forum.opennet.ru - "Компрометация NPM-репозитория Ledger привела к подстановке вредоносных изменений" (50)

"Компрометация NPM-репозитория Ledger привела к подстановке вредоносных изменений"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Компрометация NPM-репозитория Ledger привела к подстановке вредоносных изменений"	+/–
Сообщение от opennews (??), 16-Дек-23, 11:21
Компания Ledger, выпускающая одноимённые аппаратные криптокошельки, раскрыла информацию о компрометации своего NPM-репозитория, которая привела к внедрению вредоносного кода в JavaScript-библиотеку Ledger Connect Kit, применяемую для обеспечения доступа децентрализованных web-приложений к криптокошелькам. Злоумышленникам удалось выпустить фиктивные версии Connect Kit, в которые был встроен код, подставляющий обманные транзакции для перевода средств с криптокошелька жертвы... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60294
Ответить \| Правка \| Cообщить модератору

Оглавление

Хорошая работа , Аноним (1), 11:21 , 16-Дек-23, (1) +4
Ladger был одним из лучших холодных кошельков Был Пока они не придумали Ladg, Аноним (2), 11:26 , 16-Дек-23, (2) +4

Фраза восстановления леджера была доступна человеку с самого начала, при его нас, morphe (?), 12:42 , 16-Дек-23, (9)

Разница в том, что фраза восстановление раньше показывалась _только_ на ЖК-экран, Аноим (?), 13:02 , 16-Дек-23, (15) +2

Ничего не ломает, это твои какие-то измышлизмы Как бэкапить то фразу , Аноним (22), 15:00 , 16-Дек-23, (22) –2

НА БУМАГЕ поколение снежинок, мать вашу , kafka (?), 15:59 , 16-Дек-23, (33) +16

им кто-то в уши залил, что хранить инфу на бумаге это не секурно , Sw00p aka Jerom (?), 16:42 , 16-Дек-23, (40) +1

Я возможно чот не понимаю, но для работы ledger recovery тебе нужно самому пер, morphe (?), 16:38 , 16-Дек-23, (36)

Вопрос а что нелох делает если чип скончался, девайс про лся и тому подобное , Аноним (-), 18:37 , 16-Дек-23, (46)

Не лох не будет держать основные деньги на аппаратном кошельке, он нужен для удо, torvn77 (ok), 21:24 , 16-Дек-23, (48)
Нелох при начальной инициализации устройства переписывает новенькую сгенерирован, Аноним (51), 00:06 , 17-Дек-23, (51) +2

NeverAgain js и вот опять Они там с PyPI соревнуются, похоже , InuYasha (??), 11:30 , 16-Дек-23, (3)

NPM Нас не догонят , Аноним (10), 12:42 , 16-Дек-23, (10) +4

Лучшие практики смузи-разработки , Аноним (5), 11:43 , 16-Дек-23, (5) +2

Так поступают многие проекты через самостоятельное безусловное обновление , nox. (?), 12:40 , 16-Дек-23, (8) +1

Для смузихлебов новая версия - это как игрушка для собаки, у них сразу появляетс, Вы забыли заполнить поле Name (?), 12:46 , 16-Дек-23, (12) –2

Эти смузихлебы сейчас с нами Я тоже люблю новые версии, да и все любят, это тол, Аноним (22), 15:03 , 16-Дек-23, (23) –1

Говори за себя Я-то думал, профи должны относиться к новому с трезвой осторожнос, Аноним (41), 17:43 , 16-Дек-23, (41)
Молодец Сам диагноз определил Правда начал с ним спорить Но, все равно - это , Аноним (54), 04:55 , 17-Дек-23, (54)
Не-не-не, не знаю, как у вас - а у нас новые версии боятся-и-ненавидят - патамуч, User (??), 07:38 , 18-Дек-23, (57)

лучшие теоретики, блин, Аноним (-), 18:28 , 16-Дек-23, (44)

Переходим на Tangem Wallet , Аноним (-), 12:08 , 16-Дек-23, (7) +1

У него нет функции показа seed-а для создания резервной копии Если потеряешь по, Аноним (13), 12:54 , 16-Дек-23, (13)

не, рассиянцам доверия вообще нет, Ким Чен Ын (?), 13:01 , 16-Дек-23, (14)
лол,кек вы думаете где-то на белом свете позволят создавать милитари грейд устро, Sw00p aka Jerom (?), 14:55 , 16-Дек-23, (21)

Скрыто модератором, Аноним (-), 15:20 , 16-Дек-23, (28) +1
спасибо, поржал, Sw00p aka Jerom (?), 16:39 , 16-Дек-23, (38)

