Имеет ли blockchain.com доступ к сид-фразе пользователя?

[taki183]

09.09.2020 в 15:47, klondike сказал:

согласен с вами, но я гуарду выбрал из за поддержки некоторых валют и токенов, понятно что не для больших сумм.
кстати блокчейнком наверное самый популярный, особенно среди новичков, и большинство вообще не заморачивается о какой либо безопасности и как видим пока без проблем. репутация тоже очень серьезная вещь

 

К сожалению, блокчейн.ком хранит у себя сид фразу, а это не совсем по криптански. Но спорить не буду, свою аудиторию они завоевали бесперебойной работой. Это был мой первый кошель.

[jam72]

33 минуты назад, taki183 сказал:

блокчейн.ком хранит у себя сид фразу

Почему вы так считаете? Насколько я знаю, это не так. Тем не менее, никому не советую им пользоваться кроме как для хранения "карманных" денег.

36 минут назад, taki183 сказал:

свою аудиторию они завоевали бесперебойной работой

А в ветке по блокчейн.ком регулярно кто-то жалуется...

[taki183]

2 часа назад, jam72 сказал:

Почему вы так считаете? Насколько я знаю, это не так. Тем не менее, никому не советую им пользоваться кроме как для хранения "карманных" денег.

 

Потому что при создании кошелька Вы используете почту и пароль, а саму сид фразу Вам нужно искать в настройках кошелька. Это значит, что она хранится на сервере блокчейн.ком, доступ к которому Вы имеете посредством почты и пароля. Любой, кто получит Ваши данные, получит и доступ к кошельку.

 

На счет лагов - дело житейское, без лагов ни один сервис не работает.  Главное чтобы эти лаги не были связаны с безопасностью средств.

[jam72]

4 часа назад, taki183 сказал:

Любой, кто получит Ваши данные, получит и доступ к кошельку.

А почему вы считаете, что эти данные у кого-то есть, кроме пользователя?

[taki183]

11.09.2020 в 19:18, jam72 сказал:

А почему вы считаете, что эти данные у кого-то есть, кроме пользователя?

 

Они есть как у пользователя, так и на стороне сервиса. Соответственно если происходит утечка со стороны сервиса (как уже много раз бывало с различными биржами), то эти данные становятся публичными, а дальше уже дело техники хацкеров.

[jam72]

1 час назад, taki183 сказал:

Они есть как у пользователя, так и на стороне сервиса.

Насколько мне известно, вся секретная информация хранится на сервере в шифрованном виде и доступа к ней оттуда нет. То есть сид/ключи генерируются в браузере пользователя, а на сервер в открытом виде они не попадают.

Рад буду доказательствам, подтверждающим мою неправоту. А то у меня нет убийственного аргумента против "обожателей" этого кошелька )).

[taki183]

2 часа назад, jam72 сказал:

Насколько мне известно, вся секретная информация хранится на сервере в шифрованном виде и доступа к ней оттуда нет. То есть сид/ключи генерируются в браузере пользователя, а на сервер в открытом виде они не попадают.

Рад буду доказательствам, подтверждающим мою неправоту. А то у меня нет убийственного аргумента против "обожателей" этого кошелька )).

 

В каком виде они там хранятся, это неизвестно. Однако, данный факт не позволяет отнести такой кошелек к некастодиальным - где Сид фраза генерируется и хранится только на стороне клиента.

[jam72]

9 минут назад, taki183 сказал:

В каком виде они там хранятся, это неизвестно. Однако, данный факт не позволяет отнести такой кошелек к некастодиальным - где Сид фраза генерируется и хранится только на стороне клиента.

Ну почему неизвестно? Код вроде бы открыт (по крайней мере клиентской части), можно поизучать, думаю, там все в порядке. А если секрет просто хранится в надежно зашифрованном виде на чужом сервере (можно сказать, что там хранится бэкап, который каждый раз распаковывается в браузере), можно ли это называть кастодиальным? Я думаю, что нет.

[taki183]

1 час назад, jam72 сказал:

Ну почему неизвестно? Код вроде бы открыт (по крайней мере клиентской части), можно поизучать, думаю, там все в порядке. А если секрет просто хранится в надежно зашифрованном виде на чужом сервере (можно сказать, что там хранится бэкап, который каждый раз распаковывается в браузере), можно ли это называть кастодиальным? Я думаю, что нет.

 

Конечно можно, выходит, что к этому "бекапу" есть доступ как у самого блокчейн.ком, так и у другого лица, который завладеет парой логин/пароль. Конечно, в случае наличия 2фа загадка усложняется, но и такие в этом мире уже были решены.

 

Некастодиальный сервис отличается от кастодиального именно тем, что сид фраза хранится только у пользователя и только он несет ответственность за ее сохранность. 

[jam72]

12 часов назад, taki183 сказал:

выходит, что к этому "бекапу" есть доступ как у самого блокчейн.ком

Ну так сид для них ведь зашифрован паролем и нечитаем (доступа к паролю у них ведь тоже нет), это не называется "есть доступ".

