Pages:
Author

Topic: - - page 14. (Read 59380 times)

member
Activity: 84
Merit: 10
June 04, 2013, 06:15:20 PM
#23
Jeg er heller ingen fan av filmen i bakgrunnen. Synes at det første designet var enkelt og fint.

P.S. Har du undersøkt noe mer rundt muligheter for å trade PPCoin på Justcoin?
full member
Activity: 224
Merit: 100
One bitcoin to rule them all!
June 04, 2013, 09:28:29 AM
#22
Hei og hopp.

Har nettop laget en konto på justcoin (likte ikke helt at det var film i bakgrunnen.. Menmen)

Når jeg så skal verifisere epost-adressen, sier linken mandrillapp.com. Høres dette korrekt ut, eller er det noe muffens?

Kan jo paste her (har slengt inn noen x'er for anonymisering)
http://mandrillapp.com/track/click.php?u=300xxxxxx&id=9a4ca7fdbdbc47e0b61xxxxxxxx5a4&url=https%3A%2F%2Fjustcoin.com%2Fapi%2Fv1%2Femail%2Fverify%2F4fde987d435xxxxxxxx9&url_id=31d84bxxxxxxxxxxx2aa977f95e295xxxxxx&tags=_all,[email protected]
legendary
Activity: 1437
Merit: 1002
https://bitmynt.no
May 28, 2013, 05:33:42 AM
#21
1) Du stoler på en corporate proxy (lar den issue'e "falske" rotsertifikater for hvilket som helst domene). Om jobbnettverket ditt krever dette, anbefaler jeg å ikke bruke sensitive tjenester. En utro tjener kan stjele pengene dine og informasjonen din fra enhver tjeneste. Dette kan være satt opp på jobbmaskinen din før du fikk den.
Vi kan faktisk gjøre noe med dette, men jeg vil helst ikke. Det betyr at vi må sende med ekstra http-headers (som ikke er søttet av alle proxyer eller http-klienter). Vi kan signere hele http-requesten og legge signaturen i en header, la si X-Justcoin-Sign. Problemet her er at vi ender opp med å stenge ut mange for å beskytte få.
Mi utheving.

Sei meg, er målet å støtte SSL-proxyar som dekrypterer innhaldet og endrar det før dei sender det vidare til Justcoin?  Seriøst?  Dersom innhaldet er kryptert heile vegen mellom klient og tenar, slik poenget er med SSL, kan ikkje proxyen tukle med innhaldet.

MtGox plasserer signaturen i ein header dei kallar Rest-Sign.  Problemet med klientar som ikkje støttar det, kan ein komme rundt med å bruke ein annan form for autentisering og kaker i web-grensesnittet.  Det viktigaste er at denne autentiseringa brukar unike verdiar som ikkje kan brukast på nytt, slik at ein ikkje kan få tilgang gjennom å spele av ei autentisering som er gjort før.

Noko anna som bør på plass er aksess-kontroll for API-nøklar.  Eg vil skilje mellom API-nøklar som kan be om informasjon, nøklar som kan kansellere ordrar, nøklar som kan leggje inn nye ordrar og nøklar som kan brukast til å gjere uttak.  Den første typen brukar eg ukryptert i script for å hente ut informasjon og lage fine grafar i Munin.  Dei andre krev varierande grad av ekstra sikring.
legendary
Activity: 1437
Merit: 1002
https://bitmynt.no
May 27, 2013, 05:49:42 PM
#20
Nei, han sier at dersom han har API-nøkkelen og epost-adressen til brukeren, kan han knekke passordet om det ikke er et altfor vanskelig ett. Og det hele uten å være i nærheten av justcoin.no
Eller med andre ord - passordet ligger kryptert i API-nøkkelen.
Det var det jeg trodde, men om han har API-nøkkelen trenger han ikke passordet? Det er API-nøkkelen og ikke passordet som brukes for å bruke Justcoin. Vi vet ikke passordet ditt. Vi vet bare sha256(epost + passord) Det er selvfølgelig mulig å bli angrepet av man-in-the-middle på https:

1) Du stoler på en corporate proxy (lar den issue'e "falske" rotsertifikater for hvilket som helst domene). Om jobbnettverket ditt krever dette, anbefaler jeg å ikke bruke sensitive tjenester. En utro tjener kan stjele pengene dine og informasjonen din fra enhver tjeneste. Dette kan være satt opp på jobbmaskinen din før du fikk den.
Jobbnettverket mitt er ikkje slik, men det er slik på mange skular og arbeidsplassar i dette landet utan at dei fortel brukarane om det.  Det var nyleg ein tråd om dette problemet på EFN-lista.  Dei har ikkje plikt til å fortelle noko om det til brukarane.  Slike proxyar loggar URLar han hentar, og då litt API-nøkkelen i klårtekst i loggen.  Ei god kjelde for API-nøklar om du har tilgang til ein slik logg.

