Ethereum (ETH)²

[Swebbo]

vor 2 Stunden schrieb Peer_Gynt:

Naja, das Risiko besteht ja schon beim Fotografieren. Es gibt so viele Apps, die auf Fotos zugreifen, da weißt du gar nicht, wer da mitliest. 

Man schaue mal unter Apps - Berechtigungen - Photos, und da stehen nur jene Apps, die den Zugriff angegeben haben. 

Keepass isn open source pw-safe.

Da kommt man nicht so leicht rein..nutzen auch viele Firmen.

Das Hauptpasswort darf man halt nicht vergessen - sonst kommt man selbst auch nicht mehr ran:D

 

 

[PeWi]

2 hours ago, Peer_Gynt said:

Quelle: https://www.golem.de/news/android-apps-kommen-auch-ohne-berechtigung-an-trackingdaten-1907-142587.html

Interessanter Artikel - danke!

Schon spannend, an wie viele Sachen man mit Umwegen herankommen kann, auch wenn man mangels Privilegien die entsprechenden Funktionen nicht direkt aufrufen darf. Clevere Leute finden clevere Lösungen - das unterschätzt man immer.

[Peer_Gynt]

vor 1 Minute schrieb Swebbo:

Keepass isn open source pw-safe.

 

vor 2 Minuten schrieb Swebbo:

Keepass isn open source pw-safe.

Frage: Kannst du mit Keepass fotografieren? Und wenn ja, reserviert sich denn Keepass im Google-beherrschten Gerätespeicher einen eigenen gesicherten Bereich? 

Oder läuft es wie bei WhatsApp: Tolle Ende-zu-Ende-Verschlüsselung, aber von jedem versandten und empfangenen Foto wird im 'öffentlich zugänglichen' Gerätespeicher eine Kopie abgelegt.

Ich würde niemals einem WA-Partner WA-verschlüsselt ein fotografiertes Passwort schicken. Der Fehler liegt dann in den Fotoapps der Geräte, auf die dann andere Apps Zugriff nehmen können - mit oder ohne Berechtigung. 

Zurück zu meiner Eingangsfrage. Es ging ja um die Sicherung von Seeds. Falls gesichertes Fotografieren nicht möglich ist, würdest du den Seed dann wie ein normales Passwort eintippen? Ich glaube, da bleibe ich lieber bei Handschrift und Schlagbuchstaben. 

Hoffentlich kannst du nicht über Keepass fotografieren, denn dann hätte ich mir mein langes Schreiben sparen können. 😇

 

[skunk]

vor 14 Minuten schrieb Peer_Gynt:

Frage: Kannst du mit Keepass fotografieren? Und wenn ja, reserviert sich denn Keepass im Google-beherrschten Gerätespeicher einen eigenen gesicherten Bereich?

KeePass ist eher nicht fürs Handy gedacht. Gibt es zwar auch als App aber das würde doch deutlich mehr Vertrauen voraussetzen als man als KeePass Benutzer üblicherweise an den Tag legt.

KeePass ist ein Passwortmanager für den PC ähnlich wie LastPass. Der Unterschied ist, dass KeePass die Passwortdatenbank ausschließlich lokal speichert während der zentrale Server von LastPass schön gehackt wurde.

Edit: Die Passwortdatenbank ist natürlich verschlüsselt und man hat volle Kontrolle über alle dazugehörigen Parameter. Als verantwortungsbewusster KeePass Anwender macht man davon auch direkt gebrauch und setzt schön die "Difficulty" hoch sodass jeder Brute Force Versuch mehrere Sekunden dauert. Da dauert das durchraten eines 8 stelligen Pin plötzlich 1,5 Jahre. Wenn man die "Difficulty" auf 10 Sekunden erhöht sind es bereits 15 Jahre. Und weil etwas paranoier hier nicht schadet, nimmt man natürlich keinen 8 stelligen Pin sondern ein ordentliches Passwort.

