ладно вам, тоже мне профи нашли ).

24 минуты назад, zlg сказал:

Удалось ли кому запустить ian.coleman  в Tails без сети, оффлайн?

Запускал не раз. Никаких дополнительных действий для этого не требовалось. Но у меня болеe старая версия Tails, 5.0, кажется... Завтра обновлюсь на 5.8 - отпишусь.

Ссылка на комментарий
Поделиться на другие сайты

1 minute ago, jam72 said:

Запускал не раз. Никаких дополнительных действий для этого не требовалось. Но у меня болеe старая версия Tails, 5.0, кажется... Завтра обновлюсь на 5.8 - отпишусь.

А как запускали? Просто кликом по html? В Тор браузере? Без ансамбл сети? Ежели что, сохраните свою старую версию Tails, на всякий пожарный.

Ссылка на комментарий
Поделиться на другие сайты

Только что, zlg сказал:

А как запускали? Просто кликом по html? В Тор браузере? Без ансамбл сети?

Да, офлайн, просто кликом, в тор-браузере. И онлайн с сайта тоже запускал.

2 минуты назад, zlg сказал:

Ежели что, сохраните свою старую версию Tails, на всякий пожарный.

Зачем, тут они все: https://iso-history.tails.boum.org/

А тут можно свежак еще не выпущенный взять, если хотите: https://nightly.tails.boum.org/build_Tails_ISO_18467-linux-6.0-force-all-tests/lastSuccessful/archive/build-artifacts/

Ссылка на комментарий
Поделиться на другие сайты

@zlg Обновил на 5.8. Всё работает.

Перечитал ваше первое сообщение тут, и пришла мысль: а где лежит ваш этот html? Всё постороннее должно запускаться из папки Tor Browser (/home/amnesia/Tor Browser/) или в сохраняемом разделе из папки Tor Browser (Persistent) (путь /home/amnesia/Persistent/Tor Browser/).

Изменено пользователем jam72
Ссылка на комментарий
Поделиться на другие сайты

Ну и если подобные браузерные проги не хотят правильно работать в тор-браузере Tails, то скорее всего нужно изменить настройку NoScript (правой кн. мыши в окне, выбрать NoScript и установить значение "Trusted").

 

Ссылка на комментарий
Поделиться на другие сайты

1 hour ago, jam72 said:

Перечитал ваше первое сообщение тут, и пришла мысль: а где лежит ваш этот html? Всё постороннее должно запускаться из папки Tor Browser (/home/amnesia/Tor Browser/) или в сохраняемом разделе из папки Tor Browser (Persistent) (путь /home/amnesia/Persistent/Tor Browser/).

Ура, заработало (с) ? Пытался запускать из разных мест, но именно из папки Tor Browser, не догадался. ?

Ссылка на комментарий
Поделиться на другие сайты

  • 3 месяца спустя...

Вопрос к спецам. В ЯнКолемане, при создании адресов для Ripple, какой путь деривации выбирать обычно? Чтобы наверняка все кошельки поддерживали. Заранее спасибо.

Ссылка на комментарий
Поделиться на другие сайты

  • 1 месяц спустя...

В iancoleman есть далеко не все монеты. Как вытащить из сид фразы ключи на те монеты, которых нету  в iancoleman?

Ссылка на комментарий
Поделиться на другие сайты

10 минут назад, krpt73946 сказал:

В iancoleman есть далеко не все монеты. Как вытащить из сид фразы ключи на те монеты, которых нету  в iancoleman?

Тут уже применяется индивидуальный подход, универсального рецепта нет.

Ссылка на комментарий
Поделиться на другие сайты

@krpt73946 , не забывайте тегать собеседника в разговоре, вот так

@jam72

 

В ином случае он может не заметить вашего поста.

 

Вариант—цитировать.


На мой взгляд, надо танцевать от конкретной монеты, т.е.пока вы не скажете ее названия — толку нет

Ссылка на комментарий
Поделиться на другие сайты

@Helber Таких монет много, например ALGO, SOL, DOT, XMR, QTUM и еще целая куча менее известных щитков. По какому принципу нужно танцевать вокруг конкретной монеты?

Ссылка на комментарий
Поделиться на другие сайты

7 минут назад, krpt73946 сказал:

ALGO  XMR

Эти тут есть https://coinomi.github.io/tools/bip39/

Ссылка на комментарий
Поделиться на другие сайты

@jam72

21 minutes ago, jam72 said:

Спасибо. Клон iancoleman? Удивлён. А может есть где нибудь целый список подобных клонов? И еще вопрос, эти клоны опенсорсные?

