You are viewing a single comment's thread from:

RE: ktoś trochę światła na temat eSteem? #esteem #pytanie #bezpieczenstwo #android

in #strimi-stream7 years ago

W przypadku zcentralizowanych serwisów (takich jak wykop, fb i tak dalej) hasła są (właściwie, to hasze tych haseł) zapisane w bazie i w razie potrzeby serwis może zastąpić je innym.

W przypadku steemita hasła nie są zapisane nigdzie. Co prawda na stronie steemit.com jest odzyskiwarka kont (pod warunkiem, że konto ma ustawione konto "steem" jako recovery, do sprawdzenia na steemd.com) ale nie wnikałem jak to działa.

Generowane losowo hasła mają ten plus, że nie są słownikowe (https://pl.wikipedia.org/wiki/Atak_s%C5%82ownikowy) i jest nieco więcej problemu z włamaniem Ci się na konto :p

Do tego nigdzie nie powinieneś się logować hasłem głównym a "Posting key", po takim zalogowaniu nie będziesz mógł nic mieszać z portfelem (o ile wierzyć @mowilimi nic nigdzie nie jest zapisywane, no ale kto wie co jest na gicie a co na produkcji)

Sort:  

Mi wierzyć nie musisz, sprawdź sam nasz kod https://gitlab.com/strimi.it/frontend.strimi.it :)

Oj nie doczytałeś :)
"nic nigdzie nie jest zapisywane, no ale kto wie co jest na gicie a co na produkcji"

Nigdy nie wiadomo, czy kod wrzucony na strimi.pl jest identyczny jak ten z gitlaba :) (nie, nie sugeruje żebyś coś kombinował)

Bardzo bym prosił, abyś nie zakładał lub nawet nie sugerował komukolwiek, że nasz kod z gita różni się czymkolwiek z tym co jest na produkcji.

To co jest na gitlabie, jest na produkcji 1:1 Kropka. Możesz to spokojnie sprawdzić to na wiele sposób :)

@artur9010 Ok, dzięki za info.

Prawdę powiedziawszy zależało mi na technicznej stronie działania tych kluczy - tak dla software developera/power usera, ale nie mającego za wiele do czynienia z blockchainem.

Jak działa autentykacja steem? Jak rozumiem, w blockchainie steemowym jest mój klucz publiczny, służący do walidacji kluczy prywatnych, klucze prywatne do dodawania treści są zapisane na serwerach steemit, a z kolei master klucz prywatny już mam tylko ja.

Takim kluczem do dodawania tresci mogę też "ręcznie" dodać jakiś kontent do blockchaina? Bez pośredników w postaci steemit, strimi czy busy.org? A master klucz prywatny pozwoliłby mi na zmiane wszystkich kluczy, łącznie z masterem?

Takim kluczem do dodawania tresci mogę też "ręcznie" dodać jakiś kontent do blockchaina? Bez pośredników w postaci steemit, strimi czy busy.org?

Dokładnie.

A master klucz prywatny pozwoliłby mi na zmiane wszystkich kluczy, łącznie z masterem?

Klucze są opisane na podstronie profilu z kluczami: https://steemit.com/@shalak/permissions

"The owner key is the master key for the account and is required to change the other keys.
The private key or password for the owner key should be kept offline as much as possible."

Czyli jak widzę, serwery steemit mają zapisany mój "owner key" - najważniejszy klucz, pozwalający na wszystko.

A ten klucz, którym się loguję to steemconnect? Ten, który mam zapisany i schowany w sejfie? To już jest tradycyjne hasło, którego hash jest zapisany na serwerach steemit? Przecież w takiej sytuacji steemit mógłby bez problemu resetować hasła... Czym jest ów "Password or WIF"?

Nikt nie ma zapisanego, żadnego Twojego klucza prywatnego z wiodących interfejsów dla Steem. Dla przykładu na Strimi gdy logujesz się nawet Master Password konwertujemy go na Posting Key i trzymamy go po stronie Twojej przeglądarki w local storage, tak samo robi i Steemit. Nikt nie ma prawa przesyłać Twoich kluczy gdziekolwiek i zapisywać.

@mowilimi-dev hmm... ok, czyli jak rozumiem wszystkie klucze, które widzę w zakładce permissions można wyliczyć z mojego master password, którego używam do logowania?

Nasuwa mi sie jeszcze jedno pytanie: skoro wspomiany ficzer jest po stronie przeglądarki, to co właściwie jest po stronie serwerów strimi, steemit? Mechanika która "dokleja" to moich credentiali mechanizmy/klucze pozwalające zarabiac ów serwisom?

Strimi jest to interfejs dla blockchainu Steem, uproszczając pobieramy i wyświetlamy z niego dane. Dodając treść następuję weryfikacja (via js) Twojego prywatnego Posting Key, jeśli się zgadza wtedy trafia ta treść do blockchain. Co do mechaniki o którą pytasz, jest ona bardzo prosta, są (nazwijmy to uproszczając) pola, do których podaje się tzw. beneficjentów podczas dodawania treści, którzy mają zostać uwzględnienie przy końcowej nagrodzie.

WIF - https://en.bitcoin.it/wiki/Wallet_import_format
Co do reszty, nie wiem. Ale przechowywanie tego na serwerach nie miałoby sensu.