Чел, признайся, сколько триллионов долларов у тебя в кошельке , Аноним (22), 15:04 , 16-Дек-23, (24)
А что вы думаете про SafePal S1 , Аноним (-), 15:18 , 16-Дек-23, (27)

Неееет, такого не бывает Криптовалюта это надёжно и безопасно, никто не сможет , ИмяХ (ok), 13:31 , 16-Дек-23, (17)

Ну вообще обещали что злое государство не сможет украсть , Аноним (19), 13:42 , 16-Дек-23, (19)
А че, кто-то обещал безопасность , Аноним (22), 15:06 , 16-Дек-23, (26) +1
Так у тех кто всё делает правильно так безопасно и секюрно всё и есть , torvn77 (ok), 21:26 , 16-Дек-23, (49)

Только Bitcoin core, только hardcore , Аноним (29), 15:29 , 16-Дек-23, (29)
Крипта В качестве причин успеха атаки упоминается возможность публикации выпу, Kuromi (ok), 15:29 , 16-Дек-23, (30)

TOTP у вас ещё не изобрели , Вы забыли заполнить поле Name. (?), 15:50 , 16-Дек-23, (32) +1

Забыл про него упомянуть Но кстати не им единым мир живет, есть еще WebAuthn, Kuromi (ok), 16:30 , 16-Дек-23, (35)
Или U2F, torvn77 (ok), 21:27 , 16-Дек-23, (50)

А это сейчас де факто одно и тоже вернее, WebAuthn поглотил U2F и поддерживает , Kuromi (ok), 02:06 , 18-Дек-23, (56)

Скрыто модератором, Аноним (31), 15:46 , 16-Дек-23, (31) +1

Скрыто модератором, Аноним (34), 16:12 , 16-Дек-23, (34) +1

Скрыто модератором, Аноним (-), 16:41 , 16-Дек-23, (39)

Скрыто модератором, Аноним (41), 17:50 , 16-Дек-23, (43)

Скрыто модератором, Аноним (47), 20:51 , 16-Дек-23, (47)

Скрыто модератором, user90 (?), 03:27 , 17-Дек-23, (53)

Скрыто модератором, Аноним (-), 18:30 , 16-Дек-23, (45)

Хм Интересно, у них тоже было привычное AS IS в лицензии Ну и что никаких воз, Аноним (-), 16:39 , 16-Дек-23, (37)
Никогда не было и вот в очередной раз повторяется История никого не учит , noc101 (ok), 00:48 , 17-Дек-23, (52)

История учит тех, кто ее застал или хотя бы изучал Поколение смузихлебов открыв, Аноним (55), 13:30 , 17-Дек-23, (55) +1

Я не понимаю, почему на всех официальных сайтах криптовалют, даже мега приватног, Аноним (58), 08:46 , 21-Дек-23, (58)

Сообщения [Сортировка по времени | RSS]

1. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +4 +/–

Сообщение от Аноним (1), 16-Дек-23, 11:21

Хорошая работа.

Ответить | Правка | Наверх | Cообщить модератору

2. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +4 +/–

Сообщение от Аноним (2), 16-Дек-23, 11:26

Ladger был одним из лучших холодных кошельков. Был... Пока они не придумали Ladger Recovery, сервис для распределённого бэкапа seed-фразы в облачных хранилищах. Это полный провал в отношении к защите информации. Закрытый ключ должен только записываться на этапе генерации в чип Secure Element, который должен быть чёрным ящиком, допускающим только отдачу результатов подписывания ключом. Если предусмотрена возможность передачи во вне seed-фразы для резервного копирования, о какой безопасности может идти речь? Если есть возможность программно выгрузить seed, то значит подобный запрос выгрузки можно симулировать во вредоносном ПО.

Ответить | Правка | Наверх | Cообщить модератору

9. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от morphe (?), 16-Дек-23, 12:42

Фраза восстановления леджера была доступна человеку с самого начала, при его настройке же нужно записать 24 слова, а это ключ и есть (bip39), и именно его предлагает бекапить на сервисе.
Более того, для бекапа этот самый секретный ключ и надо вводить, с леджера его в таком виде не извлечь.
Однако да, это неправильно что у леджера в принципе ключ при настройке наружу сообщается, что в то же время возможно и хорошо, учитывая насколько кривой у него внутри код. Так хоть в случае чего можно руками приватные ключи восстановить.