 

Bearbeitet 20. April 2023 von skunk

[Peer_Gynt]

vor 15 Minuten schrieb skunk:

KeePass ist ein Passwortmanager für den PC

Also PC offline nehmen und dann in Keepass den Seed lokal speichern. Das ist eine gute und vertrauenswürdige Möglichkeit. 

Wir wissen ja noch nicht,was bei den jüngst Eth-Geschädigten zum Verlust geführt hat. Aber ich denke, neben der .doc-Speicherung auf dem PC ist das Smartphone-Foto der am häufigsten falsch eingeschätzte Irrtum. 

[..::. o.Z.o.n.e .::..]

vor 2 Minuten schrieb Peer_Gynt:

Also PC offline nehmen und dann in Keepass den Seed lokal speichern. Das ist eine gute und vertrauenswürdige Möglichkeit. 

Wir wissen ja noch nicht,was bei den jüngst Eth-Geschädigten zum Verlust geführt hat. Aber ich denke, neben der .doc-Speicherung auf dem PC ist das Smartphone-Foto der am häufigsten falsch eingeschätzte Irrtum. 

Wenn wir es eng sehen, ist jede Eingabe per Tastatur oder Touch-Screen ebenso als kompromittiert anzusehen.

Selbst den Seed/Mnemonic per Display anzeigen zu lassen sollte ebenso als kompromittiert betrachtet werden.

Dabei ist es egal, ob man das Gerät offline nimmt und erst später wieder online nimmt.

Kann man alles machen, aber sicher ist es eben nicht.

Just my two pence. ;o))

[mahatma]

Am 5.1.2022 um 12:30 schrieb mahatma:

...

Entscheidend ist, dass damit ein einfaches, von jedem überprüfbares Kriterium gegeben ist, die Berechtigung für die nächste Blockzuteilung zu vergeben. Wobei die Berechtigung zufällig, und nur abhängig vom Anteil der Hashleistung vergeben wird.

Dies muss bei PoS simuliert werden, und endet in komplexen Konzepten mit zufällig gewählten Komitees usw usf.... Aus meiner Sicht sehr aufwendigem Code, der das Problem vielleicht prinzipiell lösen kann (darauf hoffe ich auch), aber lange brauchen wird um seine lückenlose Sicherheit zu beweisen.

....

und schon ein erstes stolpern... es bleibt spannend!

https://bitcoinblog.de/2023/05/15/ethereum-finalisierung-von-transaktionen-voruebergehend-ausgesetzt/

scheint dass Ethereum haarscharf an einem Aussetzen der Blockchain vorbeigeschrammt ist. Was geholfen hat, es gibt 5 verschiedene Client-Software, und eine war von dem Problem anscheinend nicht betroffen, so jedenfalls hab ich Christophs Artikel verstanden.

[skunk]

vor 56 Minuten schrieb mahatma:

und schon ein erstes stolpern... es bleibt spannend!

https://bitcoinblog.de/2023/05/15/ethereum-finalisierung-von-transaktionen-voruebergehend-ausgesetzt/

scheint dass Ethereum haarscharf an einem Aussetzen der Blockchain vorbeigeschrammt ist. Was geholfen hat, es gibt 5 verschiedene Client-Software, und eine war von dem Problem anscheinend nicht betroffen, so jedenfalls hab ich Christophs Artikel verstanden.

Das ist ein Feature und kein Bug.

Wenn alle Clients den selben Fehler hätten, würde die Blockchain einfach ganz normal weiter laufen und Finality erreichen. Die fehlerhaften Blöcke wären dann von allen Clients als Valide bestätigt worden.

Wenn zumindest ein Client den Fehler nicht hat, kommt es zum klassischen Hardfork. Die Mehrheit der Clients würde ab diesem Zeitpunkt auf einer fehlerhaften Blockchain weiter laufen. Leider würden sie Finality erreichen und desswegen nicht merken, dass sie auf der falschen Chain sind.

