ktoś trochę światła na temat eSteem? #esteem #pytanie #bezpieczenstwo #android
Używa ktoś eSteem? Jak widzę jest to chyba jedyny natywny klient #steem... Nie do końca jeszcze się wyznaję w kwestiach kluczy - które z nich do czego służą, zatem nie mam 100% poczucia bezpieczeństwa. Jak tego używać, żeby mieć pewność, że nie dam się zrobić w ciula? Do tej pory na #strimi, #busy-org, czy #steemit zawsze logowałem się via #steemconnect.
Rzuci ktoś trochę światła na temat eSteem? #esteem #pytanie #bezpieczenstwo #android
Na Strimi logujesz się albo posting Key albo Master Password (logując się swoim głównym hasłem Strimi i tak je zamienia na Posting Key), dodam do FAQ jeszcze informację o kluczach, które pojawią się w Waszych portfelach i wyjaśnię który jest od czego.
Wspomnij jeszcze proszę o działaniu guzików w steemowej zakladce "Permissions" - co to za klucz jest wyświetlany przed i po kliknięciu "Show private key" :) No i dobrze by było też wyjaśnić o co chodzi w idei generowania haseł i niemożliwości odzyskiwania konta (od strony bardziej technicznej)
W przypadku zcentralizowanych serwisów (takich jak wykop, fb i tak dalej) hasła są (właściwie, to hasze tych haseł) zapisane w bazie i w razie potrzeby serwis może zastąpić je innym.
W przypadku steemita hasła nie są zapisane nigdzie. Co prawda na stronie steemit.com jest odzyskiwarka kont (pod warunkiem, że konto ma ustawione konto "steem" jako recovery, do sprawdzenia na steemd.com) ale nie wnikałem jak to działa.
Generowane losowo hasła mają ten plus, że nie są słownikowe (https://pl.wikipedia.org/wiki/Atak_s%C5%82ownikowy) i jest nieco więcej problemu z włamaniem Ci się na konto :p
Do tego nigdzie nie powinieneś się logować hasłem głównym a "Posting key", po takim zalogowaniu nie będziesz mógł nic mieszać z portfelem (o ile wierzyć @mowilimi nic nigdzie nie jest zapisywane, no ale kto wie co jest na gicie a co na produkcji)
Mi wierzyć nie musisz, sprawdź sam nasz kod https://gitlab.com/strimi.it/frontend.strimi.it :)
Oj nie doczytałeś :)
"nic nigdzie nie jest zapisywane, no ale kto wie co jest na gicie a co na produkcji"
Nigdy nie wiadomo, czy kod wrzucony na strimi.pl jest identyczny jak ten z gitlaba :) (nie, nie sugeruje żebyś coś kombinował)
Bardzo bym prosił, abyś nie zakładał lub nawet nie sugerował komukolwiek, że nasz kod z gita różni się czymkolwiek z tym co jest na produkcji.
To co jest na gitlabie, jest na produkcji 1:1 Kropka. Możesz to spokojnie sprawdzić to na wiele sposób :)
@artur9010 Ok, dzięki za info.
Prawdę powiedziawszy zależało mi na technicznej stronie działania tych kluczy - tak dla software developera/power usera, ale nie mającego za wiele do czynienia z blockchainem.
Jak działa autentykacja steem? Jak rozumiem, w blockchainie steemowym jest mój klucz publiczny, służący do walidacji kluczy prywatnych, klucze prywatne do dodawania treści są zapisane na serwerach steemit, a z kolei master klucz prywatny już mam tylko ja.
Takim kluczem do dodawania tresci mogę też "ręcznie" dodać jakiś kontent do blockchaina? Bez pośredników w postaci steemit, strimi czy busy.org? A master klucz prywatny pozwoliłby mi na zmiane wszystkich kluczy, łącznie z masterem?
Dokładnie.
Klucze są opisane na podstronie profilu z kluczami: https://steemit.com/@shalak/permissions
"The owner key is the master key for the account and is required to change the other keys.
The private key or password for the owner key should be kept offline as much as possible."
Czyli jak widzę, serwery steemit mają zapisany mój "owner key" - najważniejszy klucz, pozwalający na wszystko.
A ten klucz, którym się loguję to steemconnect? Ten, który mam zapisany i schowany w sejfie? To już jest tradycyjne hasło, którego hash jest zapisany na serwerach steemit? Przecież w takiej sytuacji steemit mógłby bez problemu resetować hasła... Czym jest ów "Password or WIF"?
Nikt nie ma zapisanego, żadnego Twojego klucza prywatnego z wiodących interfejsów dla Steem. Dla przykładu na Strimi gdy logujesz się nawet Master Password konwertujemy go na Posting Key i trzymamy go po stronie Twojej przeglądarki w local storage, tak samo robi i Steemit. Nikt nie ma prawa przesyłać Twoich kluczy gdziekolwiek i zapisywać.
@mowilimi-dev hmm... ok, czyli jak rozumiem wszystkie klucze, które widzę w zakładce permissions można wyliczyć z mojego master password, którego używam do logowania?
Nasuwa mi sie jeszcze jedno pytanie: skoro wspomiany ficzer jest po stronie przeglądarki, to co właściwie jest po stronie serwerów strimi, steemit? Mechanika która "dokleja" to moich credentiali mechanizmy/klucze pozwalające zarabiac ów serwisom?
WIF - https://en.bitcoin.it/wiki/Wallet_import_format
Co do reszty, nie wiem. Ale przechowywanie tego na serwerach nie miałoby sensu.