Комментарии 6
очень много логических нестыковочек. Почему не сделали let's encrypt сертификат? Почему палили эфиренки собранные с других мест? Почему все эфиринки собираются только на этом адресе. И какой адрес-то? Почему в статье его нет?
п.с. Новость от самих MEW и репостнута всеми СМИ… Такой PR?
п.с. Новость от самих MEW и репостнута всеми СМИ… Такой PR?
Думаю, на половину вопросов можно только у авторов атаки спросить. Может, до LE просто руки не дошли, и так было чем заняться?
MEW, конечно, попиарились на этом, но я бы от такой публичности на их месте отказался — репутационные потери, тем более в сфере криптовалют, дороже вышли наверняка. Но что их слова в техническом аспекте подтвердил хотя бы тот же CF, мне добавляет уверенности, что было если не дословно это, то что-то близкое.
Да и то, историю анонсов BGP вы и сами можете посмотреть — как часть картины.
MEW, конечно, попиарились на этом, но я бы от такой публичности на их месте отказался — репутационные потери, тем более в сфере криптовалют, дороже вышли наверняка. Но что их слова в техническом аспекте подтвердил хотя бы тот же CF, мне добавляет уверенности, что было если не дословно это, то что-то близкое.
Да и то, историю анонсов BGP вы и сами можете посмотреть — как часть картины.
Что бы сделать LE сертификат, надо что бы LE либо проверил файл на сервере, либо DNS запись. Если их автономка далеко от скомпрометированной, ничего бы не вышло. Возможно так и было. Но они могли бы анонсировать IP центров сертификации, и тогда ssl превратился бы в тыкву. Хотя корневые сертификаты вроде зашиты в браузер.
DNSSEC где?
Сегодня основную проблему создают даже не протоколы, а браузеры. Они совершенно не приспособлены для запуска приложений с гарантированной надежностью: запуск подверженного неконтролируемым изменениям неподписанного кода и надежность – две противоположные вещи.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Произведена атака на MyEtherWallet, через перехват DNS-сервиса Amazon при помощи BGP