Nettlesing på standardnettlesaren på ein Nokia-telefon går gjennom ein slik proxy.  Nokia hevdar at dei ikkje loggar noko.  Sikker på at dei ikkje gjer det når det kan liggje raske pengar i det?  Har dei fortalt brukarane om det?

Quote
2) Maskinen din er kompromisert pga. virus o.l. Dette fører ikke bare til man-in-the-middle (de bytter ut SSL-sertifikatene med f.eks. en lokal proxy), men at de kan lure deg på tusenvis av måter. Ikke få virus på maskinen du bruker til Justcoin eller noe annet der penger eller personlig informasjon brukes.
Treng ikkje det heller.  Om du har ein iPhone som ikkje er oppgradert på ei stund, eller iPhone 3 og eldre, har du ein SSL-bug.  Med denne kan kven som helst utgi seg for å vere Justcoin, til dømes dersom du surfar på eit ope trådlaust nett.  Med andre ord: Ikkje bruk Justcoin på usikre nett (dvs ikkje via GSM eller trådlaust som er sikra med noko anna enn eit privat brukarnamn og passord) dersom utstyret ditt eig deg, og ikkje omvendt.

Det har vore mange bugs i SSL-implementasjonar gjennom tidene.  Somme svært alvorlege, som at kven som helst kunne lage eit sertifikat for www.google.com\0.sitt.domene, og somme SSL-bibliotek ville tolk det som eit sertifikat for www.google.com.  Det er ikkje rart heller, for i ASN.1, som vert brukt til å kode strengar i X509-sertifikat, er det uendeleg mange måtar å kode akkurat det same på.  For eit par år sidan såg eg eit sertifikat som Firefox, Opera og IE tolka på kvar sin måte.   Dei har kanskje samkøyrt seg no, det veit eg ikkje, men ASN.1 er både tvetydig og skikkeleg vanskeleg å gjere rett.

Moralen er: Ikkje legg alle egga i korga som heiter SSL.  Eg var forresten på eit veldig interessant foredrag om SSL-iverset av EFF på 27C3 i Berlin.  Her er detaljane, og det finst opptak på nettet: https://events.ccc.de/congress/2010/Fahrplan/events/4121.en.html

Quote
3) Vår sertifikatautoritet (Thawte) er kompromisert. Dette har skjedd noen ganger før, men mest i svært avanserte angrep mot stater. Slike sertifikater koster ekstremt mye på svartebørsen, mye mer enn vi noen gang kommer til å ha innestående ( http://www.venafi.com/certificate-authority-compromise-ca-compromise/ )
No demonstrerer du manglande forståing av SSL att.  Det er nok at ein av sertifikatautoritetane som nettlesaren din stolar på er kompromittert.  Firefox og Microsoft stolar på mange hundre ulike sertifikatautoritetar i 52 land, og direkte og indirekte mange tusen (over 4000 sist eg sjekka) ulike rotsertifikat.

La nokon ta ein uavhengig gjennomgang av tryggleiken *før* de lanserer tenesta.
full member
Activity: 224
Merit: 100
One bitcoin to rule them all!
May 27, 2013, 03:30:43 PM
#19
Kva med å heller fikse Justcoin slik at det vert sikkert med passord som er sikre alle andre stader?  Når eg knekk passord pleier eg å køyre ordlister på relevante språk med eit hundretals reglar + tal lagt til.  Om det feilar går eg over til å bruke teiknfrekvensar generert frå kjende passord.  Det tek dei aller fleste brukargenererte passord, og det er brukarane som lagar passord på Justcoin òg.  De kan sjølvsagt leggje ei åtvaring på registreringssida om at de handterer passord på ein uansvarleg måte, og at dei difor bør genererast tilfeldig og vere ekstra lange.

