Pages:
Author

Topic: платеж криптой с сайта. (Read 954 times)

kzv
legendary
Activity: 1722
Merit: 1285
OpenTrade - Open Source Cryptocurrency Exchange
June 05, 2018, 01:36:08 AM
#52
в данном случае топикстартер предлагает вбивать ключ от адреса, имхо не безопасно светить на каком-то сайте свой приватный. хотя, blockchain.info собственно такой логикой и занимается, вроде. это все вопрос доверия и суммы на счету

Теоретически небезопасно конечно, но при соблюдении определенных процедур - абсолютно безопасно.
1. Скачиваем страницу в оффлайн
2. Вводим ключ и формируем транзакцию в оффлайне
3. Пушим транзакцию в онлайн на любом сайте который дает это сделать. Хоть на том же блокчейнинфо.

Если суммы небольшие, то можно и без оффлайновых заморочек обойтись, но тогда да - нужно доверять владельцу сайта и его компетентности в вопросах безопасности.
member
Activity: 202
Merit: 27
Atom foundation
на которой можно будет вбить  свой адрес, ключ от адреса, адрес получателя и сумму платежа

можно, но очень небезопасно

Прочитал тему, все 100% постов про опасность - бред.
Че блин опасного-то?
Указанный автором функционал элементарно сделать на яваскрипте с открытым кодом. Все, кроме отправки транзакции будет работать на стороне клиента даже с отключенным интернетом!
А транзу отправлять в сеть можно даже без ссл, ибо все транзы и так все видят.


в данном случае топикстартер предлагает вбивать ключ от адреса, имхо не безопасно светить на каком-то сайте свой приватный. хотя, blockchain.info собственно такой логикой и занимается, вроде. это все вопрос доверия и суммы на счету
kzv
legendary
Activity: 1722
Merit: 1285
OpenTrade - Open Source Cryptocurrency Exchange
Перестаньте общаться в стиле имиджборд или лурка, для этого есть имиджборды и лурк.

А здесь не ваш персональный бложик. Как хочу, так и общаюсь.
jr. member
Activity: 54
Merit: 1
Что мы показали простите? Давайте по порядку:

rumkin: "Нельзя вводить приватный ключ в браузер это очень опасно"

kzv: "бред. Это не опасней, чем вводить приватный ключ в биткоин коре"

rumkin: "Я крутой спец по безопасности и знаю, что днс спуфинг любого сайта стоит 500 баксов"

kzv: "ШТА?"

rumkin: "не засирайте тему, признайте что подменой днс можно произвести фишинг"

kzv: "ну допустим признаю"

rumkin: "вам не хватает ни опыта, ни знаний, поэтому с вами разговор продолжать не буду"


kzv:  Слив засчитан!

Перестаньте общаться в стиле имиджборд или лурка, для этого есть имиджборды и лурк.
kzv
legendary
Activity: 1722
Merit: 1285
OpenTrade - Open Source Cryptocurrency Exchange
Ну как по мне, так ваши рассказы про безопасность абсолютно однообразны и бесполезны.

Вы уже показали, что вам не хватает ни опыта, ни знаний, чтобы делать такие заключения. Так что продолжение разговора не имеет никакого смысла.

Что мы показали простите? Давайте по порядку:

rumkin: "Нельзя вводить приватный ключ в браузер это очень опасно"

kzv: "бред. Это не опасней, чем вводить приватный ключ в биткоин коре"

rumkin: "Я крутой спец по безопасности и знаю, что днс спуфинг любого сайта стоит 500 баксов"

kzv: "ШТА?"

rumkin: "не засирайте тему, признайте что подменой днс можно произвести фишинг"

kzv: "ну допустим признаю"

rumkin: "вам не хватает ни опыта, ни знаний, поэтому с вами разговор продолжать не буду"


kzv:  Слив засчитан!

newbie
Activity: 88
Merit: 0
Сейчас надо рассматривать использование токена на сайтах, как возможность платежа. Так будет более спокойнее, потому что не требуется грузить на сервер биткоин и светить ключами. А, транзакции проводить через EtherDelta.
jr. member
Activity: 54
Merit: 1
Ну как по мне, так ваши рассказы про безопасность абсолютно однообразны и бесполезны.

