Prøvde Justcoin! Ser bra ut, men enig med de andre at filmen på forsiden gir et litt useriøst inntrykk. Jeg ble litt skremt først... Fjern den.
Ellers liker jeg renheten i grensesnittet. Savner litt å kunne bli presentert noen av kursene i revers, dvs. LTC/BTC <=> BTC/LTC
Topic: - - page 14. (Read 59286 times)
Hei og hopp.
Har nettop laget en konto på justcoin (likte ikke helt at det var film i bakgrunnen.. Menmen)
Når jeg så skal verifisere epost-adressen, sier linken mandrillapp.com. Høres dette korrekt ut, eller er det noe muffens?
Kan jo paste her (har slengt inn noen x'er for anonymisering)
http://mandrillapp.com/track/click.php?u=300xxxxxx&id=9a4ca7fdbdbc47e0b61xxxxxxxx5a4&url=https%3A%2F%2Fjustcoin.com%2Fapi%2Fv1%2Femail%2Fverify%2F4fde987d435xxxxxxxx9&url_id=31d84bxxxxxxxxxxx2aa977f95e295xxxxxx&tags=_all,[email protected]
Har nettop laget en konto på justcoin (likte ikke helt at det var film i bakgrunnen.. Menmen)
Når jeg så skal verifisere epost-adressen, sier linken mandrillapp.com. Høres dette korrekt ut, eller er det noe muffens?
Kan jo paste her (har slengt inn noen x'er for anonymisering)
http://mandrillapp.com/track/click.php?u=300xxxxxx&id=9a4ca7fdbdbc47e0b61xxxxxxxx5a4&url=https%3A%2F%2Fjustcoin.com%2Fapi%2Fv1%2Femail%2Fverify%2F4fde987d435xxxxxxxx9&url_id=31d84bxxxxxxxxxxx2aa977f95e295xxxxxx&tags=_all,[email protected]
1) Du stoler på en corporate proxy (lar den issue'e "falske" rotsertifikater for hvilket som helst domene). Om jobbnettverket ditt krever dette, anbefaler jeg å ikke bruke sensitive tjenester. En utro tjener kan stjele pengene dine og informasjonen din fra enhver tjeneste. Dette kan være satt opp på jobbmaskinen din før du fikk den.
Vi kan faktisk gjøre noe med dette, men jeg vil helst ikke. Det betyr at vi må sende med ekstra http-headers (som ikke er søttet av alle proxyer eller http-klienter). Vi kan signere hele http-requesten og legge signaturen i en header, la si X-Justcoin-Sign. Problemet her er at vi ender opp med å stenge ut mange for å beskytte få.Sei meg, er målet å støtte SSL-proxyar som dekrypterer innhaldet og endrar det før dei sender det vidare til Justcoin? Seriøst? Dersom innhaldet er kryptert heile vegen mellom klient og tenar, slik poenget er med SSL, kan ikkje proxyen tukle med innhaldet.
MtGox plasserer signaturen i ein header dei kallar Rest-Sign. Problemet med klientar som ikkje støttar det, kan ein komme rundt med å bruke ein annan form for autentisering og kaker i web-grensesnittet. Det viktigaste er at denne autentiseringa brukar unike verdiar som ikkje kan brukast på nytt, slik at ein ikkje kan få tilgang gjennom å spele av ei autentisering som er gjort før.
Noko anna som bør på plass er aksess-kontroll for API-nøklar. Eg vil skilje mellom API-nøklar som kan be om informasjon, nøklar som kan kansellere ordrar, nøklar som kan leggje inn nye ordrar og nøklar som kan brukast til å gjere uttak. Den første typen brukar eg ukryptert i script for å hente ut informasjon og lage fine grafar i Munin. Dei andre krev varierande grad av ekstra sikring.
Nei, han sier at dersom han har API-nøkkelen og epost-adressen til brukeren, kan han knekke passordet om det ikke er et altfor vanskelig ett. Og det hele uten å være i nærheten av justcoin.no
Eller med andre ord - passordet ligger kryptert i API-nøkkelen.
Det var det jeg trodde, men om han har API-nøkkelen trenger han ikke passordet? Det er API-nøkkelen og ikke passordet som brukes for å bruke Justcoin. Vi vet ikke passordet ditt. Vi vet bare sha256(epost + passord) Det er selvfølgelig mulig å bli angrepet av man-in-the-middle på https:Eller med andre ord - passordet ligger kryptert i API-nøkkelen.
1) Du stoler på en corporate proxy (lar den issue'e "falske" rotsertifikater for hvilket som helst domene). Om jobbnettverket ditt krever dette, anbefaler jeg å ikke bruke sensitive tjenester. En utro tjener kan stjele pengene dine og informasjonen din fra enhver tjeneste. Dette kan være satt opp på jobbmaskinen din før du fikk den.
