V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  acess  ›  全部回复第 33 页 / 共 113 页
回复总数  2242
1 ... 29  30  31  32  33  34  35  36  37  38 ... 113  
2021-01-17 20:59:28 +08:00
回复了 mengyx 创建的主题 互联网 QQ 正在尝试读取你的浏览记录
@bin456789 你说掩耳盗铃是有一定道理的,因为实际上不需要第二次重复输入 Windows 登录密码,只要现在已经是已经登录 Windows 账户、进到桌面的状态,浏览器记住的密码就已经是可以解密到明文的状态了。

其实不用 chromepass 也能看,打开被记住密码的网站,F12 改一下密码框的 HTML 属性就行。
2021-01-17 20:55:32 +08:00
回复了 mengyx 创建的主题 互联网 QQ 正在尝试读取你的浏览记录
@bin456789 只有先登录那个 Windows 账户进了桌面,chromepass 才可以直接看到这个账户下的明文密码。
如果要看其他账户的密码,或者看离线系统(比如双系统、USB 易驱线挂上其他机器硬盘里的系统)上的密码,那就需要输入其他账户的密码。
2021-01-17 20:53:49 +08:00
回复了 mengyx 创建的主题 互联网 QQ 正在尝试读取你的浏览记录
@bin456789 chromepass 也是需要先登录 windows 账户进桌面的吧。
In order to use this feature, you must know the last logged-on password used for this profile, because the passwords are encrypted with the SHA hash of the log-on password, and without that hash, the passwords cannot be decrypted.
2021-01-17 20:47:39 +08:00
回复了 mengyx 创建的主题 互联网 QQ 正在尝试读取你的浏览记录
@Dashit 是的,控制面板里的的“凭据”我记得就是 IE 里保存的密码……其实只要 Windows 账户登录了,就解密了。查看明文密码时要求输入 Windows 登录密码,这个本质上是防君子不防小人的。
2021-01-17 20:44:39 +08:00
回复了 mengyx 创建的主题 互联网 QQ 正在尝试读取你的浏览记录
@bin456789
不过……这也不完全是掩耳盗铃吧,本地的密码数据我记得确实是加密了,如果没有登录 windows 账户,那就是密文。
2021-01-17 20:38:56 +08:00
回复了 mengyx 创建的主题 互联网 QQ 正在尝试读取你的浏览记录
@bin456789
+1,本来就是这样,xkcd 1200
更何况 UAC (从降权管理员提升到完整管理员)其实也是可以绕的,微软都说 UAC 不是安全功能,虽然微软有时候会顺带修补封堵一部分绕过手段。
2021-01-17 19:44:36 +08:00
回复了 mengyx 创建的主题 互联网 QQ 正在尝试读取你的浏览记录
我记得 WPS 在本站也有人反映过类似的问题:/t/275450
“他还会监视窗口事件(父窗体为 chrome 浏览器),查看你浏览 X 宝市场 /X 里妈妈市场的标题栏(实在不知道它要干嘛,也许是为了分析用户行为)”
2021-01-17 19:41:47 +08:00
回复了 Skmgo 创建的主题 Bitcoin 如何让比特币支付过程加快,除了激进的不需要 6 个确认外
@uqin 啊,是我表达不好。我想说的是,bitpie 的闪电网络钱包是中心化托管的,闪电网络余额就是派银行的余额。
比特派的链上钱包确实不是托管的,但是这一点和本帖关系不大。
2021-01-17 01:18:26 +08:00
回复了 Skmgo 创建的主题 Bitcoin 如何让比特币支付过程加快,除了激进的不需要 6 个确认外
除了闪电网络(作为收款方,也有中心化托管的方案,比如……OpenNode,不过这个我没真正用过,看上去需要 KYC 实名认证),BTC 还有侧链,比如 Liquid 侧链、RSK 侧链。
但是侧链现在并不是去中心化的,本质上还是 N 个大佬坐在一起组了一个多重签名钱包。而且主链 /侧链币的互相兑换也有点麻烦。(原则上侧链币和主链币是 1:1 锚定的,但 peg in 或 peg out 都耗时比较长(目前还需要 N 个大佬的认证),所以我印象里,交易所也有上架 L-BTC/BTC 、RBTC/BTC 这样的交易对)
2021-01-17 01:11:19 +08:00
回复了 Skmgo 创建的主题 Bitcoin 如何让比特币支付过程加快,除了激进的不需要 6 个确认外
@Skmgo 诶,我好像一知半解地扯了很多,都是理论上的……