Ссылка на комментарий
Поделиться на другие сайты

2 минуты назад, krpt73946 сказал:

Клон iancoleman? Удивлён.

Почему? Обычное дело.

3 минуты назад, krpt73946 сказал:

А может есть где нибудь целый список подобных клонов?

Вряд ли. Я не видел по крайней мере.

4 минуты назад, krpt73946 сказал:

И еще вопрос, эти клоны опенсорсные?

В самом низу там написано, что да.

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, krpt73946 сказал:

По какому принципу нужно танцевать вокруг конкретной монеты?

По своему особому для каждой…:sad:

 

Как пример

https://forum.bits.media/index.php?/topic/161186-iancolemanio-—-что-это-и-как-пользоваться-данным-сервисом-что-делать-при-replay-attack/&do=findComment&comment=2060034
 

BNB BEP-2

@krpt73946, если у вас их так много, не проще восстановиться по сиду, сразу по всем? В мультикошельке, который их поддерживает?

Вот старые данные https://docs.google.com/spreadsheets/d/1avosBgOLetibISYYx80VD8rRhDfzcy9eK9WVONaUpAE/htmlview

 

Вы не хотите светить сид?

Ссылка на комментарий
Поделиться на другие сайты

@Helber

18 minutes ago, Helber said:

Вы не хотите светить сид?

Да, не хочу светить сид нигде кроме как на оффлайн компьютере в безопасной среде. В связи с этой историей с леджером, с меня хватит аппараратных кошельков и доверия к разработчикам (даже опенсорсным). Не хочу больше иметь дело с генераторами сид фраз с открытыми кодами, всевозможными генераторами отдельных ключей, кошельками которые генерят приватники и даже не хочу ничего слышать об аппаратных генераторах сид фраз на опенсорсных прошивках. Уж лучше я подброшу 256 раз монеты, запишу результат и сделаю в оффлайн среде сид фразу вручную. Затем буду вытаскивать по мере необходимости нужные адреса из сид фразы и ложить туда крипту. Для траты средств буду использовать оффлайн подписи, если под конкретные монеты будут такие кошельки. Если же таких не будет, то изначально буду ложить крипту на множество адресов комфортными для меня суммами, чтобы при необходимости в горячих кошельках тратить эту крипту частями. Соответственно прийдется вести для себя учет адресов, приватники от которых были в небезопасной среде, а какие не были. Адреса, приватники которых уже импортировались в онлайн компьютер больше никогда не использовать. Юзать для этого комп без Intel ME, отключить жесткий, отключить wifi модуль, использовать linux live дистрибутивы (в идеале tails потому что этот дистр затирает при выключении оперативную память нулями) или другой дистр, если на tails не получится установить какой нибудь кошель для оффлайн подписи или других задач. Так же live дистрибутивы собираюсь загружать не с флешек, а с записанных болванок с дистрибутивами (чтобы на них во время работы с ПК ничего нельзя было записать). Переносить файлы, кошельки для установки, ключи, сид фразы только через зашифрованные флешки. Сид хранить тоже в зашифрованном виде. Зашифрованные носители монтировать предпочтительно в режиме чтения. Кошельки использовать лучше опенсорсные. Закрывать окна в комнате, убирать все что имеет камеру когда буду вытаскивать ключи и адреса из сида. Гемора конечно много и он меня не радует, но в этой схеме я не вижу никакого подвоха, который может всплыть как в случае с леджером. Кто знает, может быть завтра окажется что софт трезора не соответствует исходному коду на гитхабе или энтропия какого то кошелька очень плохая и подвержена брутфорсу. Хватит с меня кошельков, в которых может в будущем обнаружиться подвох. Мне лучше 256 раз подбросить монеток создать 256 битный сид и спать спокойно. Правда пока осталось много нерешенных вопросов, например как быть с EVM сетями и стейблкоинами, это не UTXO чтобы так просто маленькими суммами распихать по адресам и тратить из под горячего кошелька. Не знаю как теперь подписывать транзакции оффлайн в дексах и еще со многими неудобствами прийдется столкнуться и разбираться, но к удобному мультивалютному леджеру больше не вернусь.

Ссылка на комментарий
Поделиться на другие сайты

@krpt73946 , в общем, вам к сообществам конкретных монет, с вопросом типа моего

 

В 18.04.2021 в 18:13, Helber сказал:

Кто-нибудь знает, как получить из сид-фразы приватники и адреса для BNB?