Der eine funktionstüchtige Client hält solange die Fahne hoch und die Blockchain am Laufen. Auf seiner Chain wird es keine Finality geben. Das ist aber nicht weiter schlimm. Die Blockchain hat desswegen keinen Aussetzer sondern wurde extra so konzipiert um diese Situation zu meistern. Ohne Finality gehen die Strafen für die Validatoren massiv in die Höhe. Wenn die fehlerhaften Clients nicht schnell den Fehler beseitigen, wird im Extremfall ihre ETH soweit verbrannt, dass sie raus sind und der eine funktionstüchtige Client ab da Finality erreicht. Also entweder beheben die fehlerhaften Clients ihren Fehler oder sie sind ganz schnell keine Validatoren mehr. In beiden Fälle läuft die Blockhain weiter und es wird am Ende rückwirkend Finality erreicht.

Idealerweise sind weniger als 66% aller Validatoren von dem Fehler betroffen. Dann hätten wir weiterhin einen klassischen Hardfork. Der Unterschied wäre aber, dass die fehlerhafte Chain keine Finality erreicht und die Clients das dann auch recht Zeitnah merken und entsprechend handeln können. Ohne Finality können sie auch viel einfacher den Fehler beheben. Nach der Fehlerbehebung würden sie sich automatisch alle der richtigen Chain anschließen. Mit Finality müssen sie dagegen ihre Node dazu zwingen die Finality zu ignorieren und ihre Blockchain auf einen Zustand von vor dem Hardfork zurücksetzen. Das will natürlich kein Validator machen müssen daher sind alle bemüht auf Minderheiten Clients umzusteigen um in den Luxus der automatischen Fehlerbehebung ohne Finality zu kommen.

Bearbeitet 15. Mai 2023 von skunk

[Cricktor]

Am 20.4.2023 um 21:52 schrieb Peer_Gynt:

Zurück zu meiner Eingangsfrage. Es ging ja um die Sicherung von Seeds. Falls gesichertes Fotografieren nicht möglich ist, würdest du den Seed dann wie ein normales Passwort eintippen? Ich glaube, da bleibe ich lieber bei Handschrift und Schlagbuchstaben. 
 

Wenn man sich daran hält, Mnemonic Recovery Wörter grundsätzlich und ausschließlich analog zu sichern, kann nicht viel passieren. Wer denkt schon auf Smartphones z.B. an die Tastatur-App, die zwecks Autokorrektur und anderen Gimmicks mit ziemlicher Sicherheit in die App-Hersteller-Cloud petzt. Das kann sowas von nach hinten losgehen...

 

Am 20.4.2023 um 22:25 schrieb Peer_Gynt:

Also PC offline nehmen und dann in Keepass den Seed lokal speichern. Das ist eine gute und vertrauenswürdige Möglichkeit.

Fast sinnlos den PC offline zu nehmen, wenn er anschließend nicht offline bleibt oder restlos und sicher platt gemacht wird (der Datenträger natürlich).

Haltet mich für paranoid, aber der Fehler fängt schon damit an, den Seed (ihr meint sicherlich damit die Mnemonic Recovery Wörter) in irgendeiner Form digital zu bearbeiten/verschlüsseln/sichern. Strikt analog kann nunmal nicht digital entfleuchen, außer man bekommt ungebetenen Hausbesuch.

[nickZ]

31 minutes ago, Cricktor said:

Haltet mich für paranoid, aber der Fehler fängt schon damit an, den Seed (ihr meint sicherlich damit die Mnemonic Recovery Wörter) in irgendeiner Form digital zu bearbeiten/verschlüsseln/sichern. Strikt analog kann nunmal nicht digital entfleuchen, außer man bekommt ungebetenen Hausbesuch.

 Sicherst du deine Bankdaten auch so ab? Dann wäre das ja verständlich. Anstelle von Windows eine Linux-Distro nimmt dir viele Kopfschmerzen

 

[Cricktor]

Wie kommst du auf den Vergleich mit Bankdaten im Zusammenhang von Recovery Wörtern?

