Re: [Coin] Coinomi錢包支援XMR和安全性爭議

: 講重點： : 1.Coinomi最近版本正式支援XMR了 : 2.Coinomi被某些國外鄉民指控有嚴重安全性漏洞，且聲稱已被盜 : 第2點真假不明，請版上高手評論。 : 討論串： : https://twitter.com/lukechilds/status/1100613365850767360?s=21 : http://tinyurl.com/y3cthhe5 : 以我看的似懂非懂，大意是有人拍影片指控 桌面客戶端的Coinomi : 會在輸入階段，透過Googles remote spellchecker API : 發送seed phrase出去 : 這會導致google員工可以知道你的種子短語，而原始作者聲稱因此已經被盜 : 這聽起來很恐怖，而手機客戶端由於是閉源，是否存在相同漏洞？ Coinomi的官方回應出來了： https://medium.com/coinomi/official-statement-on-spell-check-findings-547ca348676b 縮 http://tinyurl.com/y496y86v 畫重點： 1.該拼字檢查是https傳輸，非明文。 2.該發送到Google API的拼寫檢查因為格式錯誤返回（代碼：400） Google拒絕了jxBrowser / Chromium發起的這些請求 （因為不包含有效的Google API密鑰）並且從未實際處理過它們 3.已要求Google確認錯誤請求的文本未儲存在他們的服務器上。 4.鑒於以上事實，極不可能發生失竊 但仍建議使用桌面客戶端輸入seed phrases還原錢包的客戶更新並轉移到新錢包 至於為什麼會發生這種低級錯誤，官方給的理由我實在不能接受： 「我們的工程師立即找出了這個問題的原因，這不是我們源代碼中的錯誤， 而是僅在桌面錢包中使用的插件中的錯誤配置。 該插件默認在最近的更新中啟用了拼寫檢查功能， 並已在6天前由jxBrowser插件團隊修復。」 如這影片評論的，在一個牽扯到大量金錢的重要軟體中 使用外部插件開發本身就具有極大風險，而顯然Coinomi甚至沒有做好QA管理 這在開發流程上的輕率簡直不可思議，何況，問題就是出現在你家的產品 怎麼可以說這不是你們代碼的錯誤? https://www.youtube.com/watch?v=5WgD8YOqfLM 對於這份Coinomi正式回應，大家覺得? -- 對於錢包還有些話題想聊，最近版上這麼冷清，晚點再開別的主題好了XD --
※ 批踢踢實業坊(ptt.cc), 來自: 220.135.50.100
※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1551449957.A.FD2.html

推 krauser2: 推一個 03/01 22:46

推 qxxrbull: 我只覺得用非開源的都不安全 03/02 01:11

→ qxxrbull: 寧可說用官方或官方認可的 麻煩一些 03/02 01:11

推 lonehugh: BTC提領手續費有人覺得怪怪的嗎? 03/02 08:29

噓 vvind: 跟統一一樣，怒噓。 03/02 12:56