 

Ссылка на комментарий
Поделиться на другие сайты

@jam72

2 hours ago, jam72 said:

А может где то есть iancoleman в котором есть весь список монет, которые поддерживает леджер? Просто я с леджера ухожу ))

 

@jam72

2 hours ago, jam72 said:

А может где то есть iancoleman в котором есть весь список монет, которые поддерживает леджер? Просто я с леджера ухожу ))

Ссылка на комментарий
Поделиться на другие сайты

7 часов назад, krpt73946 сказал:

с меня хватит аппараратных кошельков и доверия к разработчикам (даже опенсорсным)

Доверять разработчикам не надо, это правильно. Но в опенсорсных такое доверие и не требуется, зачем их сразу отметать?

7 часов назад, krpt73946 сказал:

Не хочу больше иметь дело с генераторами сид фраз с открытыми кодами, всевозможными генераторами отдельных ключей, кошельками которые генерят приватники и даже не хочу ничего слышать об аппаратных генераторах сид фраз на опенсорсных прошивках. Уж лучше я подброшу 256 раз монеты, запишу результат и сделаю в оффлайн среде сид фразу вручную.

Хорошо.

7 часов назад, krpt73946 сказал:

Затем буду вытаскивать по мере необходимости нужные адреса из сид фразы и ложить туда крипту. Для траты средств буду использовать оффлайн подписи, если под конкретные монеты будут такие кошельки.

Под большинство монет с этим будут проблемы.

7 часов назад, krpt73946 сказал:

Если же таких не будет

...

...

Гемора конечно много и он меня не радует, но в этой схеме я не вижу никакого подвоха, который может всплыть как в случае с леджером.

Да, много. И в итоге получите гораздо менее безопасную систему, чем леджер.

7 часов назад, krpt73946 сказал:

Кто знает, может быть завтра окажется что софт трезора не соответствует исходному коду на гитхабе

А вы не обновляйтесь сразу после релиза, подождите несколько недель. К тому же софт трезора воспроизводимый, можете собирать бинарники сами и сверять хеш - для этого программистом быть не нужно.

7 часов назад, krpt73946 сказал:

или энтропия какого то кошелька очень плохая и подвержена брутфорсу.

Монеткой сгенерируйте энтропию, как собирались, и импортируйте в трезор.

 

7 часов назад, krpt73946 сказал:

Не знаю как теперь подписывать транзакции оффлайн в дексах и еще со многими неудобствами прийдется столкнуться и разбираться, но к удобному мультивалютному леджеру больше не вернусь.

С одной стороны я вас понимаю. Но и горячиться не надо, выбирая решения еще хуже.

 

7 часов назад, krpt73946 сказал:

А может где то есть iancoleman в котором есть весь список монет, которые поддерживает леджер?

Очень сомневаюсь, не знаю такого.

7 часов назад, krpt73946 сказал:

Просто я с леджера ухожу ))

Это хорошо и правильно. Только уходить нужно не спеша и на системы, которые лучше, а не хуже.

Ссылка на комментарий
Поделиться на другие сайты

@jam72

4 hours ago, jam72 said:

Доверять разработчикам не надо, это правильно. Но в опенсорсных такое доверие и не требуется, зачем их сразу отметать?

Отметать для того, чтобы потом спустя время когда крипта уже будет на кошельках, созданных на этом опенсорсе не нашелся какой нибудь подвох, обнаруженная уязвимость, несоответствие исходному коду, фишинги и т.д. Может с этим не все согласятся, но мне не лень подбросить монеток на 256 бит энтропии так чтобы без всех этих опенсорсов ))

@jam72

4 hours ago, jam72 said:

Да, много. И в итоге получите гораздо менее безопасную систему, чем леджер.

Чем именно, на ваш взгляд, моя система менее безопасна, чем леджер?

Ссылка на комментарий
Поделиться на другие сайты

@jam72

4 hours ago, jam72 said:

Монеткой сгенерируйте энтропию, как собирались, и импортируйте в трезор.

Трезоров тоже не хочу, никаких аппаратников не хочу. Если уже и импортировать сид в аппаратники, то не вижу смысла подбрасывать конкретно для аппаратников монетку. Для аппаратников можно использовать любой сид, хоть скомпрометированный с кодовой фразой. Кодовая фраза будет существенно влиять на энтропию приватного мастер ключа.

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
  • Similar Topics

×
×
  • Создать...