Ответить | Правка | Наверх | Cообщить модератору

15. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +2 +/–

Сообщение от Аноим (?), 16-Дек-23, 13:02

> Фраза восстановления леджера была доступна человеку с самого начала, при его настройке же нужно
> записать 24 слова, а это ключ и есть (bip39), и именно его предлагает бекапить на сервисе.
Разница в том, что фраза восстановление раньше показывалась _только_ на ЖК-экране леджера и _не_выходила_ за пределы устройства. Ladger Recovery бэкапит фразу восстановления на _внешних_ облаках, что подразумевает то, что фраза перед разделением на части будет передана на сторону приложения Lender Live и на сервер компании Ladger, а не останется только внутри устройства. Ещё раз, наличие в прошивке холодного кошелька самой возможности передачи seed-фразы во вне ломает всё доверие к устройству.

Ответить | Правка | Наверх | Cообщить модератору

22. "Компрометация NPM-репозитория Ledger привела к подстановке в..." –2 +/–

Сообщение от Аноним (22), 16-Дек-23, 15:00

Ничего не ломает, это твои какие-то измышлизмы. Как бэкапить то фразу?

Ответить | Правка | Наверх | Cообщить модератору

33. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +16 +/–

Сообщение от kafka (?), 16-Дек-23, 15:59

>>Как бэкапить то фразу?
НА БУМАГЕ!
поколение снежинок, мать вашу.

Ответить | Правка | Наверх | Cообщить модератору

40. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +1 +/–

Сообщение от Sw00p aka Jerom (?), 16-Дек-23, 16:42

им кто-то в уши залил, что хранить инфу на бумаге это не секурно :)

Ответить | Правка | Наверх | Cообщить модератору

36. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от morphe (?), 16-Дек-23, 16:38

> Ещё раз, наличие в прошивке холодного кошелька самой возможности передачи seed-фразы во вне ломает всё доверие к устройству.
~~Я возможно чот не понимаю, но для работы ledger recovery тебе нужно самому перегнать сид фразу в облако с его экрана, в прошивке нет возможности это автоматизировать?~~
Да, понял, не совсем так, оно на устройстве разбивает ключ, а затем приложение ledger live передаёт на устройство 3 приватных ключа, с которыми шифруются куски согласно маркетинговым материалам. Тогда действительно не круто

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

46. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от Аноним (-), 16-Дек-23, 18:37

> полный провал в отношении к защите информации. Закрытый ключ должен только записываться
> на этапе генерации в чип Secure Element, который должен быть чёрным ящиком, допускающим
> только отдачу результатов подписывания ключом.
Вопрос: а что нелох делает если чип скончался, девайс про@#$лся и тому подобное? А, ожесточенно выдирает волосы на всех местах где они растут?!

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

48. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от torvn77 (ok), 16-Дек-23, 21:24

Не лох не будет держать основные деньги на аппаратном кошельке, он нужен для удобства текущих операций.

Ответить | Правка | Наверх | Cообщить модератору

51. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +2 +/–

Сообщение от Аноним (51), 17-Дек-23, 00:06

Нелох при начальной инициализации устройства переписывает новенькую сгенерированную сид-фразу на бумажку(-и) и прячет ее(их) в надежное место. Если ты каменщик - можешь высечь в граните (и закопать). Как вариант - сохраняешь в надежном (ха-ха, на свой страх и риск, если не боишься троянов на компе и уязвимостей в ПО) менеджере паролей и раскидываешь его зашифрованную БД по всяким гугл-дискам в надежде что квантовый компутер еще нескоро сможет это дело вскрыть.
Потом у тебя этот девайс "скончался, про@#$лся и тому подобное"
Тут варианты:
- Просто покупаешь второе такое же устройство и там выбираешь не генерацию новой сид-фразы, а режим восстановления и вводишь старую сид-фразу. Все приватные ключи/адреса для разных блокчейнов остались на месте, прежними.
- Используешь любой другой кошелек, _СОВМЕСТИМЫЙ_ со старым в котором тоже восстанавливаешь ключи по уже существующей сид-фразе. Насчет совместимости - там у них есть приколы что при одной и той же сид-фразе для одного и того же блокчейна могут генерироваться разные ключи/адреса из-за того, что разные кошельки могут использовать, грубо говоря, несовместимые "хвосты", "суффиксы" (derivation path) к сид-фразе. Вот такая "стандартизация".
Например, для блокчейна Cardano (ADA) в программном кошельке Exodus derivation path это строка "m/44'/1815'/0'/0/0", а в кошельке TrustWallet - "m/1852'/1815'/0'/0/0". А итоговая пара ключей для конкретного блокчейна генерируется, условно, из "сид_фразы + derivation_path", что даже при одной и той же сид-фразе, но разных derivation path даст совершенно разные результаты (т.е. кошельки несовместимы с точки зрения сид-фраз, дадут разные пары ключей).

