forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Компрометация NPM-репозитория Ledger привела к подстановке вредоносных изменений, opennews (??), 16-Дек-23, (0) [смотреть все]

Хорошая работа , Аноним (1), 11:21 , 16-Дек-23, (1) +4
Ladger был одним из лучших холодных кошельков Был Пока они не придумали Ladg, Аноним (2), 11:26 , 16-Дек-23, (2) +4 //

Фраза восстановления леджера была доступна человеку с самого начала, при его нас, morphe (?), 12:42 , 16-Дек-23, (9) //

Разница в том, что фраза восстановление раньше показывалась _только_ на ЖК-экран, Аноим (?), 13:02 , 16-Дек-23, (15) +2 //

Ничего не ломает, это твои какие-то измышлизмы Как бэкапить то фразу , Аноним (22), 15:00 , 16-Дек-23, (22) –2

НА БУМАГЕ поколение снежинок, мать вашу , kafka (?), 15:59 , 16-Дек-23, (33) +16

им кто-то в уши залил, что хранить инфу на бумаге это не секурно , Sw00p aka Jerom (?), 16:42 , 16-Дек-23, (40) +1

Я возможно чот не понимаю, но для работы ledger recovery тебе нужно самому пер, morphe (?), 16:38 , 16-Дек-23, (36)

Вопрос а что нелох делает если чип скончался, девайс про лся и тому подобное , Аноним (-), 18:37 , 16-Дек-23, (46) //

Не лох не будет держать основные деньги на аппаратном кошельке, он нужен для удо, torvn77 (ok), 21:24 , 16-Дек-23, (48)
Нелох при начальной инициализации устройства переписывает новенькую сгенерирован, Аноним (51), 00:06 , 17-Дек-23, (51) +2

NeverAgain js и вот опять Они там с PyPI соревнуются, похоже , InuYasha (??), 11:30 , 16-Дек-23, (3) //

NPM Нас не догонят , Аноним (10), 12:42 , 16-Дек-23, (10) +4

Лучшие практики смузи-разработки , Аноним (5), 11:43 , 16-Дек-23, (5) +2 //

Так поступают многие проекты через самостоятельное безусловное обновление , nox. (?), 12:40 , 16-Дек-23, (8) +1 //

Для смузихлебов новая версия - это как игрушка для собаки, у них сразу появляетс, Вы забыли заполнить поле Name (?), 12:46 , 16-Дек-23, (12) –2 //

Эти смузихлебы сейчас с нами Я тоже люблю новые версии, да и все любят, это тол, Аноним (22), 15:03 , 16-Дек-23, (23) –1

Говори за себя Я-то думал, профи должны относиться к новому с трезвой осторожнос, Аноним (41), 17:43 , 16-Дек-23, (41)
Молодец Сам диагноз определил Правда начал с ним спорить Но, все равно - это , Аноним (54), 04:55 , 17-Дек-23, (54)
Не-не-не, не знаю, как у вас - а у нас новые версии боятся-и-ненавидят - патамуч, User (??), 07:38 , 18-Дек-23, (57)

лучшие теоретики, блин, Аноним (-), 18:28 , 16-Дек-23, (44)

Переходим на Tangem Wallet , Аноним (-), 12:08 , 16-Дек-23, (7) +1 //

У него нет функции показа seed-а для создания резервной копии Если потеряешь по, Аноним (13), 12:54 , 16-Дек-23, (13) //

не, рассиянцам доверия вообще нет, Ким Чен Ын (?), 13:01 , 16-Дек-23, (14)
лол,кек вы думаете где-то на белом свете позволят создавать милитари грейд устро, Sw00p aka Jerom (?), 14:55 , 16-Дек-23, (21) //

Скрыто модератором, Аноним (-), 15:20 , 16-Дек-23, (28) +1
спасибо, поржал, Sw00p aka Jerom (?), 16:39 , 16-Дек-23, (38)

Чел, признайся, сколько триллионов долларов у тебя в кошельке , Аноним (22), 15:04 , 16-Дек-23, (24)
А что вы думаете про SafePal S1 , Аноним (-), 15:18 , 16-Дек-23, (27)

Неееет, такого не бывает Криптовалюта это надёжно и безопасно, никто не сможет , ИмяХ (ok), 13:31 , 16-Дек-23, (17) //

Ну вообще обещали что злое государство не сможет украсть , Аноним (19), 13:42 , 16-Дек-23, (19)
А че, кто-то обещал безопасность , Аноним (22), 15:06 , 16-Дек-23, (26) +1
Так у тех кто всё делает правильно так безопасно и секюрно всё и есть , torvn77 (ok), 21:26 , 16-Дек-23, (49)