Din antagelse om brute force går ut på at noen får tak i hele databasen vår og prøver å dictionary attack'e hver eneste API-nøkkel. Vi vet ikke passordet til brukeren, vi vet bare hva som er sha256(epost+passord). For å få tak i databasen, trenger du:

Nei, han sier at dersom han har API-nøkkelen og epost-adressen til brukeren, kan han knekke passordet om det ikke er et altfor vanskelig ett. Og det hele uten å være i nærheten av justcoin.no
Eller med andre ord - passordet ligger kryptert i API-nøkkelen.

BTW - det var snakk om en bruker og 'en API-nøkkel, ikke hele databasen.

Mulig Sturle er litt paranoid, men det er viktig å forsøke å forstå hva man svarer på før man svarer.
sr. member
Activity: 444
Merit: 250
May 27, 2013, 05:00:08 AM
#18
Jeg er enig i at det er amatørmessig, men ser man på historien til Bitcoin-tjenester må man bare gå ut fra at de ikke er spesielt sikre og derfor i det minste sørge for å bruke gode passord. Gjør man ikke det er sjansen stor for at man vil tape penger.
Synes det nå etterhvert er på tide å prøve å sikte litt høyere enn dette, spesielt for helt nye tjenester.
legendary
Activity: 1284
Merit: 1001
May 27, 2013, 04:37:55 AM
#17
De kan sjølvsagt leggje ei åtvaring på registreringssida om at de handterer passord på ein uansvarleg måte, og at dei difor bør genererast tilfeldig og vere ekstra lange.
Jeg er enig i at det er amatørmessig, men ser man på historien til Bitcoin-tjenester må man bare gå ut fra at de ikke er spesielt sikre og derfor i det minste sørge for å bruke gode passord. Gjør man ikke det er sjansen stor for at man vil tape penger.
newbie
Activity: 26
Merit: 0
May 26, 2013, 04:08:39 PM
#16
Jag är svensk, kan jag sälja BTC och ta ut NOK till min svenska bank?

EDIT: Äh, jag testar så får vi se!
legendary
Activity: 1437
Merit: 1002
https://bitmynt.no
May 26, 2013, 12:26:21 PM
#15
Kompleksiteten vil bli veldig mye større enn det. Bare i den norske ordlisten er det ca 500 000 ord, inkludert alle bøyinger. Jeg klarer ikke se hva du baserer passordet over på, men om det er et 19 tegn langt vanlig ord blir det 2^19 flere permutasjoner bare med små og store bokstaver. Bruker man tall noen steder og noen få ekstra tegn går antallet permutasjoner i været.
Vissomatte og dersomatte og brukaren må sjølvsagt forstå.  Det er nettopp denne haldninga til tryggleik som gjer at eg ikkje kjem til å bruke Justcoin.