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

3. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от InuYasha (??), 16-Дек-23, 11:30

NeverAgain.js ...и вот опять. Они там с PyPI соревнуются, похоже.

Ответить | Правка | Наверх | Cообщить модератору

10. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +4 +/–

Сообщение от Аноним (10), 16-Дек-23, 12:42

NPM : Нас не догонят!

Ответить | Правка | Наверх | Cообщить модератору

5. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +2 +/–

Сообщение от Аноним (5), 16-Дек-23, 11:43

> В качестве причин успеха атаки упоминается возможность публикации выпусков без прохождения двухфакторной аутентификации, оставление прав доступа у уволенного сотрудника и использование сети доставки контента, не позволяющей привязаться к конкретной проверенной версии библиотеки (приложения всегда использовали самую свежую версию).
Лучшие практики смузи-разработки.

Ответить | Правка | Наверх | Cообщить модератору

8. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +1 +/–

Сообщение от nox. (?), 16-Дек-23, 12:40

> приложения всегда использовали самую свежую версию
Так поступают многие проекты через самостоятельное безусловное обновление.

Ответить | Правка | Наверх | Cообщить модератору

12. "Компрометация NPM-репозитория Ledger привела к подстановке в..." –2 +/–

Сообщение от Вы забыли заполнить поле Name (?), 16-Дек-23, 12:46

Для смузихлебов новая версия - это как игрушка для собаки, у них сразу появляется слюноотделение, учащается сердцебиение и желание совершать движения.
Смотришь на некоторые проекты, а там только комитет от бота, который араки зависимости.

Ответить | Правка | Наверх | Cообщить модератору

23. "Компрометация NPM-репозитория Ledger привела к подстановке в..." –1 +/–

Сообщение от Аноним (22), 16-Дек-23, 15:03

Эти смузихлебы сейчас с нами? Я тоже люблю новые версии, да и все любят, это только совсем дединсайдам пофиг. Не надо подменять понятие профнепригодности.

Ответить | Правка | Наверх | Cообщить модератору

41. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от Аноним (41), 16-Дек-23, 17:43

> Я тоже люблю новые версии, да и все любят
Говори за себя.
> это только совсем дединсайдам пофиг
Я-то думал, профи должны относиться к новому с трезвой осторожностью, а не визжать как девочки. Результаты непофигизма "весёлой хипстоты-инсайд" - в посте.

Ответить | Правка | Наверх | Cообщить модератору

54. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от Аноним (54), 17-Дек-23, 04:55

> Не надо подменять понятие профнепригодности.
Молодец! Сам диагноз определил. Правда начал с ним спорить. Но, все равно - это уже успех!

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

57. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от User (??), 18-Дек-23, 07:38

Не-не-не, не знаю, как у вас - а у нас новые версии боятся-и-ненавидят - патамучта нельзя же вот так просто - взять и не переломать все нах..., пардон, УЛУЧШИТЬ, правда? Пацаны-не-поймут, спросят "нафиг обновлял?!" тогда.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

44. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от Аноним (-), 16-Дек-23, 18:28

> Лучшие практики
лучшие теоретики, блин

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

7. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +1 +/–

Сообщение от Аноним (-), 16-Дек-23, 12:08

Переходим на Tangem Wallet.

Ответить | Правка | Наверх | Cообщить модератору

13. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от Аноним (13), 16-Дек-23, 12:54

> Переходим на Tangem Wallet.
У него нет функции показа seed-а для создания резервной копии. Если потеряешь/поломаешь имеющиеся карты, деньги не восстановить. Еще непонятно как там синхронизация и генерация ключа работает, сказано, что ключ генерируется на каждой карте, но при этом есть возможность привязывать/синхронизировать дополнительные карты, значит программа может извлекать ключи или seed не такой рандомный как заявлено, очень сомнительно в плане безопасности. Где на карте берётся энтропия для генератора случайных чисел? В Ledger в энтропия формируется на основе задержек при нажатии клавиш на брелоке, а в Tangem где взять внешний шум? К тому же мутное происхождение, бренд зарегистрирован в Швейцарии, а по факту владельцы бизнеса россияне.

