Überprüfung der Legitimität Ihrer Metamaske (für Hyperparanoiker)

Home Foren Trezor Wallet Überprüfung der Legitimität Ihrer Metamaske (für Hyperparanoiker)

Ansicht von 0 Antwort-Themen
  • Autor
    Beiträge
    • #2838
      admin
      Mitglied
      Up
      0
      Down
      ::

      Mir ist klar, dass Trezor den Benutzer vor bösartiger Software schützt, aber es scheint, dass jeder zweite Beitrag von einem Benutzer stammt, der „verloren“ hat, wo er seine Token in Metamask hinterlegt hat. Einige dieser Beiträge könnten von Nutzern stammen, die ihre Daten nicht aufgezeichnet haben. [passphrase, derivation, chain or token](https://www.reddit.com/r/TREZOR/comments/rtmpuk/psa_for_those_having_trouble_with_eth_matic_erc20/) nicht aufgezeichnet haben, während es sich bei anderen vielleicht einfach um [metamask bugs](https://github.com/MetaMask/metamask-extension/issues). Und in den selteneren Fällen ist es möglich, dass die Leute die falsche / gefälschte Metamask-Erweiterung heruntergeladen haben. Für die letzte Kategorie gibt es hier alles, was man sich über die Überprüfung von Erweiterungen vorstellen kann.

      Offensichtlich ist nichts davon notwendig, aber manche Leute wollen trotzdem wissen, wie man es macht.

      ***

      In den meisten Fällen erledigen der Chrome WebStore und der Mozilla AddOns Marketplace diese Aufgabe für Sie. Aber wenn Sie Ihre Paranoia auf die Spitze treiben, finden Sie hier einige Dinge, die Ihrer Installation etwas Glaubwürdigkeit verleihen könnten.

      ### Webseite

      Der r/MetaMask-Subreddit behauptet, dass `metamask.io` legitim ist, aber was können wir sonst noch für eine sekundäre Validierung tun?

      1. [Alexa](https://www.alexa.com/siteinfo/metamask.io#card_rank) und [SimilarWeb](https://www.similarweb.com/website/metamask.io/) stufen beide `metamask.io` verrückt hoch ein (< 50.000). Wenn Sie das mit einer Metamask-Phishing-Seite vergleichen, werden Sie sehr unterschiedliche Zahlen sehen.
      2. Das Hinzufügen von „web.archive.org/web/1/“ vor der URL zeigt, dass die Website / Seite eine lange Geschichte hat, was darauf hindeutet, dass sie wahrscheinlich legal ist.
      3. Das SSL-Zertifikat ist echt, aber es wird ein „Let’s Encrypt“-Zertifikat verwendet, das frei verfügbar ist. Ich denke, der Seitenrang und die lange Historie sind überzeugender.

      ### Firefox-Erweiterung

      Da wir `metamask.io` vertrauen, untersuchen wir den Download-Link für die Firefox-Erweiterung. Er listet die AddonId als `ether-metamask`. Sie können die Domain über SimilarWeb und Alexa überprüfen, und Sie können die Seitenhistorie über `archive.org` überprüfen, um sicherzustellen, dass es sie schon eine Weile gibt. Aber mit Firefox gibt es eine ziemlich saubere Methode, um sicherzustellen, dass das, was im AddOn-Speicher landet, das ist, was MetaMask veröffentlicht hat.

      1. Installieren Sie die Erweiterung, aber richten Sie sie noch nicht ein
      1. Ermitteln Sie die Version über „Erweiterung verwalten“.
      2. Laden Sie diese Version der Erweiterung von Github herunter
      3. Ermitteln Sie Ihr Profilverzeichnis über die URL `about:support`.
      4. Öffnen Sie dieses Verzeichnis und gehen Sie dann zu „extensions“.
      5. Kopieren Sie die metamask XPI-Datei in Ihr Home-Verzeichnis
      6. Benennen Sie sie in eine „.zip“-Datei um
      7. Öffnen Sie die .zip Datei (7-ZIP Archivierungsprogramm)
      8. Löschen Sie den Ordner „META-INF“.
      9. Schauen Sie sich die ZIP-Informationen für die interne CRC an (7-Zip `I` info button)
      10. Vergleichen Sie mit dem internen CRC in der Github-Zip-Datei

      Die beiden CRCs sollten übereinstimmen, so dass Sie ziemlich sicher sein können, dass das, was MetaMask veröffentlicht hat, auch in Ihrem Browser läuft.

      ### Chrome / Brave Erweiterung

      Da wir `metamask.io` vertrauen, untersuchen wir den Download-Link für die Firefox-Erweiterung. Er listet die ExtensionId als `nkbihfbeogaeaoehlefnkodbefgpgknn`.

      1. Von `metamask.io` klicken Sie auf die Chrome / Brave Erweiterung
      2. Überprüfen Sie über Alexa und SimilarWeb, dass Sie sich auf dem REAL Chrome / Brave Webstore befinden
      3. Stellen Sie der Url „web.archive.org/web/1/“ vor, um sicherzustellen, dass sie eine lange Geschichte hat.

      Von hier an sollten Sie der Seite einfach vertrauen. Sie KÖNNEN die CRCs überprüfen, aber Chrome/Brave ändern EOL-Zeichen in JSON-Dateien, so dass der Prozess die Normalisierung all dieser Dateien erfordert, und es fühlt sich einfach ziemlich hakelig an.

Ansicht von 0 Antwort-Themen
  • Du musst angemeldet sein, um auf dieses Thema antworten zu können.
Zur Werkzeugleiste springen