Satsback: Extension für Firefox sicher?

Guten abend liebe Bitcoiner,

nutzt ihr SATSBACK? Hat Roman ja vorgestellt.

Das Add on bei Firefox dazu erlaubt allerdings ne Menge Dinge die ich für riskant halte… zu Unrecht?
Was meint ihr dazu? Add on installieren!?

Danke, lg Sven

Also ich habe es drei mal Probier und alles nach Anleitung gemacht (Adblocker aus, Cookies akzeptieren usw…). Aber es hat drei mal nicht geklappt. Für die paar Sats, lohnt sich meiner Meinung nach der Aufwand nicht.

2 „Gefällt mir“

Ja, habe es bei mir drauf und such schon ein paar Bestellungen gemacht.
Den Referal finde ich fair. Du bekommst zwischen 1% und 4% cashback in Sats und der Werber im ersten Jahr 20% von der Summe die du erhältst. Also bekommst du 100 Sats bekommt der Werber 20 sats.

Für mich zählt jeder sat, und da diese per Lightning kommen sind sie KYC frei. Die nehme ich gerne.

Amazon ist leider nicht dabei, aber fast alle anderen online Shops.

Ich habe das Addon für meinen Browser installiert. Das muss aber jeder für sich entscheiden.

Danke MurMur und Marsyoshi.

Für mich wäre es dann auch endlich die erste Lightning-Adresse… Ist es egal welchen Anbieter ich dazu nutze? Oder habt ihr Favoriten? Sorry ist es jetzt etwas themenfremd hier angesiedelt.

Habe Satsback heute das erste mal bei Udemy eingesetzt. Hab mir dazu im Chrome (den ich sonst nur für Webntwicklung benutze) mal die extension installiert. Kein Adblocker. Keine anderen extensions.

Aktuell wird noch nichts angezeigt aber laut Satsback soll man erstmal 48 Stunden (Business-Hours) warten. Sobald was kommt melde ich mich hier nochmal.

Ich nutze es selbst (einfach in einem separaten Browser Profil) und hatte diesbezüglich noch keine Probleme.

Die Browser Erweiterung ist doch optional oder nicht? Es soll ein doch nur erinnern dass eine bestimmte Webseite Satsback unterstützt?

Satsback mag toll sein, aber ich rate von der Browser-Erweiterung dringend ab.

Die Erweiterung fragt nach Berechtigungen für alle Websites. Damit ist der Inhalt sämtlicher Seiten gemeint, von Banking über Metamask zu der letzten ShiftCrypto Bestellung. ALLES.
Nun, das mag für die gewünschte Funktionalität nötig sein, aber die Logik, die dies implementiert ist minified und obfuscated. Das heißt es ist für einen dritten nicht ohne weiteres möglich, den Code und seine Harmlosigkeit zu überprüfen.
Es wäre nicht das erste mal, dass so Malware eingeschleust wird, nein, es ist mittlerweile deutlich effizienter, da kein Virenprogramm hier Alarm schlägt.

Insofern:
Wenn ihr die Erweiterung nutzt, dann auf keinem Fall im Hauptbrowser. Benutzt ein seperaten Browser.
Mozilla Firefox Nightly Edition zum Beispiel.

Wer hier fahrlässig ist, spielt mit dem Feuer. Und insbesondere bei Bitcoinern gibt es viel zu holen.

2 „Gefällt mir“

Ich habe Wallet of satoshi genommen.

Beliebte Erweiterungen wie Adblocker erfordern die selben Berechtigungen um ihre Funktionalität zu ermöglichen. Das sind typische Berechtigungen von Browser Erweiterungen. Meistens interagieren sie ja mit Webseiten und dafür ist das nötig.

Hast du dir das angeschaut? Browser Erweiterungen sind doch normalerweise mit Websprachen entwickelt und die JavaScript Dateien sind auf dem PC einsehbar. Ein Laie kann damit nichts anfangen aber das gilt auch für den Code von Adblocker oder die Alby Erweiterung.
Bei sehr beliebten Erweiterungen ist nur die Wahrscheinlichkeit höher dass Malware früher entdeckt wird.

Gut, addon kommt mir nicht auf die Festplatte. Selbst wenn es bei mir nicht viel zu holen gibt.

Jetzt bleibt allerdings die Frage, ob adblocker ein unnötiges Risiko darstellen?

Nicht wirklich mehr als dein ganzer Browser. Ein Adblocker kann dich vor Malvertising schützen. Adblocker blockieren außerdem auch einige Tracker die dein Surfverhalten ausspionieren.

Die guten Adblocker sind FOSS (z.B. uBlock Origin) und werden sehr breit eingesetzt. Das ist nochmal was anderes als eine unbekannte closed-source Extension eines Startups zu nutzen.

Viele Funktionalitäten werden mittlerweile auch in den Browsern selbst integriert, z.B. HTTPS Everywhere oder bei Brave sogar direkt der Adblocker.

Grundsätzlich gilt: Vor allem bei Browser Extensions ist weniger immer mehr. Da bin ich ganz bei @bnd.

Eine gute Maßnahme für Privatsphäre und Sicherheit ist sowieso mehrere Browser zu nutzen und bestimmtes Nutzerverhalten voneinander zu trennen.

Ein Adblocker wie uBlock Origin bringt dir garantiert mehr Vor- als Nachteile!

