Re: [Coin] Coinomi錢包支援XMR和安全性爭議

看板DigiCurrency (數位貨幣)作者ProtectChu56 (Eric P. Chu)時間5年前 (2019/03/01 22:19)推噓2(3推 1噓 1→)

留言5則, 4人參與討論串1/1

※ 引述《ProtectChu56 (Eric P. Chu)》之銘言： : 講重點： : 1.Coinomi最近版本正式支援XMR了 : 2.Coinomi被某些國外鄉民指控有嚴重安全性漏洞，且聲稱已被盜 : 第2點真假不明，請版上高手評論。 : 討論串： : https://twitter.com/lukechilds/status/1100613365850767360?s=21 : http://tinyurl.com/y3cthhe5 : 以我看的似懂非懂，大意是有人拍影片指控桌面客戶端的Coinomi : 會在輸入階段，透過Googles remote spellchecker API : 發送seed phrase出去 : 這會導致google員工可以知道你的種子短語，而原始作者聲稱因此已經被盜 : 這聽起來很恐怖，而手機客戶端由於是閉源，是否存在相同漏洞？ Coinomi的官方回應出來了： https://medium.com/coinomi/official-statement-on-spell-check-findings-547ca348676b 縮 http://tinyurl.com/y496y86v 畫重點： 1.該拼字檢查是https傳輸，非明文。 2.該發送到Google API的拼寫檢查因為格式錯誤返回（代碼：400） Google拒絕了jxBrowser / Chromium發起的這些請求（因為不包含有效的Google API密鑰）並且從未實際處理過它們 3.已要求Google確認錯誤請求的文本未儲存在他們的服務器上。 4.鑒於以上事實，極不可能發生失竊但仍建議使用桌面客戶端輸入seed phrases還原錢包的客戶更新並轉移到新錢包至於為什麼會發生這種低級錯誤，官方給的理由我實在不能接受：「我們的工程師立即找出了這個問題的原因，這不是我們源代碼中的錯誤，而是僅在桌面錢包中使用的插件中的錯誤配置。該插件默認在最近的更新中啟用了拼寫檢查功能，並已在6天前由jxBrowser插件團隊修復。」如這影片評論的，在一個牽扯到大量金錢的重要軟體中使用外部插件開發本身就具有極大風險，而顯然Coinomi甚至沒有做好QA管理這在開發流程上的輕率簡直不可思議，何況，問題就是出現在你家的產品怎麼可以說這不是你們代碼的錯誤? https://www.youtube.com/watch?v=5WgD8YOqfLM

對於這份Coinomi正式回應，大家覺得? -- 對於錢包還有些話題想聊，最近版上這麼冷清，晚點再開別的主題好了XD -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.135.50.100 ※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1551449957.A.FD2.html