답변 감사드립니다. 발전적인 논의는 늘 환영합니다.
여러 암호화폐를 보면 지갑 해킹 사건은 한두번 있는 일도 아니니 언제든 다시 발생할수있다고 생각합니다. 해킹당한 지갑들도 당시에는 보안적으로 월등하다고 "알려진" 지갑들이구요. 이경우에 있어서 모이또가 다른 지갑과 다르다고 생각하지 않습니다.
지갑을 사용하는 것은 전적으로 개개인의 자유이므로 피해도 개인들이 감수해야 하는것입니다. 그런데 모이또의경우 스팀시티 커뮤니티에서 밀고있는 지갑이기때문에 개개인의 자세한 조사없이, 대외적인 시큐리티 리뷰 없이 사람들이 많은 사람들이 단말에 설치하게 될것이라는점이 우려되는것입니다. 이것이 과도한 우려라고 생각하시지는 않으시리라 믿습니다.
1번은 포스팅 키만 그런 위험이 있는 걸로 이해했습니다. 액티브 키의 위험까지 제기한 것은 제가 잘못 파악한 것으로 정리하겠습니다.
스팀컨넥트를 사용하여 웹브라우저에 저장된 액티브 키는 암호화 되어 있지 않은데 반해
우선 이부분은 정확히 해야할듯 합니다. 스팀커넥트 사용 과정에서 키는 서버, 클라이언트 그 어디에도 저장되지 않습니다. 포스팅키도 저장되지 않습니다.
제 일관된 주장은 웹페이지 형태로 지갑기능을 제공하는 서비스의 보안 위험성에 관한 것이니까요.
스팀커넥트는 지갑이 아닙니다. 지갑 없이 DAPP을 구축할 수 있는 인증서비스죠. 그게 제가 혁신적이라고 생각하는 점이구요. 스팀커넥트가 없었으면 지금까지 믿고 사용할 Steem DAPP이 하나도 없었을겁니다.
애플/구글은 일반 앱들에게 키체인이란 이름의 강력한 보안 기능을 제공합니다. 앱 개발을 해보신 적이 있으신지는 모르겠지만, 키체인을 사용하는 일반 앱은 보안에 취약하고 웹브라우저의 보안은 강력하다는 주장은 받아들이지 않겠습니다.
그부분 코드를 찾지못했는데 키체인을 사용하신다면 키 스토리지 보안은 문제없을듯합니다. 나머지 보안 관련 코드 푸시되면 kr 개발자분들이 리뷰에 참여하시면 좋겠습니다. 그리고 유토피안등을 통해서 리뷰를 부탁해보는게 어떻까 싶습니다. 앱의 기본적인 샌드박싱에 대해서는 잘 모르는데 설명해주시면 제가 비교하는데 수월할듯 합니다. 어디까지 외부 후킹을 막아주고 어디까지 샌드박싱을 해주는지요?
스팀컨넥트가 지갑이 아니라서 믿을 수 있다는 건 사실이 아닙니다. 그 내용은 스팀페이 사용할 때 액티브 키 탈취하는 시연 영상으로 대신하겠습니다.