Вы уже показали, что вам не хватает ни опыта, ни знаний, чтобы делать такие заключения. Так что продолжение разговора не имеет никакого смысла.
kzv
legendary
Activity: 1722
Merit: 1285
OpenTrade - Open Source Cryptocurrency Exchange
Ну как по мне, так ваши рассказы про безопасность абсолютно однообразны и бесполезны.
Каждая домохозяйка "знает", что все скачанное из интернета может оказаться вирусом. Почти каждая знает, что все скачанное надо проверять антивирусом...

Эти знания блондинок вобщем-то ничем не отличаются от знаний которые несете в массы вы постами типа "все что загружено по протоколу http до проверки на надежность источника не может применяться в системах требующих надежности,"

Ну согласитесь: это то же самое, только более наукообразными словами?
jr. member
Activity: 54
Merit: 1
Хорошо. Кто мешает создателю сайта
1 не минифицировать код
2 размещать свою подпись на десятке ресурсов?

Программа в браузере тогда станет безопасной?

Никто не мешает и это было бы правильным решением. Но кто так делает, найдете пример? И не безопасной, а доверенной. Но повторюсь, как первый шаг это будет правильно.

Вы все упираетесь в клише об опасности браузеров, но вы пока не указали: браузер опасен по сравнению с чем и почему? Ведь как выяснилось бинарики тоже небезопасны, а наоборот еще более опасны... Так что же делать юзерам которые просто хотят перевести бабки с одного счетв на другой?

Не клише, а утверждение. Повторюсь, браузер позволяет создать доверенную среду, только при запуске статических файлов (т.е. полученных по протоколу file://), все что загружено по протоколу http до проверки на надежность источника не может применяться в системах требующих надежности, не важно с чем это сравнивать. Отправлять приватные данные через непроверенный html или непроверенный бинарник одинаково опасно. Важно соблюдение протокола безопасности.


Кстати признайте тоже, что про 500 баксов вы слегка погорячились )

Можете считать как вам угодно. Мне не интересно доказывать обратное, я лучше потрачу время рассказывая как повысить безопасность.
kzv
legendary
Activity: 1722
Merit: 1285
OpenTrade - Open Source Cryptocurrency Exchange
Хорошо. Кто мешает создателю сайта
1 не минифицировать код
2 размещать свою подпись на десятке ресурсов?

Программа в браузере тогда станет безопасной?

Вы все упираетесь в клише об опасности браузеров, но вы пока не указали: браузер опасен по сравнению с чем и почему? Ведь как выяснилось бинарики тоже небезопасны, а наоборот еще более опасны... Так что же делать юзерам которые просто хотят перевести бабки с одного счетв на другой?

Кстати признайте тоже, что про 500 баксов вы слегка погорячились )
jr. member
Activity: 54
Merit: 1
Хорошо я признаю, что проблема подмены днс существует. Вы этого признания хотели?

Да это та мысль, которую я и хотел донести. Хотя DNS это лишь один из элементов. А общая мысль в том, что браузеру доверять нельзя, он не приспособлен для этого.

Теперь мои аргументы
1. Сайт можно скачать в офлайн и тогда даже если этот сайт поддельный, он ничего не украдет. В отличии от бинарика, который может запросто пошариться по файловой системе и запомнить что-нибудь интересное до лучших времен...

Сайт может отображать одно, а подписать и отправить другое. Что и делал подмененный MEW.

2. Сайт можно прочитать в исходниках и убедиться в наличии/отсутствии бэкдора. Бинарик тоже можно прочитать и убедиться, но это на 10 порядков сложнее

В идеале – да. Независимый аудит кода – один из важнейших способов построения безопасной среды. Самостоятельно же вычитывать тысячи строк кода для каждой программы просто невозможно, приходится доверять это действие кому-то. Но при обилии минификаторов, обфускаторов и транспилеров читать такой код даже специалисту будет очень трудно.

