Um DNS-Hijacking erfolgreich durchzuführen, brauche ich bei HTTPS immer noch ein gültiges Zertifikat. Die Gefahr mag da sein, ist aber sehr gering.
DNS Hijacking war nur
ein Beispiel wie man den Verkehr auf einen anderen Server leiten kann.
Bei einem Browser-based Wallet ist der Verkehr z.B. bereits zu einem anderen Server umgeleitet worden (myetherewallet; mittels BGP Hijacking).
Auch CA's wurden bereits kompromittiert und damit falsche Zertifikate ausgestellt.
Es gibt etliche Tools, um Änderungen festzustellen, dafür bedarf es keiner Signatur.
Tools um Unterschiede zwischen Source Code und ausführbarer Datei ausfindig zu machen, und das ohne deterministische Builds?
Und das auch für nicht-Nerds? Welche denn?
Wie gesagt braucht man nicht unbedingt eine Signatur. Davon abgesehen kann eine Applikation auch zur Laufzeit manipuliert werden, da hilft mir die Signatur auch nichts mehr.
Genau desswegen sollte der Zeitpunkt der Kontrolle und der Zeitpunkt der Ausführung auch so nahe wie möglich zusammen sein.
Zudem ist dieses Argument insgesamt irrelevant, da davon ausgegangen werden muss dass der eigene Rechner integer ist. Sonst wären jegliche anderen Bemühungen umsonst und das Paper Wallet sowieso kompromittiert.
Vieles was du sagst mag auf Laien zutreffen, aber wer sich richtig damit auseinandersetzt ist mit einer Website als Generator genauso gut dran wie bspw. mit Electrum.
Das Problem ist, dass bestimmt mehr als 98% aller Nutzer von Bitcoin Laien sind.
Websiten zu nutzen (die von den meisten Leuten einfach mit
Rechtsklick -> Speichern unter.. heruntergeladen werden) ist einfach
Bad Practice.
Es ist auch möglich all seine BTC auf einem Online Rechner aufzubewahren. Es ist auch möglich das ziemlich sicher zu gestalten. Aber dennoch ist es für den Großteil der Nutzer nicht möglich das sicher zu gestalten und ebenfalls Bad Practice.
Am Ende läuft alles darauf hinaus, dass mein Rechner frei von Schadsoftware ist.
Darum geht es ja eben. Probleme um die man sich kümmern muss/sollte obwohl der eigene Rechner integer ist.