Только Bitcoin core, только hardcore , Аноним (29), 15:29 , 16-Дек-23, (29)
Крипта В качестве причин успеха атаки упоминается возможность публикации выпу, Kuromi (ok), 15:29 , 16-Дек-23, (30) //

TOTP у вас ещё не изобрели , Вы забыли заполнить поле Name. (?), 15:50 , 16-Дек-23, (32) +1 //

Забыл про него упомянуть Но кстати не им единым мир живет, есть еще WebAuthn, Kuromi (ok), 16:30 , 16-Дек-23, (35)
Или U2F, torvn77 (ok), 21:27 , 16-Дек-23, (50) //

А это сейчас де факто одно и тоже вернее, WebAuthn поглотил U2F и поддерживает , Kuromi (ok), 02:06 , 18-Дек-23, (56)

Скрыто модератором, Аноним (31), 15:46 , 16-Дек-23, (31) +1 //

Скрыто модератором, Аноним (34), 16:12 , 16-Дек-23, (34) +1 //

Скрыто модератором, Аноним (-), 16:41 , 16-Дек-23, (39) //

Скрыто модератором, Аноним (41), 17:50 , 16-Дек-23, (43)

Скрыто модератором, Аноним (47), 20:51 , 16-Дек-23, (47)

Скрыто модератором, user90 (?), 03:27 , 17-Дек-23, (53)

Скрыто модератором, Аноним (-), 18:30 , 16-Дек-23, (45)

Хм Интересно, у них тоже было привычное AS IS в лицензии Ну и что никаких воз, Аноним (-), 16:39 , 16-Дек-23, (37)
Никогда не было и вот в очередной раз повторяется История никого не учит , noc101 (ok), 00:48 , 17-Дек-23, (52) //

История учит тех, кто ее застал или хотя бы изучал Поколение смузихлебов открыв, Аноним (55), 13:30 , 17-Дек-23, (55) +1

Я не понимаю, почему на всех официальных сайтах криптовалют, даже мега приватног, Аноним (58), 08:46 , 21-Дек-23, (58)

Сообщения [Сортировка по времени | RSS]

2. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +4 +/–

Сообщение от Аноним (2), 16-Дек-23, 11:26

Ladger был одним из лучших холодных кошельков. Был... Пока они не придумали Ladger Recovery, сервис для распределённого бэкапа seed-фразы в облачных хранилищах. Это полный провал в отношении к защите информации. Закрытый ключ должен только записываться на этапе генерации в чип Secure Element, который должен быть чёрным ящиком, допускающим только отдачу результатов подписывания ключом. Если предусмотрена возможность передачи во вне seed-фразы для резервного копирования, о какой безопасности может идти речь? Если есть возможность программно выгрузить seed, то значит подобный запрос выгрузки можно симулировать во вредоносном ПО.

Ответить | Правка | Наверх | Cообщить модератору

9. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от morphe (?), 16-Дек-23, 12:42

Фраза восстановления леджера была доступна человеку с самого начала, при его настройке же нужно записать 24 слова, а это ключ и есть (bip39), и именно его предлагает бекапить на сервисе.
Более того, для бекапа этот самый секретный ключ и надо вводить, с леджера его в таком виде не извлечь.
Однако да, это неправильно что у леджера в принципе ключ при настройке наружу сообщается, что в то же время возможно и хорошо, учитывая насколько кривой у него внутри код. Так хоть в случае чего можно руками приватные ключи восстановить.

Ответить | Правка | Наверх | Cообщить модератору

15. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +2 +/–

Сообщение от Аноим (?), 16-Дек-23, 13:02

> Фраза восстановления леджера была доступна человеку с самого начала, при его настройке же нужно
> записать 24 слова, а это ключ и есть (bip39), и именно его предлагает бекапить на сервисе.
Разница в том, что фраза восстановление раньше показывалась _только_ на ЖК-экране леджера и _не_выходила_ за пределы устройства. Ladger Recovery бэкапит фразу восстановления на _внешних_ облаках, что подразумевает то, что фраза перед разделением на части будет передана на сторону приложения Lender Live и на сервер компании Ladger, а не останется только внутри устройства. Ещё раз, наличие в прошивке холодного кошелька самой возможности передачи seed-фразы во вне ломает всё доверие к устройству.

Ответить | Правка | Наверх | Cообщить модератору

22. "Компрометация NPM-репозитория Ledger привела к подстановке в..." –2 +/–

Сообщение от Аноним (22), 16-Дек-23, 15:00

Ничего не ломает, это твои какие-то измышлизмы. Как бэкапить то фразу?

Ответить | Правка | Наверх | Cообщить модератору

33. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +16 +/–

Сообщение от kafka (?), 16-Дек-23, 15:59

>>Как бэкапить то фразу?
НА БУМАГЕ!
поколение снежинок, мать вашу.