А теперь вы пожалуйста расскажите как мне безопасно скачать  биткоин коре? Не опасаясь атак на днс, подмен сертификатов и прочих ужасов которыми вы пугаете бедных посетителей сайтов? Неужели идти ногами домой к Сатоши за его подписью?

Сегодня это достаточно сложно. Необходимо использовать PGP для проверки подписи. Bitcoin Core и Litecoin немногие из большой 20-ки, кто публикует подписанные релизы, но делают они это только на собственных сайтах, что по сути снижает надежность, поэтому ключи разработчиков нужно постараться найти на других ресурсах, например Github, чтобы убедиться, что они совпадают.

А бедные посетители сайтов пусть пугаются, если не хотят расставаться со своими кровными, и начинают постигать основы информационной безопасности.
kzv
legendary
Activity: 1722
Merit: 1285
OpenTrade - Open Source Cryptocurrency Exchange
Хорошо я признаю, что проблема подмены днс существует. Вы этого признания хотели?

Теперь мои аргументы
1. Сайт можно скачать в офлайн и тогда даже если этот сайт поддельный, он ничего не украдет. В отличии от бинарика, который может запросто пошариться по файловой системе и запомнить что-нибудь интересное до лучших времен...
2. Сайт можно прочитать в исходниках и убедиться в наличии/отсутствии бэкдора. Бинарик тоже можно прочитать и убедиться, но это на 10 порядков сложнее

А теперь вы пожалуйста расскажите как мне безопасно скачать  биткоин коре? Не опасаясь атак на днс, подмен сертификатов и прочих ужасов которыми вы пугаете бедных посетителей сайтов? Неужели идти ногами домой к Сатоши за его подписью?
jr. member
Activity: 54
Merit: 1
Еще раз: вы заявили, что атака стоит 500 баксов. Готовы ответить за свои слова финансово?

Не забалтывайте тему. Вы сказали, что опасение по поводу сайта – бред. Вот материал о взломе MEW через DNS, который наглядно демонстрирует вашу неправоту.

Не надо скатываться на личности. Ваши аргументы вообще-то куда больше на детский лепет похожи: "все, что качается с интернета может оказаться вирусом"...

Чтобы не скатываться на личности, приведите хотя бы один аргумент за всю дискуссию, вместо эмоциональных высказываний.

Какие ваши предложения по безопасности в таком случае? Ничего ниоткуда не качать и не запускать, а самостоятельно писать нужные программы на отключенном от интернета компе? Уж сам-то себе вирус точно не напишешь лол )))

Как минимум качать софт подписанный владельцем, который потрудился свою подпись распространить надежным способом. Браузер делать этого не умеет, он умеет только шифровать трафик.
kzv
legendary
Activity: 1722
Merit: 1285
OpenTrade - Open Source Cryptocurrency Exchange
фейспалм.жпг

Ну ок, раздайте хотя бы тыще хомяков мой бинарик вместо биткоин коры. Если получится я дам вам 1000 баксов: 500 за атаку и 500 за "науку". Если не получится вы мне 500 баксов ок?

Если с первого раза не понятно, еще раз: перечисленные выше атаки уже были осуществлены на практике, это не фантастика.

По уровню вашей аргументации понятно, что вы плохо разбираетесь в вопросе и, что еще хуже, уверены в собственной правоте. Можете заблуждаться сколько угодно, но вводить других в заблуждение не стоит.

Еще раз: вы заявили, что атака стоит 500 баксов. Готовы ответить за свои слова финансово?

Не надо скатываться на личности. Ваши аргументы вообще-то куда больше на детский лепет похожи: "все, что качается с интернета может оказаться вирусом"... Какие ваши предложения по безопасности в таком случае? Ничего ниоткуда не качать и не запускать, а самостоятельно писать нужные программы на отключенном от интернета компе? Уж сам-то себе вирус точно не напишешь лол )))
jr. member
Activity: 54
Merit: 1
фейспалм.жпг

Ну ок, раздайте хотя бы тыще хомяков мой бинарик вместо биткоин коры. Если получится я дам вам 1000 баксов: 500 за атаку и 500 за "науку". Если не получится вы мне 500 баксов ок?