Mein Login-Passwort für's Online-Banking ist nicht digital gespeichert, weil das nicht nötig ist (eine analoge Sicherung ist aber auch hier vorhanden). Ein Angreifer kann auch nur wenige Versuche machen, bevor das Konto für Logins gesperrt wird. Jede geldbewegende Transaktion von meinem Bankkonto benötigt eine 2FA-Bestätigung, ebenso wie alle 90 Tage der Login selbst.

 

[skunk]

vor 3 Stunden schrieb Cricktor:

Fast sinnlos den PC offline zu nehmen, wenn er anschließend nicht offline bleibt oder restlos und sicher platt gemacht wird (der Datenträger natürlich).

Ich boote dafür von einem USB Stick auf dem ich eine Debian Live CD abgelegt habe. Der PC ist zwangsläufig offline weil dem USB Stick mein WLAN Passwort nicht bekannt ist. Das müsste ich extra eintippen. Alle benötigten Tools lege ich mit auf den USB Stick um nicht online gehen zu müssen.

Nehmen wir zum Spaß mal an ich würde auf dem USB Stick einen Trojaner mit drauf legen. Was glaubst du was dann passieren wird? So ein Live Betriebssystem hat keine Möglichkeit sich irgendwo zu verewigen. Das ist ja gerade der Witz an dem Live System. Das komplette System wird im RAM gehalten und alle Änderungen gehen beim Runterfahren des Systems unwiederbringlich verloren. Man muss schon explizit die Datenträger vom Hostsystem mounten um darauf Zugriff zu erhalten. Automatisch auch auf Wunsch des Trojaner passiert da erstmal nichts.

Wer besonders paranoid ist, trennt die Datenträger physikalisch und nimmt eine CD anstelle des USB Sticks. Spätestens dann ist nicht mal mehr ein schreibbares Medium mit dem Hostsystem verbunden und dennoch können alle notwendigen Tools offline ausgeführt werden.

[Cricktor]

vor 4 Stunden schrieb skunk:

Ich boote dafür von einem USB Stick auf dem ich eine Debian Live CD abgelegt habe.

Einverstanden, sowas mache ich auch oder nutze einen TAILS-Stick im Offline-Modus.

Davon hat aber @Peer_Gynt nicht gesprochen. Daher wollte ich darauf hinweisen, daß man ein potentiell nicht sicheres System nur durch Offline-Nehmen nicht zu einer sicheren Basis für sensitive Tätigkeiten machen kann, wenn dasselbe System später wieder online geht und man kaum Kontrolle darüber hat, welche Datenspuren auf dem System verblieben oder gar exfiltriert worden sind, falls das System schon mit stiller Malware kompromittiert war oder später wird.

Your keys, your opsec!

[chip]

Leute, eine Bank kann (KANN) einem Anwender aus der Patsche helfen, hat sie ja als Zwischenglied diese Macht. Man kann sogar eine Überweisung im Fall des Falles rückgängig machen unter gewissen Umständen - man kann mit einem Menschen SPRECHEN, der dann was macht (oder auch nicht). Krypto-Zeugs ist doch erfunden worden, um den Man in the Middle auszuschalten - also muss man selbst eben vorsichtig genug sein, weil man ja keinen Ansprechpartner mehr hat (sieht man ja hier im Forum regelmäßig: Hilfegesuche nach Fehlanwendung). Der Verweis auf die klassische Bank ist also völlig fehl am Platz.

[fox912]

vor 10 Stunden schrieb Cricktor:

einen TAILS-Stick im Offline-Modus.

Geniale (Live) Distri übrigens!

vor 17 Stunden schrieb Cricktor:

ede geldbewegende Transaktion von meinem Bankkonto benötigt eine 2FA-Bestätigung, ebenso wie alle 90 Tage der Login selbst.