Gerne mal in die Videos von Techlore zu Browser Hardening rein schauen, da gibt es auch viele Tipps welche die UX nicht wirklich beeinträchtigen:

5 „Gefällt mir“

Ja, das macht es nicht besser.

Ja.

Man kann den JS Code aber obfuscaten, sodass es extrem schwierig ist, die Harmlosigkeit zu verifizieren.
Deswegen ist mein Adblocker auch open source, so kann ich jederzeit nachvollziehen, dass der Code der im Browser läuft, auch der ist, der in normaler Form veröffentlicht wurde.

Nicht zwingend, da gibt es genügend Gegenbeispiele. Und mit Verlaub, Satsback ist nichtmal ansatzweise an einer „kritischen Größe“. Und selbst in den TOP 10 Addons wurden immer wieder Viren gefunden, die dort teils Monate-Jahre waren.


Ein open source Adblocker wie uBlock Origin ist imo Pflicht und hat nur Vorteile! Da bin ich ganz bei Sebastian.

2 „Gefällt mir“

Bist du dir da sicher? Alleine das du dich für Bitcoin interessierst, macht dich schon zu einem interessanten Target.

Sehenswert: Glenn Greenwald: Why privacy matters - YouTube

Ich habe ja auch nichts gegenteiliges geschrieben sondern Adblocker empfohlen. Du empfiehlst uBlock Origin und schreibst gleichzeitig das auch Top Addons von Malware betroffen sein können. Das gilt dann auch für uBlock Origin. Und deswegen habe ich geschrieben dass der Unterschied darin besteht dass Addons wie uBlock viel weiter verbreitet sind und daher mehr aufmerksame Augen darauf gerichtet sind. Ansonsten sehe ich keinen weiteren Sicherheitsvorteil. Das es Open Source ist ist schön aber auch Open Source Projekte können kompromittiert werden. Die Rechner der Entwickler können infiziert und mit korrekten Signaturen Malware veröffentlicht werden. Nur passiert so was nicht sehr oft.

Wenn es keine Indizien und Datenschutzmängel beim Satsback Addon gibt dann tut man dem Startup dahinter etwas Unrecht, wenn man davor so warnt als sei es praktisch Malware.
Falls der Code vom Satsback Addon aber obfuscated ist dann ist das sicher unschön. Ich habe es mir jetzt nicht angeschaut aber es muss nicht unbedingt eine böse Absicht dahinter stecken. Manche Entwickler wollen einfach ihren Code vor Nachahmung schützen. Wobei das eigentlich aber nur ein geringer Schutz ist und ich glaube der Satsback Addon vollbringt nicht gerade eine hohe Kunst bei seiner Funktion. Aber manche Entwickller tun das einfach standardmäßig, egal ob der Code wirklich schützendwert ist oder nicht.
Ansonsten stimme ich natürlich zu dass man aufpassen und das man unnötige Addons vermeiden sollte die nur einen marginalen Vorteil bieten.

In meinem Fall nicht. Grund s. unten.

Mir passiert das nicht. Ich schaue mir vor jedem Update, welches ich einspiele an, ob die Signatur mit dem Release von Github übereinstimmt. Bzw. dies macht mein OS automatisch, da die XPI mit einem von mir vertrauten Public Key signiert ist. Das Release ist ein reproduzierbarer Build, somit kann ich sicherstellen, dass keine Malware eingeschleust wird.

Safety first. Warum muss der Code denn so undurchsichtig und schwer zu analysieren sein? Warum ist der Addon-Code nicht open source? Zumindest ersteres ist ein guter Grund, einem Addon nicht Vollzugriff über seinen Browser zu gewähren.

Wenn sie SO versuchen ihren Code vor Nacharmern zu schützen, mein herzliches Mitleid. Die Funktionalität von Satsback ist in tausenden Cashback-Addons mit minimalen Änderungen seit Jahren am Markt. Es wäre nicht nur furchtbar lächerlich, sondern auch sehr ineffizient. Soetwas hält niemanden ab.

das ist ja dann deren Problem, Schlussfolderung ist halt dann, dass das Ding ohne erheblichen Reversing Aufwand nicht als harmlos eingestuft werden kann. Damit hat es imo nichts im Hauptbrowser verloren.

Das verstehe ich nicht. Wenn die privaten Schlüssel des Entwicklers abhanden kommen, kann der Angreifer die Malware in den Code legen und das ganze mit dem erbeuteten Schlüssel signieren. Und von außen sieht es dann so aus als hätte der echte Entwickler ein Update veröffentlicht.
Bevor der echte Entwickler das bemerkt kann es bei populärer Software bereits tausende Downloads gegeben haben. Theoretisch jedenfalls. Ich weiß ehrlich gesagt nicht genau wie das bei Browser Addons üblicherweise abläuft.

Naja, aber dann wäre auch im Code auf GitHub die Malware. Und das sieht man ja beim Durchgehen der Changes bei jedem Release. Das ist für mich Routine. Dauert wenige Sekunden für ein geschultes Auge.

Denn aus dem Code von GH wird ein reproduzierbarer Build erzeugt, dessen Signatur mit der der XPI übereinstimmen muss. Stimmt die Signatur nicht überein, ist es egal, ob die Signatur nun vom Autor kam oder nicht.

1 „Gefällt mir“

Ich warte seit Tagen auf meine Sats. Solange sie nicht in meiner Wallet sind, hat mich der Dienst nicht überzeugt.