Nettlesing på standardnettlesaren på ein Nokia-telefon går gjennom ein slik proxy. Nokia hevdar at dei ikkje loggar noko. Sikker på at dei ikkje gjer det når det kan liggje raske pengar i det? Har dei fortalt brukarane om det?
Quote
2) Maskinen din er kompromisert pga. virus o.l. Dette fører ikke bare til man-in-the-middle (de bytter ut SSL-sertifikatene med f.eks. en lokal proxy), men at de kan lure deg på tusenvis av måter. Ikke få virus på maskinen du bruker til Justcoin eller noe annet der penger eller personlig informasjon brukes.
Treng ikkje det heller. Om du har ein iPhone som ikkje er oppgradert på ei stund, eller iPhone 3 og eldre, har du ein SSL-bug. Med denne kan kven som helst utgi seg for å vere Justcoin, til dømes dersom du surfar på eit ope trådlaust nett. Med andre ord: Ikkje bruk Justcoin på usikre nett (dvs ikkje via GSM eller trådlaust som er sikra med noko anna enn eit privat brukarnamn og passord) dersom utstyret ditt eig deg, og ikkje omvendt.Det har vore mange bugs i SSL-implementasjonar gjennom tidene. Somme svært alvorlege, som at kven som helst kunne lage eit sertifikat for www.google.com\0.sitt.domene, og somme SSL-bibliotek ville tolk det som eit sertifikat for www.google.com. Det er ikkje rart heller, for i ASN.1, som vert brukt til å kode strengar i X509-sertifikat, er det uendeleg mange måtar å kode akkurat det same på. For eit par år sidan såg eg eit sertifikat som Firefox, Opera og IE tolka på kvar sin måte. Dei har kanskje samkøyrt seg no, det veit eg ikkje, men ASN.1 er både tvetydig og skikkeleg vanskeleg å gjere rett.
Moralen er: Ikkje legg alle egga i korga som heiter SSL. Eg var forresten på eit veldig interessant foredrag om SSL-iverset av EFF på 27C3 i Berlin. Her er detaljane, og det finst opptak på nettet: https://events.ccc.de/congress/2010/Fahrplan/events/4121.en.html
Quote
3) Vår sertifikatautoritet (Thawte) er kompromisert. Dette har skjedd noen ganger før, men mest i svært avanserte angrep mot stater. Slike sertifikater koster ekstremt mye på svartebørsen, mye mer enn vi noen gang kommer til å ha innestående ( http://www.venafi.com/certificate-authority-compromise-ca-compromise/ )
No demonstrerer du manglande forståing av SSL att. Det er nok at ein av sertifikatautoritetane som nettlesaren din stolar på er kompromittert. Firefox og Microsoft stolar på mange hundre ulike sertifikatautoritetar i 52 land, og direkte og indirekte mange tusen (over 4000 sist eg sjekka) ulike rotsertifikat.La nokon ta ein uavhengig gjennomgang av tryggleiken *før* de lanserer tenesta.
Kva med å heller fikse Justcoin slik at det vert sikkert med passord som er sikre alle andre stader? Når eg knekk passord pleier eg å køyre ordlister på relevante språk med eit hundretals reglar + tal lagt til. Om det feilar går eg over til å bruke teiknfrekvensar generert frå kjende passord. Det tek dei aller fleste brukargenererte passord, og det er brukarane som lagar passord på Justcoin òg. De kan sjølvsagt leggje ei åtvaring på registreringssida om at de handterer passord på ein uansvarleg måte, og at dei difor bør genererast tilfeldig og vere ekstra lange.
Din antagelse om brute force går ut på at noen får tak i hele databasen vår og prøver å dictionary attack'e hver eneste API-nøkkel. Vi vet ikke passordet til brukeren, vi vet bare hva som er sha256(epost+passord). For å få tak i databasen, trenger du:
Nei, han sier at dersom han har API-nøkkelen og epost-adressen til brukeren, kan han knekke passordet om det ikke er et altfor vanskelig ett. Og det hele uten å være i nærheten av justcoin.no
Eller med andre ord - passordet ligger kryptert i API-nøkkelen.
BTW - det var snakk om en bruker og 'en API-nøkkel, ikke hele databasen.
Mulig Sturle er litt paranoid, men det er viktig å forsøke å forstå hva man svarer på før man svarer.
Jeg er enig i at det er amatørmessig, men ser man på historien til Bitcoin-tjenester må man bare gå ut fra at de ikke er spesielt sikre og derfor i det minste sørge for å bruke gode passord. Gjør man ikke det er sjansen stor for at man vil tape penger.