Kva med å heller fikse Justcoin slik at det vert sikkert med passord som er sikre alle andre stader?  Når eg knekk passord pleier eg å køyre ordlister på relevante språk med eit hundretals reglar + tal lagt til.  Om det feilar går eg over til å bruke teiknfrekvensar generert frå kjende passord.  Det tek dei aller fleste brukargenererte passord, og det er brukarane som lagar passord på Justcoin òg.  De kan sjølvsagt leggje ei åtvaring på registreringssida om at de handterer passord på ein uansvarleg måte, og at dei difor bør genererast tilfeldig og vere ekstra lange.
legendary
Activity: 1284
Merit: 1001
May 26, 2013, 07:11:16 AM
#14
Dersom Justcoin har lagra API-nøkkelen din, og du hugsar e-postadressa di, skulle det vere ein smal sak å finne passordet. Hashen, som og vert sendt som ein del av URLen som parameter til GET, er sha256 av e-postadresse+passord.  Usalta.  I Bitcoin-miljøet reknar vi farten på rekneutstyret vårt i Gahsh/s.  Det er 1 000 000 000 slike hashar kvar sekund.  Ei stor ordliste har ca 100 000 ord.  Dvs at du kan teste 100 000 variantar av alle vanlege ord i eit språk kvart sekund med 1 Ghash/s.  Dersom du har basert passordet på eit ord (til dømes "0nOM4toP03t1k0n6367"), kan nokon med 1 Ghash/s finne det på sekundet.  Legg til eit par sekund for innskotne teikn som ikkje berre er omskrivingar av bokstavar.
Kompleksiteten vil bli veldig mye større enn det. Bare i den norske ordlisten er det ca 500 000 ord, inkludert alle bøyinger. Jeg klarer ikke se hva du baserer passordet over på, men om det er et 19 tegn langt vanlig ord blir det 2^19 flere permutasjoner bare med små og store bokstaver. Bruker man tall noen steder og noen få ekstra tegn går antallet permutasjoner i været.
legendary
Activity: 1437
Merit: 1002
https://bitmynt.no
May 26, 2013, 06:05:16 AM
#13
Quote from: sturle
Dersom Justcoin har lagra API-nøkkelen din, og du hugsar e-postadressa di, skulle det vere ein smal sak å finne passordet. Hashen, som og vert sendt som ein del av URLen som parameter til GET, er sha256 av e-postadresse+passord.  Usalta.  I Bitcoin-miljøet reknar vi farten på rekneutstyret vårt i Gahsh/s.  Det er 1 000 000 000 slike hashar kvar sekund.  Ei stor ordliste har ca 100 000 ord.  Dvs at du kan teste 100 000 variantar av alle vanlege ord i eit språk kvart sekund med 1 Ghash/s.
Nei, vi lar deg ikke teste passord særlig ofte. https://github.com/justcoin/snow/blob/master/api/v1/auth.js#L20
Kva meinte du med det?  Du testar sjølvsagt ikkje alle mogelege passord mot APIet når du har hashen!  Då sjekkar du om hashen stemmer, og gjer ikkje eit einaste kall mot Justcoin før du veit passordet.

Quote from: sturle
Tryggleiken til Justcoin baserer seg på at alle komponentar fungerer 100% utan feil i noko ledd, og at all programvare er feilfri.  (Samstundes brukar dei sjølve programvare med kjende bugs.)  Det er etter mi meining veldig naivt.  Eg ventar med Justcoin til dei har gjort ein grundig gjennomgang av tryggleiken i systemet.  Lagrar du store kontantsummar i huset, legg du dei ikkje på golvet innanfor ei vanleg låst dør.  Du kjøper alarm til huset og eit pengeskåp til pengane.  Fleire lag med tryggleik.
Vi er en exchange, ikke et hus.
Ein børs som lagrar verdiar for kundane bør ha tryggleik som in bank, ikkje som leikehytta til ungane.
legendary
Activity: 1437
Merit: 1002
https://bitmynt.no
May 26, 2013, 05:49:04 AM
#12
Ønskeliste: "glemt passord"-funksjon. Har rotet bort mitt :-)
Dersom Justcoin har lagra API-nøkkelen din, og du hugsar e-postadressa di, skulle det vere ein smal sak å finne passordet. Hashen, som og vert sendt som ein del av URLen som parameter til GET, er sha256 av e-postadresse+passord.  Usalta.  I Bitcoin-miljøet reknar vi farten på rekneutstyret vårt i Gahsh/s.  Det er 1 000 000 000 slike hashar kvar sekund.  Ei stor ordliste har ca 100 000 ord.  Dvs at du kan teste 100 000 variantar av alle vanlege ord i eit språk kvart sekund med 1 Ghash/s.  Dersom du har basert passordet på eit ord (til dømes "0nOM4toP03t1k0n6367"), kan nokon med 1 Ghash/s finne det på sekundet.  Legg til eit par sekund for innskotne teikn som ikkje berre er omskrivingar av bokstavar.

Tryggleiken til Justcoin baserer seg på at alle komponentar fungerer 100% utan feil i noko ledd, og at all programvare er feilfri.  (Samstundes brukar dei sjølve programvare med kjende bugs.)  Det er etter mi meining veldig naivt.  Eg ventar med Justcoin til dei har gjort ein grundig gjennomgang av tryggleiken i systemet.  Lagrar du store kontantsummar i huset, legg du dei ikkje på golvet innanfor ei vanleg låst dør.  Du kjøper alarm til huset og eit pengeskåp til pengane.  Fleire lag med tryggleik.
sr. member
Activity: 444
Merit: 250
May 26, 2013, 03:56:54 AM
#11
Ønskeliste: "glemt passord"-funksjon. Har rotet bort mitt :-)
hero member
Activity: 868
Merit: 1000
May 25, 2013, 04:29:42 PM
#10
Lykke til.