Ответить | Правка | Наверх | Cообщить модератору

14. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от Ким Чен Ын (?), 16-Дек-23, 13:01

не, рассиянцам доверия вообще нет

Ответить | Правка | Наверх | Cообщить модератору

21. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от Sw00p aka Jerom (?), 16-Дек-23, 14:55

>бренд зарегистрирован в Швейцарии
лол,кек вы думаете где-то на белом свете позволят создавать милитари грейд устройсва защиты информации, темболее в указанной стране?
у вашего это леджера темпер протекшен хоть имеется?

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

28. Скрыто модератором +1 +/–

Сообщение от Аноним (-), 16-Дек-23, 15:20

Создал тебе GNUK, пользуйся.

Ответить | Правка | Наверх | Cообщить модератору

38. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от Sw00p aka Jerom (?), 16-Дек-23, 16:39

>Создал тебе GNUK, пользуйся.
спасибо, поржал

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

24. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от Аноним (22), 16-Дек-23, 15:04

Чел, признайся, сколько триллионов долларов у тебя в кошельке?

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

27. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от Аноним (-), 16-Дек-23, 15:18

А что вы думаете про SafePal S1?

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

17. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от ИмяХ (ok), 16-Дек-23, 13:31

Неееет, такого не бывает! Криптовалюта это надёжно и безопасно, никто не сможет украсть ваши деньги, всё зашифровано так, что нужен квантовый компьютер размером с планету, чтобы его взломать.

Ответить | Правка | Наверх | Cообщить модератору

19. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от Аноним (19), 16-Дек-23, 13:42

Ну вообще обещали что злое государство не сможет украсть.

Ответить | Правка | Наверх | Cообщить модератору

26. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +1 +/–

Сообщение от Аноним (22), 16-Дек-23, 15:06

А че, кто-то обещал безопасность?

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

49. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от torvn77 (ok), 16-Дек-23, 21:26

Так у тех кто всё делает правильно так безопасно и секюрно всё и есть.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

29. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от Аноним (29), 16-Дек-23, 15:29

Только Bitcoin core, только hardcore.

Ответить | Правка | Наверх | Cообщить модератору

30. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от Kuromi (ok), 16-Дек-23, 15:29

Крипта + "В качестве причин успеха атаки упоминается возможность публикации выпусков без прохождения двухфакторной аутентификации" = замечательная безопасность.
Знаю что сейчас в комменты набегут товарищи которые думают что двухфакторка = смс = палево по номеру телефона, но по вашему возможность тыринга крипты через "троян" в официальном софте это нормально?

Ответить | Правка | Наверх | Cообщить модератору

32. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +1 +/–

Сообщение от Вы забыли заполнить поле Name. (?), 16-Дек-23, 15:50

TOTP у вас ещё не изобрели?

Ответить | Правка | Наверх | Cообщить модератору

35. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от Kuromi (ok), 16-Дек-23, 16:30

> TOTP у вас ещё не изобрели?
Забыл про него упомянуть. Но кстати не им единым мир живет, есть еще WebAuthn

Ответить | Правка | Наверх | Cообщить модератору

50. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от torvn77 (ok), 16-Дек-23, 21:27

Или U2F

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

56. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от Kuromi (ok), 18-Дек-23, 02:06

> Или U2F
А это сейчас де факто одно и тоже (вернее, WebAuthn поглотил U2F и поддерживает устройства с ним). Как таковую поддержку именно U2F из того же ФФ уже вырезали.

Ответить | Правка | Наверх | Cообщить модератору

31. Скрыто модератором +1 +/–

Сообщение от Аноним (31), 16-Дек-23, 15:46

Пользователи JS должны страдать.

Ответить | Правка | Наверх | Cообщить модератору

34. Скрыто модератором +1 +/–

Сообщение от Аноним (34), 16-Дек-23, 16:12

Пользователи %s должны страдать.
Такова уж их судьбинушка...
Пора бы уже сделать шаблоны типовых комментариев и выдавать квоты, а может быть даже продавать за ту же крипту.

Ответить | Правка | Наверх | Cообщить модератору

39. Скрыто модератором +/–

Сообщение от Аноним (-), 16-Дек-23, 16:41

> Пользователи %s должны страдать.
> Пора бы уже сделать шаблоны типовых комментариев
Давай уже упростим до "Пользователи должны страдать" что опишет практически все IT.
Или шагнем дальше да "должны страдать" и закроем эту тему))

Ответить | Правка | Наверх | Cообщить модератору

43. Скрыто модератором +/–

Сообщение от Аноним (41), 16-Дек-23, 17:50

Страдать!