Synes det nå etterhvert er på tide å prøve å sikte litt høyere enn dette, spesielt for helt nye tjenester. De kan sjølvsagt leggje ei åtvaring på registreringssida om at de handterer passord på ein uansvarleg måte, og at dei difor bør genererast tilfeldig og vere ekstra lange.
Jeg er enig i at det er amatørmessig, men ser man på historien til Bitcoin-tjenester må man bare gå ut fra at de ikke er spesielt sikre og derfor i det minste sørge for å bruke gode passord. Gjør man ikke det er sjansen stor for at man vil tape penger. Kompleksiteten vil bli veldig mye større enn det. Bare i den norske ordlisten er det ca 500 000 ord, inkludert alle bøyinger. Jeg klarer ikke se hva du baserer passordet over på, men om det er et 19 tegn langt vanlig ord blir det 2^19 flere permutasjoner bare med små og store bokstaver. Bruker man tall noen steder og noen få ekstra tegn går antallet permutasjoner i været.
Vissomatte og dersomatte og brukaren må sjølvsagt forstå. Det er nettopp denne haldninga til tryggleik som gjer at eg ikkje kjem til å bruke Justcoin.Kva med å heller fikse Justcoin slik at det vert sikkert med passord som er sikre alle andre stader? Når eg knekk passord pleier eg å køyre ordlister på relevante språk med eit hundretals reglar + tal lagt til. Om det feilar går eg over til å bruke teiknfrekvensar generert frå kjende passord. Det tek dei aller fleste brukargenererte passord, og det er brukarane som lagar passord på Justcoin òg. De kan sjølvsagt leggje ei åtvaring på registreringssida om at de handterer passord på ein uansvarleg måte, og at dei difor bør genererast tilfeldig og vere ekstra lange.
Dersom Justcoin har lagra API-nøkkelen din, og du hugsar e-postadressa di, skulle det vere ein smal sak å finne passordet. Hashen, som og vert sendt som ein del av URLen som parameter til GET, er sha256 av e-postadresse+passord. Usalta. I Bitcoin-miljøet reknar vi farten på rekneutstyret vårt i Gahsh/s. Det er 1 000 000 000 slike hashar kvar sekund. Ei stor ordliste har ca 100 000 ord. Dvs at du kan teste 100 000 variantar av alle vanlege ord i eit språk kvart sekund med 1 Ghash/s. Dersom du har basert passordet på eit ord (til dømes "0nOM4toP03t1k0n6367"), kan nokon med 1 Ghash/s finne det på sekundet. Legg til eit par sekund for innskotne teikn som ikkje berre er omskrivingar av bokstavar.
Kompleksiteten vil bli veldig mye større enn det. Bare i den norske ordlisten er det ca 500 000 ord, inkludert alle bøyinger. Jeg klarer ikke se hva du baserer passordet over på, men om det er et 19 tegn langt vanlig ord blir det 2^19 flere permutasjoner bare med små og store bokstaver. Bruker man tall noen steder og noen få ekstra tegn går antallet permutasjoner i været. Quote from: sturle
Dersom Justcoin har lagra API-nøkkelen din, og du hugsar e-postadressa di, skulle det vere ein smal sak å finne passordet. Hashen, som og vert sendt som ein del av URLen som parameter til GET, er sha256 av e-postadresse+passord. Usalta. I Bitcoin-miljøet reknar vi farten på rekneutstyret vårt i Gahsh/s. Det er 1 000 000 000 slike hashar kvar sekund. Ei stor ordliste har ca 100 000 ord. Dvs at du kan teste 100 000 variantar av alle vanlege ord i eit språk kvart sekund med 1 Ghash/s.
Nei, vi lar deg ikke teste passord særlig ofte. https://github.com/justcoin/snow/blob/master/api/v1/auth.js#L20Quote from: sturle
Tryggleiken til Justcoin baserer seg på at alle komponentar fungerer 100% utan feil i noko ledd, og at all programvare er feilfri. (Samstundes brukar dei sjølve programvare med kjende bugs.) Det er etter mi meining veldig naivt. Eg ventar med Justcoin til dei har gjort ein grundig gjennomgang av tryggleiken i systemet. Lagrar du store kontantsummar i huset, legg du dei ikkje på golvet innanfor ei vanleg låst dør. Du kjøper alarm til huset og eit pengeskåp til pengane. Fleire lag med tryggleik.