其实 6 个确认我觉得都不算什么,只要有了第 1 个确认,“上车”了,那等到 6 个确认一般情况下只是时间问题。比特币最麻烦的问题不是拥堵么,卡在零确认好几天,等到第 1 个确认很难,前面掏钱付更贵矿工费的交易排队太长……

关于零确认,我以前听说过一种解释,为什么有些地方愿意接受零确认呢,因为收款方有办法把发出去的货品收回,所以不怕自己被恶意付款方坑到钱货两空。(不过我印象里这方面也存在一个误解,或者陷阱:就比如各种 dice 站,恶意玩家可以把赌输的交易双花作废,只留下赢钱的交易等确认,这样网站就会亏惨了)

也许有些地方接受不到 6 个确认的收款,也是类似的情况吧。就像你说的币安,其实存款不是 1 确认到账,1 确认资金是冻结的,至少还是得等 2 确认后才会解冻(然后,还说不定提款需要不需要什么人工审核呢)。
比特币网络即便没有有意攻击的恶意矿工,每过个十天半月也会自然产生 1 个区块的分叉,我猜币安设定 1 确认到账、2 确认解冻,就是排除自然 /无意产生的分叉,并且假定矿工不会为了眼前的利益执行双花攻击、从而破坏比特币的品牌形象(然后还是会伤害到矿工自己的利益)。
2021-01-17 00:56:15 +08:00
回复了 Skmgo 创建的主题 Bitcoin 如何让比特币支付过程加快,除了激进的不需要 6 个确认外
我个人有种模糊的理解……

有人问中本聪,说你这系统扩展性堪忧啊,每个节点都要(从头)下载完整账本,这还得了。中本聪他当然不愿意自己的作品被说有问题啊,所以他就说,没事没事,只有矿工才需要跑(全)节点,一般用户不需要管那么多,账本那么大,交给矿工去搞就行,一般用户就用轻量级客户端。

但是……“比特币扩展性不行”“未来可能出现‘比特币银行’负责分流处理交易”这种观点,也是源远流长,Hal Finney 就这么说过(不过老实说,我不知道他老人家后来有没有改变看法……而且他老人家很多年前就已经去世了)。

闪电网络呢,它的很多麻烦(甚至说是陷阱),其实归根到底就是:本来由矿工担任的记账工作,被用户自己给揽过来了。

就比如闪电网络的备份,很蛋疼,必须保证备份是最新的;不像链上钱包那样一劳永逸,有个 HD 种子就够了(也有看上去比较“一劳永逸”的办法,不过需要信任通道对端不会作恶)。
为啥链上钱包备份能一劳永逸呢?因为交易记录都在区·块·链账本上啊,即便用户自己不想折腾全节点,一般也总有别人会跑,还有区块浏览器、钱包服务器这样的服务,不仅跑了全节点,还给区·块·链账本编制了各种索引,(用占硬盘更多的代价换来)实现查询秒速返回结果。至少至少,原则上矿工(现实中就是矿池)需要跑全节点。
闪电网络的通道,里面的交易是双方“私下协商”的,不需要登记到区·块·链账本(所以才能秒速确认,还不占区块空间)。既然是私下里完成的,那交易凭据就只能是双方自己保存好了,即便自己懒得保存、托管给别人保存,也总得有个人要保存。