Ответить | Правка | Наверх | Cообщить модератору

47. Скрыто модератором +/–

Сообщение от Аноним (47), 16-Дек-23, 20:51

Зачем?

Ответить | Правка | Наверх | Cообщить модератору

53. Скрыто модератором +/–

Сообщение от user90 (?), 17-Дек-23, 03:27

Прогроммист 1с :)
В гугле не искал, а то..

Ответить | Правка | Наверх | Cообщить модератору

45. Скрыто модератором +/–

Сообщение от Аноним (-), 16-Дек-23, 18:30

Да вот что-то у js писателей/пользователей выходит особенно упоротая судьбинушка, т.ч. ничего типового здесь нет.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

37. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от Аноним (-), 16-Дек-23, 16:39

Хм... Интересно, у них тоже было привычное AS IS в лицензии?
Ну и что никаких возмещений за кривой код.

Ответить | Правка | Наверх | Cообщить модератору

52. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от noc101 (ok), 17-Дек-23, 00:48

Никогда не было и вот в очередной раз повторяется. История никого не учит.

Ответить | Правка | Наверх | Cообщить модератору

55. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +1 +/–

Сообщение от Аноним (55), 17-Дек-23, 13:30

История учит тех, кто ее застал или хотя бы изучал. Поколение смузихлебов открывает для себя все заново.

Ответить | Правка | Наверх | Cообщить модератору

58. "Компрометация NPM-репозитория Ledger привела к подстановке в..." +/–

Сообщение от Аноним (58), 21-Дек-23, 08:46

Я не понимаю, почему на всех официальных сайтах криптовалют, даже мега приватного монеро, рекомендуют использовать холодные проприетарные аппаратные кошельки, вроде Ledger. Им за это платят? Там же закрытая прошивка в них и простор для вставки закладок просто неограниченный, даже необязательно, что у вас сид фразы украдут, могут просто при подключении к компу связывать ваш айпи, с вашим кошельком и отправлять эту информацию кому надо