Ответить | Правка | Наверх | Cообщить модератору

40. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +1 +/–

Сообщение от Sw00p aka Jerom (?), 16-Дек-23, 16:42

им кто-то в уши залил, что хранить инфу на бумаге это не секурно :)

Ответить | Правка | Наверх | Cообщить модератору

36. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от morphe (?), 16-Дек-23, 16:38

> Ещё раз, наличие в прошивке холодного кошелька самой возможности передачи seed-фразы во вне ломает всё доверие к устройству.
~~Я возможно чот не понимаю, но для работы ledger recovery тебе нужно самому перегнать сид фразу в облако с его экрана, в прошивке нет возможности это автоматизировать?~~
Да, понял, не совсем так, оно на устройстве разбивает ключ, а затем приложение ledger live передаёт на устройство 3 приватных ключа, с которыми шифруются куски согласно маркетинговым материалам. Тогда действительно не круто

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

46. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от Аноним (-), 16-Дек-23, 18:37

> полный провал в отношении к защите информации. Закрытый ключ должен только записываться
> на этапе генерации в чип Secure Element, который должен быть чёрным ящиком, допускающим
> только отдачу результатов подписывания ключом.
Вопрос: а что нелох делает если чип скончался, девайс про@#$лся и тому подобное? А, ожесточенно выдирает волосы на всех местах где они растут?!

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

48. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от torvn77 (ok), 16-Дек-23, 21:24

Не лох не будет держать основные деньги на аппаратном кошельке, он нужен для удобства текущих операций.

Ответить | Правка | Наверх | Cообщить модератору

51. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +2 +/–

Сообщение от Аноним (51), 17-Дек-23, 00:06

Нелох при начальной инициализации устройства переписывает новенькую сгенерированную сид-фразу на бумажку(-и) и прячет ее(их) в надежное место. Если ты каменщик - можешь высечь в граните (и закопать). Как вариант - сохраняешь в надежном (ха-ха, на свой страх и риск, если не боишься троянов на компе и уязвимостей в ПО) менеджере паролей и раскидываешь его зашифрованную БД по всяким гугл-дискам в надежде что квантовый компутер еще нескоро сможет это дело вскрыть.
Потом у тебя этот девайс "скончался, про@#$лся и тому подобное"
Тут варианты:
- Просто покупаешь второе такое же устройство и там выбираешь не генерацию новой сид-фразы, а режим восстановления и вводишь старую сид-фразу. Все приватные ключи/адреса для разных блокчейнов остались на месте, прежними.
- Используешь любой другой кошелек, _СОВМЕСТИМЫЙ_ со старым в котором тоже восстанавливаешь ключи по уже существующей сид-фразе. Насчет совместимости - там у них есть приколы что при одной и той же сид-фразе для одного и того же блокчейна могут генерироваться разные ключи/адреса из-за того, что разные кошельки могут использовать, грубо говоря, несовместимые "хвосты", "суффиксы" (derivation path) к сид-фразе. Вот такая "стандартизация".
Например, для блокчейна Cardano (ADA) в программном кошельке Exodus derivation path это строка "m/44'/1815'/0'/0/0", а в кошельке TrustWallet - "m/1852'/1815'/0'/0/0". А итоговая пара ключей для конкретного блокчейна генерируется, условно, из "сид_фразы + derivation_path", что даже при одной и той же сид-фразе, но разных derivation path даст совершенно разные результаты (т.е. кошельки несовместимы с точки зрения сид-фраз, дадут разные пары ключей).

