DNS Hijacking war nur ein Beispiel wie man den Verkehr auf einen anderen Server leiten kann.
Bei einem Browser-based Wallet ist der Verkehr z.B. bereits zu einem anderen Server umgeleitet worden (myetherewallet; mittels BGP Hijacking).
Auch CA's wurden bereits kompromittiert und damit falsche Zertifikate ausgestellt.
Habe ja auch gesagt, dass es möglich ist, dennoch sehr unwahrscheinlich. Genauso ist es möglich, dass die Website von Electrum gehackt wird und zusätzlich zu den Dateien auch die Signatur dort ausgetauscht wird. Da bringt der Vergleich der Signatur dem Laien auch nichts mehr.
Tools um Unterschiede zwischen Source Code und ausführbarer Datei ausfindig zu machen, und das ohne deterministische Builds?
Und das auch für nicht-Nerds? Welche denn?
Wieso denn zwischen Source Code und ausführbarer Datei? Ich rede ja von Webseiten, zwei HTML-Dateien kann ich mit etlichen Tools vergleichen.
Genau desswegen sollte der Zeitpunkt der Kontrolle und der Zeitpunkt der Ausführung auch so nahe wie möglich zusammen sein.
Zudem ist dieses Argument insgesamt irrelevant, da davon ausgegangen werden muss dass der eigene Rechner integer ist. Sonst wären jegliche anderen Bemühungen umsonst und das Paper Wallet sowieso kompromittiert.
Korrekt. Und wenn mein Rechner sauber ist, ist eine Website, die offline verwendet wird, nicht mehr gefährlich als andere Software.
Das Problem ist, dass bestimmt mehr als 98% aller Nutzer von Bitcoin Laien sind.
Websiten zu nutzen (die von den meisten Leuten einfach mit Rechtsklick -> Speichern unter.. heruntergeladen werden) ist einfach Bad Practice.
Das ist eine Annahme, die du triffst. Auf bitaddress.org selbst ist das ZIP-Archiv von GitHub verlinkt und auch in fast jeder Anleitung ist es vernünftig erklärt. Wer sich daran nicht hält und die Website stumpf abspeichert, dem nützen wahrscheinlich auch andere Anleitungen nicht viel. So jemand versteht dann wahrscheinlich auch nicht was der Überprüfen der Signatur bringen soll und überspringt diesen Schritt.
Es ist auch möglich all seine BTC auf einem Online Rechner aufzubewahren. Es ist auch möglich das ziemlich sicher zu gestalten. Aber dennoch ist es für den Großteil der Nutzer nicht möglich das sicher zu gestalten und ebenfalls Bad Practice.
Richtig, für ein Großteil mag ja auch einiges zutreffen. Das deckt sich aber nicht mit deiner Aussage, dass man für diesen Zweck
niemals eine Website verwenden sollte. Für erfahrene User stellt es nicht unbedingt eine größere Gefahr dar.
Es ist ja gut wenn man anderen - insbesondere Laien - Hilfestellung bietet. Und man kann und sollte auf Gefahren hinweisen, aber man muss auch klar stellen wann etwas gilt. Wenn irgendwelche Behauptungen aufgestellt werden, muss man diese ausführlich erläutern und ggf. mit Quellen belegen.
Finde es auch nicht so angemessen, wenn sich jemand erkundigen will, wie er eben ein Private Key von bitaddress.org überprüfen kann, zu sagen es sei falsch und der einzig richtige Weg für ihn sei über Electrum. Das ist dann einfach keine Antwort auf die gestellte Frage und schreckt auch nur ab.