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+4 +/–
Сообщение от Аноним (1), 16-Дек-23, 11:21
Хорошая работа.
Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+4 +/–
Сообщение от Аноним (2), 16-Дек-23, 11:26
Ladger был одним из лучших холодных кошельков. Был... Пока они не придумали Ladger Recovery, сервис для распределённого бэкапа seed-фразы в облачных хранилищах. Это полный провал в отношении к защите информации. Закрытый ключ должен только записываться на этапе генерации в чип Secure Element, который должен быть чёрным ящиком, допускающим только отдачу результатов подписывания ключом. Если предусмотрена возможность передачи во вне seed-фразы для резервного копирования, о какой безопасности может идти речь? Если есть возможность программно выгрузить seed, то значит подобный запрос выгрузки можно симулировать во вредоносном ПО.
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+/–
	Сообщение от morphe (?), 16-Дек-23, 12:42
	Фраза восстановления леджера была доступна человеку с самого начала, при его настройке же нужно записать 24 слова, а это ключ и есть (bip39), и именно его предлагает бекапить на сервисе. Более того, для бекапа этот самый секретный ключ и надо вводить, с леджера его в таком виде не извлечь. Однако да, это неправильно что у леджера в принципе ключ при настройке наружу сообщается, что в то же время возможно и хорошо, учитывая насколько кривой у него внутри код. Так хоть в случае чего можно руками приватные ключи восстановить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+2 +/–
	Сообщение от Аноим (?), 16-Дек-23, 13:02
	> Фраза восстановления леджера была доступна человеку с самого начала, при его настройке же нужно > записать 24 слова, а это ключ и есть (bip39), и именно его предлагает бекапить на сервисе. Разница в том, что фраза восстановление раньше показывалась _только_ на ЖК-экране леджера и _не_выходила_ за пределы устройства. Ladger Recovery бэкапит фразу восстановления на _внешних_ облаках, что подразумевает то, что фраза перед разделением на части будет передана на сторону приложения Lender Live и на сервер компании Ladger, а не останется только внутри устройства. Ещё раз, наличие в прошивке холодного кошелька самой возможности передачи seed-фразы во вне ломает всё доверие к устройству.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	–2 +/–
	Сообщение от Аноним (22), 16-Дек-23, 15:00
	Ничего не ломает, это твои какие-то измышлизмы. Как бэкапить то фразу?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+16 +/–
	Сообщение от kafka (?), 16-Дек-23, 15:59
	>>Как бэкапить то фразу? НА БУМАГЕ! поколение снежинок, мать вашу.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+1 +/–
	Сообщение от Sw00p aka Jerom (?), 16-Дек-23, 16:42
	им кто-то в уши залил, что хранить инфу на бумаге это не секурно :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+/–
	Сообщение от morphe (?), 16-Дек-23, 16:38
	> Ещё раз, наличие в прошивке холодного кошелька самой возможности передачи seed-фразы во вне ломает всё доверие к устройству. ~~Я возможно чот не понимаю, но для работы ledger recovery тебе нужно самому перегнать сид фразу в облако с его экрана, в прошивке нет возможности это автоматизировать?~~ Да, понял, не совсем так, оно на устройстве разбивает ключ, а затем приложение ledger live передаёт на устройство 3 приватных ключа, с которыми шифруются куски согласно маркетинговым материалам. Тогда действительно не круто
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	46. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+/–
	Сообщение от Аноним (-), 16-Дек-23, 18:37
	> полный провал в отношении к защите информации. Закрытый ключ должен только записываться > на этапе генерации в чип Secure Element, который должен быть чёрным ящиком, допускающим > только отдачу результатов подписывания ключом. Вопрос: а что нелох делает если чип скончался, девайс про@#$лся и тому подобное? А, ожесточенно выдирает волосы на всех местах где они растут?!
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	48. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+/–
	Сообщение от torvn77 (ok), 16-Дек-23, 21:24
	Не лох не будет держать основные деньги на аппаратном кошельке, он нужен для удобства текущих операций.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+2 +/–
	Сообщение от Аноним (51), 17-Дек-23, 00:06
	Нелох при начальной инициализации устройства переписывает новенькую сгенерированную сид-фразу на бумажку(-и) и прячет ее(их) в надежное место. Если ты каменщик - можешь высечь в граните (и закопать). Как вариант - сохраняешь в надежном (ха-ха, на свой страх и риск, если не боишься троянов на компе и уязвимостей в ПО) менеджере паролей и раскидываешь его зашифрованную БД по всяким гугл-дискам в надежде что квантовый компутер еще нескоро сможет это дело вскрыть. Потом у тебя этот девайс "скончался, про@#$лся и тому подобное" Тут варианты: - Просто покупаешь второе такое же устройство и там выбираешь не генерацию новой сид-фразы, а режим восстановления и вводишь старую сид-фразу. Все приватные ключи/адреса для разных блокчейнов остались на месте, прежними. - Используешь любой другой кошелек, _СОВМЕСТИМЫЙ_ со старым в котором тоже восстанавливаешь ключи по уже существующей сид-фразе. Насчет совместимости - там у них есть приколы что при одной и той же сид-фразе для одного и того же блокчейна могут генерироваться разные ключи/адреса из-за того, что разные кошельки могут использовать, грубо говоря, несовместимые "хвосты", "суффиксы" (derivation path) к сид-фразе. Вот такая "стандартизация". Например, для блокчейна Cardano (ADA) в программном кошельке Exodus derivation path это строка "m/44'/1815'/0'/0/0", а в кошельке TrustWallet - "m/1852'/1815'/0'/0/0". А итоговая пара ключей для конкретного блокчейна генерируется, условно, из "сид_фразы + derivation_path", что даже при одной и той же сид-фразе, но разных derivation path даст совершенно разные результаты (т.е. кошельки несовместимы с точки зрения сид-фраз, дадут разные пары ключей).
	Ответить \| Правка \| К родителю #46 \| Наверх \| Cообщить модератору

3. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+/–
Сообщение от InuYasha (??), 16-Дек-23, 11:30
NeverAgain.js ...и вот опять. Они там с PyPI соревнуются, похоже.
Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+4 +/–
	Сообщение от Аноним (10), 16-Дек-23, 12:42
	NPM : Нас не догонят!
	Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+2 +/–
Сообщение от Аноним (5), 16-Дек-23, 11:43
> В качестве причин успеха атаки упоминается возможность публикации выпусков без прохождения двухфакторной аутентификации, оставление прав доступа у уволенного сотрудника и использование сети доставки контента, не позволяющей привязаться к конкретной проверенной версии библиотеки (приложения всегда использовали самую свежую версию). Лучшие практики смузи-разработки.
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+1 +/–
	Сообщение от nox. (?), 16-Дек-23, 12:40
	> приложения всегда использовали самую свежую версию Так поступают многие проекты через самостоятельное безусловное обновление.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	–2 +/–
	Сообщение от Вы забыли заполнить поле Name (?), 16-Дек-23, 12:46
	Для смузихлебов новая версия - это как игрушка для собаки, у них сразу появляется слюноотделение, учащается сердцебиение и желание совершать движения. Смотришь на некоторые проекты, а там только комитет от бота, который араки зависимости.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	–1 +/–
	Сообщение от Аноним (22), 16-Дек-23, 15:03
	Эти смузихлебы сейчас с нами? Я тоже люблю новые версии, да и все любят, это только совсем дединсайдам пофиг. Не надо подменять понятие профнепригодности.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+/–
	Сообщение от Аноним (41), 16-Дек-23, 17:43
	> Я тоже люблю новые версии, да и все любят Говори за себя. > это только совсем дединсайдам пофиг Я-то думал, профи должны относиться к новому с трезвой осторожностью, а не визжать как девочки. Результаты непофигизма "весёлой хипстоты-инсайд" - в посте.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	54. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+/–
	Сообщение от Аноним (54), 17-Дек-23, 04:55
	> Не надо подменять понятие профнепригодности. Молодец! Сам диагноз определил. Правда начал с ним спорить. Но, все равно - это уже успех!
	Ответить \| Правка \| К родителю #23 \| Наверх \| Cообщить модератору