Vi er en exchange, ikke et hus.Ønskeliste: "glemt passord"-funksjon. Har rotet bort mitt :-)
Dersom Justcoin har lagra API-nøkkelen din, og du hugsar e-postadressa di, skulle det vere ein smal sak å finne passordet. Hashen, som og vert sendt som ein del av URLen som parameter til GET, er sha256 av e-postadresse+passord. Usalta. I Bitcoin-miljøet reknar vi farten på rekneutstyret vårt i Gahsh/s. Det er 1 000 000 000 slike hashar kvar sekund. Ei stor ordliste har ca 100 000 ord. Dvs at du kan teste 100 000 variantar av alle vanlege ord i eit språk kvart sekund med 1 Ghash/s. Dersom du har basert passordet på eit ord (til dømes "0nOM4toP03t1k0n6367"), kan nokon med 1 Ghash/s finne det på sekundet. Legg til eit par sekund for innskotne teikn som ikkje berre er omskrivingar av bokstavar.Tryggleiken til Justcoin baserer seg på at alle komponentar fungerer 100% utan feil i noko ledd, og at all programvare er feilfri. (Samstundes brukar dei sjølve programvare med kjende bugs.) Det er etter mi meining veldig naivt. Eg ventar med Justcoin til dei har gjort ein grundig gjennomgang av tryggleiken i systemet. Lagrar du store kontantsummar i huset, legg du dei ikkje på golvet innanfor ei vanleg låst dør. Du kjøper alarm til huset og eit pengeskåp til pengane. Fleire lag med tryggleik.
Lykke til.
Håper dere tar høgde for regulatoriske risikoer, og at dere allerede har avklart alt ifht. mva-problematikk og hvitvaskingsproblematikk. Samtidig er sikkerhet også viktig, så håper dere ser seriøst på det også, gjerne få en profesjonell sikkerhetskonsulent til å gå gjennom systemoppsettet deres. Det er veldig mange smarte hackere som er ute etter å få tak i bitcoins fra bitcoinbørser.
Håper dere tar høgde for regulatoriske risikoer, og at dere allerede har avklart alt ifht. mva-problematikk og hvitvaskingsproblematikk. Samtidig er sikkerhet også viktig, så håper dere ser seriøst på det også, gjerne få en profesjonell sikkerhetskonsulent til å gå gjennom systemoppsettet deres. Det er veldig mange smarte hackere som er ute etter å få tak i bitcoins fra bitcoinbørser.
Hvor stor andel av bitcoina vil bli oppbevart i "cold storage"?
Ingen mulighet for "two factor authentication"?
Ingen mulighet for "two factor authentication"?
Dette er definitivt mulig og jeg har allerede utforsket noen av mulighetene. Hvilket leverandør ønsker du?
Vi har ikke bestemt hvor mye som skal være i "cold storage" ennå, men jeg ser for meg at det skal være slik at vi til enhver tid kan betale tilbake det vi skylder uten å gå konkurs. Jeg tok i litt hardt da jeg designet systemet, slik at vi i prinsippet kan gi dere, kundene våre, deposit-adresser som ikke er i vår wallet. Dette er nok overdrevet. Det bør holde at vi overførerer Bitcoin til papir når vi føler det er for mye i hot-wallet.
Google authenticator er vel open source og mest utbredt. Jeg tror det er fornuftig å benytte den.
Godt dere har tenkt på "cold storage" og ønsker å ha nok der til å betale tilbake alle bitcoins. Da er jeg happy
Spennende.
Kommer til å følge litt med, selv om jeg ikke har registrert meg foreløbig.
Det er jo litt slit å gå inn/ut av BTC slik det er nå, så dette kan være et veldig kjærkomment tilskudd.
Har dere noen arbitreringsplaner? Antar det kan bli veldig små volum ihvertfall til å begynne med.
Kommer til å følge litt med, selv om jeg ikke har registrert meg foreløbig.
Det er jo litt slit å gå inn/ut av BTC slik det er nå, så dette kan være et veldig kjærkomment tilskudd.
Har dere noen arbitreringsplaner? Antar det kan bli veldig små volum ihvertfall til å begynne med.
Hva mener du med arbitreringsplaner? Mitt håp er at dere kommer til å gå inn med så mye likviditet at jeg slipper å handle på egen børs for å dra oss i gang. Jeg gir dere alle API's dere måtte trenge og kan t.o.m. hjelpe dere med å lage programmer som kan drive arbitrasje gjennom andre exchanges. (Dette har jeg faktisk laget allerede!)
Hupp. Tenkte at det gjerne er lite volum i begynnelsen. Men den løsningen du beskriver høres veldig bra ut, siden det vil redusere risikoen til Justcoin. :-) Vi vil jo at dere skal lykkes, slik at vi kan bruke dere i lang tid fremmover.
Må ta en titt på det programmet på github i løpet av helgen ellerno.
Jump to: