@romapush, вот как раз через точки входа (морду) достать ключики юзверя не представляет ни какого труда.
RE: Экономика GolosClassic в ожидании форка
Вы читаете одну нить комментариев от:
Экономика GolosClassic в ожидании форка
Вам может быть интересно
@investigator, дискуссия куда-то не в то русло уходит. Скандалы и расследования — это самое интересное, но я последний человек в проекте, с которым можно говорить о каких-то уязвимостях, поскольку ничего в этом не смыслю и сам бывало становился жертвой махинаций. :)
Среди инициаторов форка добрая половина как раз технари и гики: @ropox, @blockchained, @on0tole и др. Уж они-то не допустят утечки, я думаю.
@romapush вполне в то русло уходит дискуссия.
Это именно то, о чем я уже говорил раньше. Юзеры радостно кинулись вводить приватные ключи от своих кошельков на непонятном сайте, сделанном человеком с непонятной репутацией.
@svamiva
Хм...Привык доверять твоим суждениям, как и @investigator Инвестигатору и @now Нау. Репутация инициаторов- это часто их ахиллесова пята, особенно на Голосе.
Но ведь в этом конкретном случае вводится не приватник, а только лишь постинг ключ. Неужели и через него гипотетические злоумышленники, хакеры могут увести аккаунт?
@bammbuss, ты не поверишь, но юзвери умудряются свои приватные мастер-ключи даже в мемо к переводу на биржу вбивать :)
@investigator
Рома так попал, и он с нормальной самоиронией об этом пишет. Со всяким может случиться. Я несколько про другое- не про косяк юзера. А про теореческую возможность хака приватника через постинг ключ со стороны разраба.
@bammbuss, хакнуть можно всё ,что даже кажется теоретически невозможным.
Да и речь идёт не о конкретном виде ключа, а о принципе: не твоё - не трожь.
Конечно, приват-постинг не даёт доступ к кошельку, но от этого нисколько не безопасней, если репутационная составляющая кодеров допущенных к кишкам морды уже неблаговидна.
@investigator
Да уж...Началось в колхозе утро(((
@bammbuss уж да...
@investigator, у меня на одном моём сайте юзерам надо для входа в кабинет вводить свой емайл. Что они там только не вводили! Пришлось даже рядом с полем ввода емайла написать просьбу о том, чтобы в этом поле вводили только емайл и не вводили свои юридические адреса, адреса офисов, названия улиц и номера домов. :-)
@investigator, у меня один раз такое было... Хорошо, что добрые люди увидели первее нехороших ))
А ты посмотри в предыдущем посте, как там Майкл радуется, что его пароль от Стимит подходит везде)
Уверен, что он далеко не единственный, кто всегда пользуется главным паролем, не заморачиваясь никакими ключами.
Также уверен, что кто то уже "протестировал, как на новой морде работают переводы" - введя свой активный ключ.
@svamiva
Майкл или Мгафт программист, он профи. Воспринял его всюду подходящий мастер-ключ от Стимита как шутку.
@bammbuss да какая шутка, просто ему реально пофиг на $50 или сколько там у него есть.
А для кого то это будет трагедией, "не смог купить подарок на ДР любимой девушке")
@svamiva
Доверять и не нужно, все куда проще:
@on0tole ну и проводил кто то аудит этого кода ?
Кстати, еще интересный вопрос. У большинства юзеров аккаунтом-регистратором является @cyberfounder
Значит ли это, что опция "восстановления доступа к утраченному аккаунту" для них после форка будет потеряна ?
@svamiva, в коде есть замена рекавери аккаунта...
@svamiva я не проводил, а ты? а аудит морды golos.io? а даже если и проводил, откуда ты знаешь, что морда через которую ты сидишь собрана из этих исходников?
Тем не менее код открыт, его можно проверить, или нанять тех кто сможет проверить, и конечно собрать самому, поднять свою ноду, и работать через нее, а иначе как (без доверия).
@on0tole а давай поставим вопрос так, зачем вообще нужна морда, если все такие продвинутые, что каждый сам поднял свою ноду ?
@on0tole, значит вопрос "доверия" - "десктоп" приложение :)
@svamiva, вы читали триллер о mapale? У меня, как у миноритарного инвестора, есть куча вопросов как раз к основателям, а не к стрелочнику. Пусть объяснят куда пропал почти миллион долларов в ценах BTC на начало 2018 года, а не призывают к травле наёмного разработчика.
Далее:
@romapush, так вы точно репутацию растеряете...
Передёргивание - это инструментарий с очень неприятным запашком.
Если "вор украл у вора", то он не перестает быть "вором".
@romapush, бум поглядеть :)
Ну, а вообще - прецедент, озвученный @lehard, это не гут для репутации проекта на старте. Давно же избито: потерять оную - как два пальца об асфальт.
@investigator, вот под эту идею https://golos.id/mapala/@mapala/-poekhali--opyt-mapalanet-po-zapusku-svoego-saijta-na-blokcheijnakh-golossteem был организован сбор средств. Чем всё закончилось можно прочесть тут https://golos.io/ru--startap/@lehard/est-kto-zhivoi
Учитывая вышеизложенное, вопросы могут быть скорее к фротменам проекта: @lehard, @uralresp и @dark.sun. Они были фаундерами: СЕО, СОО и архитектор. Выводы пускай каждый сделает сам.
Я вовсе не собираюсь выступать каким-то экскурсоводом во всей этой запутанной истории. Тем более, не в моих правилах давать людям и их поступкам оценочные суждения.
@investigator рукалицо. всё в общем как обычно)))
@urirexroth, мордаасфальт :)