	57. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+/–
	Сообщение от User (??), 18-Дек-23, 07:38
	Не-не-не, не знаю, как у вас - а у нас новые версии боятся-и-ненавидят - патамучта нельзя же вот так просто - взять и не переломать все нах..., пардон, УЛУЧШИТЬ, правда? Пацаны-не-поймут, спросят "нафиг обновлял?!" тогда.
	Ответить \| Правка \| К родителю #23 \| Наверх \| Cообщить модератору


	44. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+/–
	Сообщение от Аноним (-), 16-Дек-23, 18:28
	> Лучшие практики лучшие теоретики, блин
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору

7. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+1 +/–
Сообщение от Аноним (-), 16-Дек-23, 12:08
Переходим на Tangem Wallet.
Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+/–
	Сообщение от Аноним (13), 16-Дек-23, 12:54
	> Переходим на Tangem Wallet. У него нет функции показа seed-а для создания резервной копии. Если потеряешь/поломаешь имеющиеся карты, деньги не восстановить. Еще непонятно как там синхронизация и генерация ключа работает, сказано, что ключ генерируется на каждой карте, но при этом есть возможность привязывать/синхронизировать дополнительные карты, значит программа может извлекать ключи или seed не такой рандомный как заявлено, очень сомнительно в плане безопасности. Где на карте берётся энтропия для генератора случайных чисел? В Ledger в энтропия формируется на основе задержек при нажатии клавиш на брелоке, а в Tangem где взять внешний шум? К тому же мутное происхождение, бренд зарегистрирован в Швейцарии, а по факту владельцы бизнеса россияне.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+/–
	Сообщение от Ким Чен Ын (?), 16-Дек-23, 13:01
	не, рассиянцам доверия вообще нет
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+/–
	Сообщение от Sw00p aka Jerom (?), 16-Дек-23, 14:55
	>бренд зарегистрирован в Швейцарии лол,кек вы думаете где-то на белом свете позволят создавать милитари грейд устройсва защиты информации, темболее в указанной стране? у вашего это леджера темпер протекшен хоть имеется?
	Ответить \| Правка \| К родителю #13 \| Наверх \| Cообщить модератору


	28. Скрыто модератором	+1 +/–
	Сообщение от Аноним (-), 16-Дек-23, 15:20
	Создал тебе GNUK, пользуйся.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+/–
	Сообщение от Sw00p aka Jerom (?), 16-Дек-23, 16:39
	>Создал тебе GNUK, пользуйся. спасибо, поржал
	Ответить \| Правка \| К родителю #21 \| Наверх \| Cообщить модератору


	24. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+/–
	Сообщение от Аноним (22), 16-Дек-23, 15:04
	Чел, признайся, сколько триллионов долларов у тебя в кошельке?
	Ответить \| Правка \| К родителю #13 \| Наверх \| Cообщить модератору


	27. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+/–
	Сообщение от Аноним (-), 16-Дек-23, 15:18
	А что вы думаете про SafePal S1?
	Ответить \| Правка \| К родителю #13 \| Наверх \| Cообщить модератору

17. "Компрометация NPM-репозитория Ledger привела к подстановке в..."	+/–
Сообщение от ИмяХ (ok), 16-Дек-23, 13:31
Неееет, такого не бывает! Криптовалюта это надёжно и безопасно, никто не сможет украсть ваши деньги, всё зашифровано так, что нужен квантовый компьютер размером с планету, чтобы его взломать.
Ответить \| Правка \| Наверх \| Cообщить модератору