Насколько безопасным является blockchain.info?

Насколько безопасно использовать кошелек на blockchain.info?

Как вы оцениваете разные сайты, предоставляющие кошельки?

26 голосов | спросил B Seven 2 52012vEurope/Moscow11bEurope/MoscowFri, 02 Nov 2012 05:20:28 +0400 2012, 05:20:28

1 ответ


31

Как оператор сайта, я постараюсь ответить на первый вопрос.

Сторона сервера

  • В настоящее время сайт работает на 4 выделенных серверах, размещенных в закрытом кабинете. Все серверы работают за специальным устройством безопасности cisco с обнаружением вторжений. На самих серверах различные «ловушки-ловушки» настроены на предупреждение веб-мастера, если обнаружено вторжение.

  • Java-код, развернутый на Сайте, развертывается в одном файле войны (zip). Каждый сервер контролирует контрольную сумму этого файла для обнаружения любых несанкционированных изменений кода. Чтобы сделать обратное проектирование наших схем шифрования более сложным, файлы классов java запутываются с помощью proguard.

  • Копия каждого кошелька хранится на всех наших серверах. Кроме того, последние 50 версий кошелька хранятся на Amazon S3 и могут быть восстановлены из раздела [Импорт /Экспорт].

  • Код на стороне сервера, который обрабатывает кошельки, с открытым исходным кодом .

  • Сайт не уязвим для запросов CSRF, поскольку никакие данные для входа или конфиденциальные данные никогда не сохраняются в кукисах сеансов.

  • За время работы Сайта было обнаружено несколько уязвимостей XSS. Ни одна из них не была на странице кошелька и не могла привести к какой-либо прямой потере средств.

Клиентская сторона

  • Сайт использует javascript для шифрования и расшифровки кошелька клиента в браузере пользователя. Шифрование выполняется с помощью AES-256 , который, вероятно, будет защищен в обозримом будущем.

    Кошельки - это просто json-файлы, содержащие личные ключи . Весь файл json зашифровывается браузером пользователей перед его загрузкой. Поэтому, когда кошелек достигает нашего сервера, он отображается как случайная строка Base64. Это означает, что мы не можем просматривать ваш баланс, видеть ваши транзакции или адреса и не можем совершать транзакции от вашего имени.

    Шифрование только так сильно, как пароль пользователя. Минимальная длина пароля составляет 10 символов, однако, если выбран слабый пароль, например. «1234567890», используя атаку словаря, кошелек, скорее всего, сломается быстро. Таблицы Rainbow не будут работать, поскольку каждый кошелек добавляется с уникальной солью в сочетании с паролем пользователей с использованием PBKDF2 для получения фактического ключа шифрования.

    Как все делается с помощью javascript на сайте, особенно уязвим для эксплойтов браузера, включая вредоносные расширения браузера. Современные веб-браузеры намного безопаснее, чем Internet Explorer 6 поколения.

  • Закрытые ключи в кошельке могут быть «дважды зашифрованы» с использованием второго пароля. Затем для входа требуется один пароль, а для отправки средств требуется еще один пароль. Это значительно усложняет работу с бумажниками, а также затрудняет регистрацию ключей.

  • Если наши серверы были скомпрометированы, злоумышленник может теоретически изменить файлы javascript, чтобы перехватить пароль пользователей при следующем входе в систему. Чтобы это было эффективно, атака должна была остаться незамеченной в течение длительного периода времени. В дополнение к проверкам на стороне сервера, которые мы выполняем, существует также Расширитель браузера My Wallet , который может быть дополнительно для дополнительной безопасности. Перед входом в систему он будет прозрачно проверять все файлы javascript на странице, соответствующие тем, которые размещены на github . Если обнаружены какие-либо ошибки, расширение не позволит пользователю войти в систему.

  • Вы можете создать резервную копию кошелька по электронной почте, Dropbox, Google Диску и загрузке. С резервными средствами можно получить доступ без blockchain.info с помощью многобитного настольного клиента .

  • Сайт поддерживает различные методы двухфакторной аутентификации и способность блокировать кошелек на конкретный IP-адрес. Мы не будем выдавать ваш кошелек всем, кто не может полностью аутентифицироваться, однако мы не можем помешать кому-либо использовать ваш кошелек, если они получат доступ к нему по-другому. Например, если вы сохраняете резервную копию кошелька в своей учетной записи электронной почты и это скомпрометировано.


У этого есть немного технического, но это непростой ответ. Есть много факторов, включая безопасность вашего собственного компьютера. Сайт работает уже более года и в настоящее время насчитывает около 40 000 кошельков. Были сообщения о некоторых отдельныхкошельки скомпрометированы (повторное использование паролей), но никаких серьезных инцидентов с безопасностью.

Наконец, несколько рекомендаций по использованию нашего сервиса:

  • После регистрации распечатайте «Бумажный кошелек», сохраните его где-нибудь в безопасности и скрытом.

  • Никогда не используйте один и тот же пароль на другом сайте. Или, если вы используете двойное шифрование, допустимо использовать немного более слабый главный пароль, но убедитесь, что второй пароль уникален.

  • Если хранение больших сумм генерирует закрытый ключ в автономном режиме ( bitaddress.org отлично подходит для этого) , Распечатайте его на бумажном кошельке, затем импортируйте адрес как адрес «Только часы». Когда вы пытаетесь потратить средства, вы можете отсканировать частный ключ с бумажного бумажника с помощью веб-камеры.

В будущем multisig будет доступен для еще большей безопасности, но это не Еще не готов.

-Бен

ответил Ben Reeves 3 62012vEurope/Moscow11bEurope/MoscowSat, 03 Nov 2012 17:56:10 +0400 2012, 17:56:10

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132