Håper dere tar høgde for regulatoriske risikoer, og at dere allerede har avklart alt ifht. mva-problematikk og hvitvaskingsproblematikk. Samtidig er sikkerhet også viktig, så håper dere ser seriøst på det også, gjerne få en profesjonell sikkerhetskonsulent til å gå gjennom systemoppsettet deres. Det er veldig mange smarte hackere som er ute etter å få tak i bitcoins fra bitcoinbørser.
member
Activity: 84
Merit: 10
May 25, 2013, 08:57:43 AM
#9
Endelig en norsk børs for kryptovaluta! Håper virkelig at dere lykkes. Hadde vært fint om dere også hadde støttet PPCoin på litt sikt Smiley
legendary
Activity: 1193
Merit: 1003
9.9.2012: I predict that single digits... <- FAIL
May 24, 2013, 05:10:42 AM
#8
Hvor stor andel av bitcoina vil bli oppbevart i "cold storage"?

Ingen mulighet for "two factor authentication"?

Dette er definitivt mulig og jeg har allerede utforsket noen av mulighetene. Hvilket leverandør ønsker du?

Vi har ikke bestemt hvor mye som skal være i "cold storage" ennå, men jeg ser for meg at det skal være slik at vi til enhver tid kan betale tilbake det vi skylder uten å gå konkurs. Jeg tok i litt hardt da jeg designet systemet, slik at vi i prinsippet kan gi dere, kundene våre, deposit-adresser som ikke er i vår wallet. Dette er nok overdrevet. Det bør holde at vi overførerer Bitcoin til papir når vi føler det er for mye i hot-wallet.


Google authenticator er vel open source og mest utbredt. Jeg tror det er fornuftig å benytte den.

Godt dere har tenkt på "cold storage" og ønsker å ha nok der til å betale tilbake alle bitcoins. Da er jeg happy Smiley
full member
Activity: 224
Merit: 100
One bitcoin to rule them all!
May 23, 2013, 05:51:11 PM
#7
Spennende.

Kommer til å følge litt med, selv om jeg ikke har registrert meg foreløbig.
Det er jo litt slit å gå inn/ut av BTC slik det er nå, så dette kan være et veldig kjærkomment tilskudd.

Har dere noen arbitreringsplaner? Antar det kan bli veldig små volum ihvertfall til å begynne med.

Hva mener du med arbitreringsplaner? Mitt håp er at dere kommer til å gå inn med så mye likviditet at jeg slipper å handle på egen børs for å dra oss i gang. Jeg gir dere alle API's dere måtte trenge og kan t.o.m. hjelpe dere med å lage programmer som kan drive arbitrasje gjennom andre exchanges. (Dette har jeg faktisk laget allerede!)

Hupp. Tenkte at det gjerne er lite volum i begynnelsen. Men den løsningen du beskriver høres veldig bra ut, siden det vil redusere risikoen til Justcoin. :-) Vi vil jo at dere skal lykkes, slik at vi kan bruke dere i lang tid fremmover.

Må ta en titt på det programmet på github i løpet av helgen ellerno.
legendary
Activity: 1193
Merit: 1003
9.9.2012: I predict that single digits... <- FAIL
May 23, 2013, 03:14:06 PM
#6
Hvor stor andel av bitcoina vil bli oppbevart i "cold storage"?

Ingen mulighet for "two factor authentication"?
full member
Activity: 383
Merit: 100
May 23, 2013, 09:28:35 AM
#5
personlig kan jeg fort finne på å smelle opp 10 laken på det her hvis det viser seg å fungere bra.
full member
Activity: 224
Merit: 100
One bitcoin to rule them all!
May 22, 2013, 06:10:33 PM
#4
Spennende.

Kommer til å følge litt med, selv om jeg ikke har registrert meg foreløbig.
Det er jo litt slit å gå inn/ut av BTC slik det er nå, så dette kan være et veldig kjærkomment tilskudd.

Har dere noen arbitreringsplaner? Antar det kan bli veldig små volum ihvertfall til å begynne med.
Pages:
Jump to: