Pull to refresh

Comments 12

Начали с
Тот, кто достаточно глубоко разбирается в криптах, наверняка знает, что централизация, пусть даже и ради удобства пользователя, чревата потерей всех положительных свойств криптовалюты.


И свели все к
фронтенд Emercoin One работает на фреймворке Angular2 и спрятан за CloudFlare
и че? где тут децентрализация?

Разве у вас нет возможности перехватить «Spending Password» если это вам очень захочется?
Мне кажется, что статья не про MitM ;)
Тут речь идёт об одном из возможных вариантов кошелька — WEB-кошельке. Это как раз решение для «поколения WWW», которым лень ставить полный клиент.
А децентрализацию обеспечивают как раз таки полные клиенты (кошельки), которых подавляющее большинство.
Естественно, использование любого сервера, в том числе и E1, подразумевает доверие к этому серверу. Верите серверу — пользуйтесь. Не верите — скачивайте себе полную ноду, и будет Вам счастье с истинной децентрализацией.
Статья же фокусируется на архитектурных решениях, заложенных в основу WEB-версии кошелька, призванных минимизировать ущерб пользователей от возможных успешных атак на сервер.
Первые три автоматически масштабируемые настолько, насколько возможно, чтоб выдержать любую атаку.

Сильное заявление.
В какого бога нам верить?
В единственного, конечно.
Обычно компании, делающие заявления в духе «наш XXX — самый безопасный XXX» выглядят феерически тупо в глазах общественности при первом же публичном взломе их продуктов.

Судя по заголовку, вам не терпится почувствовать себя на их месте.

Что помешает вашему фронтэнду иногда, для специальных людей, выдавать небольшой отличающийся js, который будет spending password записывать и отправлять, куда надо?

Вероятно, автор имел в виду защиту не от провайдера облачной услуги, а от постороннего вмешательства.
фронтенд Emercoin One работает на фреймворке Angular2 и спрятан за CloudFlare
и какое это отношение имеет к безопасности?

физическое разделение компонентов Emercoin One на пять независимых серверов
Как это улучшает безопасность? Взломав фронтенд можно посмотреть куда он коннектится, и идти ломать дальше по цепочке — ровно то же делается если серверы физически не разделены, и нет никакой разницы внутренние у них IP или внешние

Проникнуть с сервера фронтенда в бэкенд тоже нельзя
если нельзя залогинится, то это не значит, что нельзя туда проникнуть и пошарить через API

Emercoin One проверяет пароли на слабость
круто…

Мне кажется более правильно было бы вообще запретить файрволом соединения из фронтенда в бакенд — пусть бакенд коннектится к фронтенду, и по бинарному TCP сам берет запросы и отправляет ответы. В этом случае взлом фронтенда сам по себе ничего бы не дал, и злоумышленнику пришлось бы поднимать модифицированный фронтенд, чтобы слать какие-нибудь injections в бакенд.
Любой кейлоггер написанный на коленке собирает ваш ароль аккаунта и пароль для траты средств. Пароли кстати очень круто проверяет — asdfgh123 съел без предупреждений. Безопасность! Надежная двухфакторная аутентификация? Не, не слышал.
как бы не хотелось установить пароль аккаунта и пароль для траты средств в заветные “qwerty”, система не даст такой возможности

Ну и пойдёт в пень. Так как ради банальной возможности пощупать придётся выдумывать/генерировать сложный пароль.

Ваша ЦА домохозяйки что ли? Люди, разбирающиеся в криптах, вполне осмысленно выбирают пароли. И если мне нужен разовый кошель на 30 секунд, то и «123» вполне сгодится.
Sign up to leave a comment.