Da kann ich übrigens einen Card-TAN-Reader empfehlen (kostet, wenn überhaupt, 10 Eur einmalig). Bankomatkarte rein, PIN und der TAN Code wird am (offline) Gerät erstellt 

[Cricktor]

vor 16 Stunden schrieb fox912:

Da kann ich übrigens einen Card-TAN-Reader empfehlen (kostet, wenn überhaupt, 10 Eur einmalig). Bankomatkarte rein, PIN und der TAN Code wird am (offline) Gerät erstellt 

Sowas habe ich auch als Fallback-Lösung, denn schließlich kann ein Smartphone kaputt gehen, verloren oder gestohlen werden. Ein wenig Redundanz hat noch nie geschadet!

Aber langsam driften wir ins Offtopic... 😉

[chip]

Gefahr bei ETH

 

https://bitcoin-2go.de/ethereum-staking-tickende-zeitbombe/

[chip]

Was haltet ihr von den vielen negativen Meldungen zu ETH? So langsam überlege ich, mit einigem Verlust auszusteigen, ich sehe in nächster Zeit kein Land.  Wie seht ihr das? Insgesamt ist es auch eher ruhiger geworden um ETH und co, meine ich.

https://www.ingenieur.de/technik/fachbereiche/ittk/6-wale-steigen-aus-bitcoin-trotzt-dem-crash-doch-fuer-ethereum-gehts-abwaerts-wie-tief-kann-eth-jetzt-fallen/

[Krypto-Patty]

vor einer Stunde schrieb chip:

Was haltet ihr von den vielen negativen Meldungen zu ETH? So langsam überlege ich, mit einigem Verlust auszusteigen, ich sehe in nächster Zeit kein Land.  Wie seht ihr das? Insgesamt ist es auch eher ruhiger geworden um ETH und co, meine ich.

https://www.ingenieur.de/technik/fachbereiche/ittk/6-wale-steigen-aus-bitcoin-trotzt-dem-crash-doch-fuer-ethereum-gehts-abwaerts-wie-tief-kann-eth-jetzt-fallen/

Ich werde meine ETH definitiv behalten. Die negativen Meldungen tun mich bis jetzt mal nicht beunruhigen, ist eben alles momentan nicht so toll. 

[Krypto-Patty]

Gibt auch positive Nachrichten…

https://www.btc-echo.de/schlagzeilen/knackt-ethereum-bald-die-8-000-us-dollar-diese-bank-sagt-ja-172889/

[Peer_Gynt]

Ich weiß nicht, wie es mit dem Eth-Kurs weitergeht. Problematisch ist es schon, dass doch mehrere Eth-Wale ihre Ether abgeben. Kann aber auch sein, dass sie auf sinkende Kurse warten, um günstiger zurückzukaufen.

Dem steht aber durchaus das Risiko entgegen, von der SEC als Wertpapier eingestuft zu werden. Zumindest würde ich dies für durchaus konsequent erachten.

 

vor 38 Minuten schrieb Krypto-Patty:

Gibt auch positive Nachrichten…

https://www.btc-echo.de/schlagzeilen/knackt-ethereum-bald-die-8-000-us-dollar-diese-bank-sagt-ja-172889/

Sooo positiv finde ich diese Nachricht gar nicht.

Also btc-echo.de - naja...?

Sodann, die Schlagzeile "Knackt Ethereum bald die 8.000 US-Dollar?" endet mit einem Fragezeichen.
Aussagewert: Null komma null null.

Danach folgt praktisch ein Werbehinweis: "Diese Bank sagt: Ja!"
Wer ist diese Bank?

Es handelt sich um die Standard Chartered Bank.
Ob diese Bank wohl ein eigenes Interesse an steigenden Eth-Kursen und an dem Vertrieb ihrer eigenen Geldanlagen hat?
Ja, das hat sie. Schließlich betreibt sie ihren eigenen Eth-Staking-Dienst.