再比如闪电网络理论上需要用户至少保持定期上线,这样万一通道对端作弊偷钱(撤回交易,等效于偷钱)了,才能及时抓住、并执行罚没。类似地,即使用户自己懒得进行这个工作,外包给第三方“监视塔”,也总得有人完成这个工作。
链上交易,表面上看起来,SPV 轻钱包有“密码学上的证明”,但实际上 SPV 钱包是盲信矿工(多数算力)的,是在绝大多数算力诚实的情况下,SPV 才可靠。
密码学并不是魔法,比特币归根到底是用了最笨的办法,也就是每一个全节点,都[独立地]把所有交易(重复)完整验证一遍,才得已排除凭空造币、(没有数字签名)强行偷币等违规行为,这个工作总得有人做,按照设计就是矿工们去做。按照目前 BTC 社区主流的观点,用户自己也得跑全节点来验证账本,防止自己收到打破规则的“假比特币”。
闪电网络归根到底还是依赖于这一段上述对区·块·链账本的“笨办法”验证,它的意义就在于给区·块·链账本分流减负,同时还仍然保有“自己掌控私钥”的去中心化属性。
2021-01-16 23:49:17 +08:00
回复了 Skmgo 创建的主题 Bitcoin 如何让比特币支付过程加快,除了激进的不需要 6 个确认外
@uqin bitpie 我记得是中心化托管的吧,“派银行”。就是个交易所账户余额。
非托管的钱包也有不少,最傻瓜的应该是 ACINQ 公司出品的 Phoenix 。

@Skmgo 有一说一,闪电网络局限性蛮大的……不然的话 BTC 一直那么堵,秒速确认不拥堵的闪电网络为啥还一直不火呢……也就真爱粉会感觉“诶,秒速确认啊,不错不错,能用,甚至还蛮好用”;一般人感觉大概率是“什么辣鸡玩意儿,麻烦陷阱那么多,还动不动就失败,这压根不能用啊”。
2021-01-09 19:51:02 +08:00
回复了 acess 创建的主题 Bitcoin 手续费太低导致交易卡在未确认状态,可以采取什么办法?
@Andnot
我前面说过了,blockchain 钱包虽然跑在浏览器里,但它本质上和 Electrum 这种“本地钱包”区别不大,主要区别就是它跑在浏览器里。
blockchain 服务器确实保存了私钥,但是是加密保存的。这和[离链钱包](这个术语现在也有点过时了,因为闪电网络也是离链,但通道仍然是用户自己掌控的,和掌控私钥性质一样)或者叫[托管钱包]( custodial wallet,用户不掌控私钥,只有一个账户,资金控制权完全在钱包服务商手里)性质还是不一样的。不过我前面也说了,像 blockchain 这种网页钱包,相当于钱包代码每一次都从网上远程加载,万一网站被黑了,黑客即便不能直接偷到明文私钥,也仍然有可能用恶意代码替换掉正常的钱包代码,所以我才说这种钱包安全性较差。

就算是 blockchain 网站的安全性做得好,归根到底私钥还是会在你的浏览器里解密成明文。
所以说,如果你的电脑环境不安全,比如浏览器有恶意插件,那还是完蛋。
(当然,如果说到浏览器恶意插件,其实想象空间还可以很大——即便是冷钱包,不能直接偷币,恶意浏览器插件也仍然可以尝试偷换交易对象的收款地址,比如交易所的充币地址)


Electrum 确实爆过几个大漏洞,不过后来都修补了。而且冷钱包即便爆了漏洞也无法直接偷币。还有,当时爆那个钓鱼漏洞时,因为我用的是 Electrum Personal Server 对接了自己的 Bitcoin Core 全节点,所以压根就没受到这个漏洞的影响,是事后才看到这个消息。


还有,冷钱包实际上是两台设备分工的。
断网设备保存私钥,从来不联网,但是仍然需要通过二维码等手段来和外界交互数据,它负责检查交易内容、对交易内容签名;
联网设备不保存私钥,只保存地址或 xpub 主公钥,可以联网同步账本内容(交易记录、余额),可以展示收款地址,可以制作未签名交易,交给冷端检查、签名后,再广播出去。
2021-01-08 19:09:27 +08:00
回复了 acess 创建的主题 Bitcoin 手续费太低导致交易卡在未确认状态,可以采取什么办法?
@Andnot 我也不算专家,我只是尽量说说我知道的,不保证一定准确。
2021-01-08 19:06:25 +08:00
回复了 acess 创建的主题 Bitcoin 手续费太低导致交易卡在未确认状态,可以采取什么办法?
“那手动一个个输入应该也不慢,这样就可以大大降低风险了吧”——这个我感觉意义不大,纯粹是更麻烦了。