13 часов назад, taki183 сказал:

так и у другого лица, который завладеет парой логин/пароль.

Это да, но это уже другая тема, тут уже вопрос безопасности на пользовательской стороне.

 

13 часов назад, taki183 сказал:

Некастодиальный сервис отличается от кастодиального именно тем, что сид фраза хранится только у пользователя и только он несет ответственность за ее сохранность.

Согласен. Но здесь как раз случай некастодиального хранения сида ).

[taki183]

3 часа назад, jam72 сказал:

Ну так сид для них ведь зашифрован паролем и нечитаем (доступа к паролю у них ведь тоже нет), это не называется "есть доступ".

Они ж ведь проверяют доступ по паролю, как это у них его нет?) Более того, они его и поменять могут точно также как и сам пользователь. Для них сид фраза никак не зашифрована.

 

3 часа назад, jam72 сказал:

Согласен. Но здесь как раз случай некастодиального хранения сида ).

Вынужден не согласиться)

[2lexcross]

2 минуты назад, taki183 сказал:

Они ж ведь проверяют доступ по паролю, как это у них его нет?

Хэш, соль - эти слова знакомы?

[klondike]

вставлю свои 5 копеек)
Это кастодиальный кошелек 100%, потому что в хранении ключей участвует третья сторона(блокчейн ком)
Доступ к криптовалюте вы получаете с помощью логина и пароля, поэтому для кражи не имеет значения каким паролем зашифрованы ключи и кто имеет к ним доступ. А случаев взлома аккаунтов, даже с активным 2фа море.
и как нам самом деле хранятся ключи, как зашифрованы и имеет ли доступ блокчейн ком неизвестно никому.

[jam72]

5 часов назад, taki183 сказал:

Вынужден не согласиться)

Во, нашел  https://www.blockchain.com/ru/learning-portal/how-it-works

Может и врут, конечно ). Но исходники же есть.

3 часа назад, klondike сказал:

вставлю свои 5 копеек)
Это кастодиальный кошелек 100%, потому что в хранении ключей участвует третья сторона(блокчейн ком)

Почему вы считаете, что в хранении ключей участвует третья сторона?

3 часа назад, klondike сказал:

А случаев взлома аккаунтов, даже с активным 2фа море.

Да, но речь здесь не об этом.

3 часа назад, klondike сказал:

как нам самом деле хранятся ключи, как зашифрованы и имеет ли доступ блокчейн ком неизвестно никому.

Исходники открыты.

[klondike]

10 минут назад, jam72 сказал:

Почему вы считаете, что в хранении ключей участвует третья сторона?

потому что они хранят ваши ключи у себя, то есть блокчейн ком, они и есть третья сторона. если вдруг завтра их сайт станет не доступен, а приложения не будут открываться, вы сможете воспользоваться своей криптовалютой?

 

13 минут назад, jam72 сказал:

Да, но речь здесь не об этом.

на сколько я понял речь о краже ключей шла в том числе

 

13 минут назад, jam72 сказал:

Исходники открыты.

я мало понимаю в коде, поэтому лично убедиться не могу и смею предположить, что информации по хранении и шифрованию ключей там нет

[jam72]

3 минуты назад, klondike сказал:

потому что они хранят ваши ключи у себя

А они говорят, что это не так. И я не видел, чтобы их уличили в обратном. В общем, повторяться не буду, почитайте мои последние сообщения.

5 минут назад, klondike сказал:

если вдруг завтра их сайт станет не доступен, а приложения не будут открываться, вы сможете воспользоваться своей криптовалютой?

Конечно смогу, если я сохранил сид-фразу.

8 минут назад, klondike сказал:

на сколько я понял речь о краже ключей шла в том числе

Нет, это уже будет разговор про кражу информации с компа пользователя.

[rammendo]

8 минут назад, jam72 сказал:

Конечно смогу, если я сохранил сид-фразу.

Или сид-фразу не сохранил, а сохранил приватные ключи от адресов с балансом

Так тоже можно )) Особенно, если версия очень старая и нет сид-фразы ))

[klondike]

29 минут назад, jam72 сказал:

Конечно смогу, если я сохранил сид-фразу.

прошу прощения. не пользовался никогда этим кошельком и думал что доступа к сид фразе нет, сейчас зашел в кошелек, а она действительно есть. в таком случае трудно определить к какому типу относится этот кошелек)

[Old Miner]

33 минуты назад, jam72 сказал:

А они говорят, что это не так

 

По вашей же ссылке:

Цитата

Ваш зашифрованный кошелек автоматически копируется на наши серверы.

 

Да, он зашифрован, но, ведь, хранят же.

[jam72]

3 минуты назад, Old Miner сказал:

Да, он зашифрован, но, ведь, хранят же.

Хранят бесполезный (без пароля) набор байт,  а не ключи.

[rammendo]

4 минуты назад, jam72 сказал:

Хранят бесполезный (без пароля) набор байт,  а не ключи.

Говорят, некоторые люди довольно наивны и имеют пароль типа "123" или "пароль" , который легко подобрать ))