 

Soweit so gut?
Nein, zu guter Letzt beschreibt sich der Author Giacomo Mayhofer mit den Worten: "Bis heute sucht er stets nach den spannendsten Menschen und verrücktesten Geschichten.". https://www.btc-echo.de/news/author/giacomomaihofer/

Das hat er also mal wieder geschafft: ES BLEIBT SPANNEND UND IST IRGENDWIE VERRÜCKT. Oder nicht? 👀

 

 

[Krypto-Patty]

vor 1 Minute schrieb Peer_Gynt:

Ich weiß nicht, wie es mit dem Eth-Kurs weitergeht. Problematisch ist es schon, dass doch mehrere Eth-Wale ihre Ether abgeben. Kann aber auch sein, dass sie auf sinkende Kurse warten, um günstiger zurückzukaufen.

Dem steht aber durchaus das Risiko entgegen, von der SEC als Wertpapier eingestuft zu werden. Zumindest würde ich dies für durchaus konsequent erachten.

 

Sooo positiv finde ich diese Nachricht gar nicht.

Also btc-echo.de - naja...?

Sodann, die Schlagzeile "Knackt Ethereum bald die 8.000 US-Dollar?" endet mit einem Fragezeichen.
Aussagewert: Null komma null null.

Danach folgt praktisch ein Werbehinweis: "Diese Bank sagt: Ja!"
Wer ist diese Bank?

Es handelt sich um die Standard Chartered Bank.
Ob diese Bank wohl ein eigenes Interesse an steigenden Eth-Kursen und an dem Vertrieb ihrer eigenen Geldanlagen hat?
Ja, das hat sie. Schließlich betreibt sie ihren eigenen Eth-Staking-Dienst.

 

Soweit so gut?
Nein, zu guter Letzt beschreibt sich der Author Giacomo Mayhofer mit den Worten: "Bis heute sucht er stets nach den spannendsten Menschen und verrücktesten Geschichten.". https://www.btc-echo.de/news/author/giacomomaihofer/

Das hat er also mal wieder geschafft: ES BLEIBT SPANNEND UND IST IRGENDWIE VERRÜCKT. Oder nicht? 👀

 

 

Ich gebe dir recht was BTC-Echo betrifft aber alle Nachrichten sollte man mit einem dickem Fragezeichen wahrnehmen. 
Für mich ist ETH eine führende Smart contract Chain und auch die wird ihren Weg gehen. 
Jeder muss sich eben sein eigenes Bild machen egal was es ist. 

[chip]

Na ja, es gibt schon ein paar Fakten ohne Fragezeichen. Z.B. das seit einiger Zeit viele Wale verkaufen, das ist ein schlechtes Zeichen. Und auch dass es nach der klimafreundlichen Umstellung vor einem Jahr und auch nach Shanghai null Komma null im Kurs gebracht hat, war enttäuschend. Oder dass einige zu viel Einfluss haben können oder die Entscheidung der SEC... Ok, das ist mit Fragezeichen, aber trägt eben auch zur Unsicherheit bei. 

Insgesamt bietet sich MIR das Bild, dass der Kurs WAHRSCHEINLICH nicht nach Norden geht demnächst. Und eine negative SEC-Entscheidung wäre fatal, fürchte ich.

[Sophopt]

vor 16 Minuten schrieb chip:

negative SEC-Entscheidung wäre fatal,

Das wird ETH schon nicht umhauen. Allein die Menge an Token auf der ETH-Blockchain... Da wäre die SEC definitiv noch hunderte Jahre beschäftigt, wenn sie alle verklagen möchte. Ich glaube nicht, dass man das ETH-Ökosystem und das BSC-Ökosystem auf diese Weise lahmlegen kann. Dort gibt es übrigens auch Wrapped BTC und USDT (Tether). Und der Wrapped BTC ist immer genauso teuer wie BTC – das funktioniert wie ein Stablecoin.

[xyZeth]

Mit ETH & Co z B Matic handel ich schon lange nicht mehr. 

Es gibt ja auch Coins die zumindest eine Chance auf Steigerung haben.