Új hozzászólás Aktív témák

• #2212 Penge_4 veterán bolbatiku #2209

  Új Válasz 2013-05-22 19:52:09 #2212

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Penge_4

  veterán

  válasz bolbatiku #2209 üzenetére

  "Bármennyire is biztonságos egy etárca, mindenképpen ad legalább egy új támadási lehetőséget ami a webes felületből adódik."

  Ha el is lopják a titkosított tárcafájlokat, mivel törik meg?

  Ha brute force-szal esnek neki, akkor meg először a blokklánc alapján sorba rendezik és azoknak esnek neki először, amiken a legnagyobb összegeket tárolják (a publikus kulcs alapján). Így azok lesznek veszélyben, akik rengeteget tárolnak 1-1 tárcában.

  "Mivel böngészőn keresztül jelentkezel be, a gyengeségeit kihasználva (pl XSS) megszerezhetik a szessönöd"

  Erre való a böngészőkiegészítő, ami jelez, ha bármi kompromittálódik az oldalon. És semmilyen JavaScriptet nem tölt le az oldalról.

  "azaz ha az egyik lapon be vagy jelentkezve az e-tárcádba a másikban meg rákattintasz egy linkre amit direkt erre a célra gyártottak, akkor a támadó át tudja venni az irányítást az etárcád felett."

  Ezért kell külön böngészőből futtatni. Nyilván a böngésző-sebezhetőségek ellen nem véd, de ez már megint csak kliensoldali probléma. Ilyen alapon telepítesz egy programot, amiben van egy backdoor, ami ellopja a wallet.dat-odat.

  "Meg az alias-okkal is volt probléma a blockchainnél, ha a támadó ismerte az aliast, akkor offline bruteforceolni tudta a jelszót."

  Ez valóban necces eset volt, de jelenleg ha csak aliast írsz be, akkor e-mailt küld, amivel megerősíted. E-mailben pedig kapod az IP-t és a User Agentet, amivel bepróbálkoztak.

  De itt is nyilván a gyakori neveket fogják végigpróbálni első körben, nem a random neveket speciális karakterekkel.

Új hozzászólás Aktív témák