“话说我现在不太敢随便转币了,还是想一次性把原始地址导入本地钱包”——你可以在离线环境里,用 blockchain . info 官方提供的工具把私钥解密出来,然后导入 Electrum ;再用联网的设备运行另一个 Electrum,新建钱包,选择导入比特币地址。

还有,blockchain . info 这种自己掌控私钥的钱包,其实本质上和你说的“本地钱包”区别并不太大,实际上就是把“本地钱包”的软件代码跑在了浏览器里面。
2021-01-08 19:04:32 +08:00
回复了 acess 创建的主题 Bitcoin 手续费太低导致交易卡在未确认状态,可以采取什么办法?
如果你用了全节点(最好再结合 Tor,广播交易时也匿名),把整个区·块·链账本都同步回来了,这样查询交易时都在本地进行了,不会透露任何信息给他人,于是匿名性 /隐私性可以上升一个水平,但是全节点毕竟太大太笨重,很多人都不愿意搞。(而且 Bitcoin Core 全节点实际上为了节省磁盘空间开销,很多索引都没有,所以基本上只能用最笨的办法——扫描历史区块,来找出与钱包有关的交易,非常慢。更糟糕的是,如果你开启了修剪功能,实际上就是简单地删掉旧区块文件,那么就直接“无米之炊”了,钱包里没有的交易,想扫描查询,压根不行,除非从头再同步一次。轻钱包服务器,还有区块浏览器,它们都是提前建立好索引的,所以才可以秒速出查询结果)
另外,万一有什么紧要关头全节点暂时同步不上(或者出了什么软硬件故障),也蛋疼。
2021-01-08 19:04:20 +08:00
回复了 acess 创建的主题 Bitcoin 手续费太低导致交易卡在未确认状态,可以采取什么办法?
“便于随时在网上查看自己的交易流程,避免每次都登录钱包查看”——你也意识到了,这在隐私上其实是巨大的缺陷。而且即便是用了 HD 钱包,很多时候你懒得自己搞全节点来本地查询,只能依赖别人建好的索引(比如区块浏览器、钱包服务器)来查询,于是你还是把地址(乃至于 xpub 主公钥,用 xpub 可以推导出下级所有子地址)发送过去了,然后服务器就可以记录下来,知道这一组地址实际上都对应同一个身份,甚至还可以进一步关联到 IP 地址,乃至真实身份(有些钱包是可以 KYC 实名验证的)。
2021-01-08 19:04:02 +08:00
回复了 acess 创建的主题 Bitcoin 手续费太低导致交易卡在未确认状态,可以采取什么办法?
地址用一次就换,收·款时换新收款地址,付·款时换新找零地址,这个其实是中本聪的想法,不过换地址这种隐私保护措施基本上也只是聊胜于无罢了。就比如……你能想象,支·付·宝给别人付·款后,可以翻看[对方]最近的几笔交易(哪怕只能看到数额)么?比特币不就类似于这样么。
2021-01-08 19:03:42 +08:00
回复了 acess 创建的主题 Bitcoin 手续费太低导致交易卡在未确认状态,可以采取什么办法?
“HD 钱包相比单私钥钱包在保护隐私方面很强”——额,怎么说呢,比特币一直都是伪匿名的,太透明了,隐私性比较差,唯一的隐私性只剩[地址]和[真实身份]不直接挂钩。
2021-01-08 19:03:12 +08:00
回复了 acess 创建的主题 Bitcoin 手续费太低导致交易卡在未确认状态,可以采取什么办法?
@Andnot
“对于 HD 钱包来说,如果助记词丢失了,后果是一样的”——是的。

( V 站现在的关键字审查真烦人……又不知道触发了什么,不让发,哎)
1 ... 29  30  31  32  33  34  35  36  37  38 ... 113  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2809 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 36ms · UTC 12:12 · PVG 20:12 · LAX 04:12 · JFK 07:12
Developed with CodeLauncher
♥ Do have faith in what you're doing.