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+4 +/–
Сообщение от Аноним (2), 16-Дек-23, 11:26
Ladger был одним из лучших холодных кошельков. Был... Пока они не придумали Ladger Recovery, сервис для распределённого бэкапа seed-фразы в облачных хранилищах. Это полный провал в отношении к защите информации. Закрытый ключ должен только записываться на этапе генерации в чип Secure Element, который должен быть чёрным ящиком, допускающим только отдачу результатов подписывания ключом. Если предусмотрена возможность передачи во вне seed-фразы для резервного копирования, о какой безопасности может идти речь? Если есть возможность программно выгрузить seed, то значит подобный запрос выгрузки можно симулировать во вредоносном ПО.
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+/–
	Сообщение от morphe (?), 16-Дек-23, 12:42
	Фраза восстановления леджера была доступна человеку с самого начала, при его настройке же нужно записать 24 слова, а это ключ и есть (bip39), и именно его предлагает бекапить на сервисе. Более того, для бекапа этот самый секретный ключ и надо вводить, с леджера его в таком виде не извлечь. Однако да, это неправильно что у леджера в принципе ключ при настройке наружу сообщается, что в то же время возможно и хорошо, учитывая насколько кривой у него внутри код. Так хоть в случае чего можно руками приватные ключи восстановить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+2 +/–
	Сообщение от Аноим (?), 16-Дек-23, 13:02
	> Фраза восстановления леджера была доступна человеку с самого начала, при его настройке же нужно > записать 24 слова, а это ключ и есть (bip39), и именно его предлагает бекапить на сервисе. Разница в том, что фраза восстановление раньше показывалась _только_ на ЖК-экране леджера и _не_выходила_ за пределы устройства. Ladger Recovery бэкапит фразу восстановления на _внешних_ облаках, что подразумевает то, что фраза перед разделением на части будет передана на сторону приложения Lender Live и на сервер компании Ladger, а не останется только внутри устройства. Ещё раз, наличие в прошивке холодного кошелька самой возможности передачи seed-фразы во вне ломает всё доверие к устройству.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	–2 +/–
	Сообщение от Аноним (22), 16-Дек-23, 15:00
	Ничего не ломает, это твои какие-то измышлизмы. Как бэкапить то фразу?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+16 +/–
	Сообщение от kafka (?), 16-Дек-23, 15:59
	>>Как бэкапить то фразу? НА БУМАГЕ! поколение снежинок, мать вашу.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+1 +/–
	Сообщение от Sw00p aka Jerom (?), 16-Дек-23, 16:42
	им кто-то в уши залил, что хранить инфу на бумаге это не секурно :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+/–
	Сообщение от morphe (?), 16-Дек-23, 16:38
	> Ещё раз, наличие в прошивке холодного кошелька самой возможности передачи seed-фразы во вне ломает всё доверие к устройству. ~~Я возможно чот не понимаю, но для работы ledger recovery тебе нужно самому перегнать сид фразу в облако с его экрана, в прошивке нет возможности это автоматизировать?~~ Да, понял, не совсем так, оно на устройстве разбивает ключ, а затем приложение ledger live передаёт на устройство 3 приватных ключа, с которыми шифруются куски согласно маркетинговым материалам. Тогда действительно не круто
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	46. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+/–
	Сообщение от Аноним (-), 16-Дек-23, 18:37
	> полный провал в отношении к защите информации. Закрытый ключ должен только записываться > на этапе генерации в чип Secure Element, который должен быть чёрным ящиком, допускающим > только отдачу результатов подписывания ключом. Вопрос: а что нелох делает если чип скончался, девайс про@#$лся и тому подобное? А, ожесточенно выдирает волосы на всех местах где они растут?!
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	48. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+/–
	Сообщение от torvn77 (ok), 16-Дек-23, 21:24
	Не лох не будет держать основные деньги на аппаратном кошельке, он нужен для удобства текущих операций.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+2 +/–
	Сообщение от Аноним (51), 17-Дек-23, 00:06
	Нелох при начальной инициализации устройства переписывает новенькую сгенерированную сид-фразу на бумажку(-и) и прячет ее(их) в надежное место. Если ты каменщик - можешь высечь в граните (и закопать). Как вариант - сохраняешь в надежном (ха-ха, на свой страх и риск, если не боишься троянов на компе и уязвимостей в ПО) менеджере паролей и раскидываешь его зашифрованную БД по всяким гугл-дискам в надежде что квантовый компутер еще нескоро сможет это дело вскрыть. Потом у тебя этот девайс "скончался, про@#$лся и тому подобное" Тут варианты: - Просто покупаешь второе такое же устройство и там выбираешь не генерацию новой сид-фразы, а режим восстановления и вводишь старую сид-фразу. Все приватные ключи/адреса для разных блокчейнов остались на месте, прежними. - Используешь любой другой кошелек, _СОВМЕСТИМЫЙ_ со старым в котором тоже восстанавливаешь ключи по уже существующей сид-фразе. Насчет совместимости - там у них есть приколы что при одной и той же сид-фразе для одного и того же блокчейна могут генерироваться разные ключи/адреса из-за того, что разные кошельки могут использовать, грубо говоря, несовместимые "хвосты", "суффиксы" (derivation path) к сид-фразе. Вот такая "стандартизация". Например, для блокчейна Cardano (ADA) в программном кошельке Exodus derivation path это строка "m/44'/1815'/0'/0/0", а в кошельке TrustWallet - "m/1852'/1815'/0'/0/0". А итоговая пара ключей для конкретного блокчейна генерируется, условно, из "сид_фразы + derivation_path", что даже при одной и той же сид-фразе, но разных derivation path даст совершенно разные результаты (т.е. кошельки несовместимы с точки зрения сид-фраз, дадут разные пары ключей).
	Ответить \| Правка \| К родителю #46 \| Наверх \| Cообщить модератору