Если с первого раза не понятно, еще раз: перечисленные выше атаки уже были осуществлены на практике, это не фантастика.

По уровню вашей аргументации понятно, что вы плохо разбираетесь в вопросе и, что еще хуже, уверены в собственной правоте. Можете заблуждаться сколько угодно, но вводить других в заблуждение не стоит.
kzv
legendary
Activity: 1722
Merit: 1285
OpenTrade - Open Source Cryptocurrency Exchange
Какого днс?
Скачайте хтмл файл со скриптом к себе на рабочий стол, выдерните сетевую плату из компа, сформируйте транзакцию, воткните сетевую плату обратно, отправьте транзакцию.
На каком этапе наступает проблема с безопасностью?

Скачивать вы как будете? По URL! А кто вам хост резолвить будет? DNS! А DNS является надежной системой? Ничего подобного, можно и подменить. А когда вас хрен знает куда DNS отправит вы как об этом догадаетесь? По SSL-сертификату! А это надежно? Иногда, а вообще нет, можно купить идентичный натуральному (у одного китайского регистратора уже всплывали фейковые сертификаты). Но можно же проверить, что html выпустил разработчик, а не злоумышленник! Как? По цифровой подписи! А ее кто-то делает? Никто! Хорошо, но может он опубликовал хешсуммы? Возможно, но положил их на тот же сервер! Да разве ж кому-то это в голову придет вообще? Удивитесь, но даже Parity способна на такое.

И вот вы уже запускаете непонятно что, полученное непонятно откуда. Стоимость подобной атаки ниже 500 USD. Здесь слово безопасность даже рядом не стояло.

По-хорошему денег с вас содрать надо за науку, но защита пользователей важнее обогащения, так что пользуйтесь на здоровье.



фейспалм.жпг

Ну ок, раздайте хотя бы тыще хомяков мой бинарик вместо биткоин коры. Если получится я дам вам 1000 баксов: 500 за атаку и 500 за "науку". Если не получится вы мне 500 баксов ок?

jr. member
Activity: 54
Merit: 1
Какого днс?
Скачайте хтмл файл со скриптом к себе на рабочий стол, выдерните сетевую плату из компа, сформируйте транзакцию, воткните сетевую плату обратно, отправьте транзакцию.
На каком этапе наступает проблема с безопасностью?

Скачивать вы как будете? По URL! А кто вам хост резолвить будет? DNS! А DNS является надежной системой? Ничего подобного, можно и подменить. А когда вас хрен знает куда DNS отправит вы как об этом догадаетесь? По SSL-сертификату! А это надежно? Иногда, а вообще нет, можно купить идентичный натуральному (у одного китайского регистратора уже всплывали фейковые сертификаты). Но можно же проверить, что html выпустил разработчик, а не злоумышленник! Как? По цифровой подписи! А ее кто-то делает? Никто! Хорошо, но может он опубликовал хешсуммы? Возможно, но положил их на тот же сервер! Да разве ж кому-то это в голову придет вообще? Удивитесь, но даже Parity способна на такое.

И вот вы уже запускаете непонятно что, полученное непонятно откуда. Стоимость подобной атаки ниже 500 USD. Здесь слово безопасность даже рядом не стояло.

По-хорошему денег с вас содрать надо за науку, но защита пользователей важнее обогащения, так что пользуйтесь на здоровье.

kzv
legendary
Activity: 1722
Merit: 1285
OpenTrade - Open Source Cryptocurrency Exchange

Прочитал тему, все 100% постов про опасность - бред.
Че блин опасного-то?
Указанный автором функционал элементарно сделать на яваскрипте с открытым кодом. Все, кроме отправки транзакции будет работать на стороне клиента даже с отключенным интернетом!
А транзу отправлять в сеть можно даже без ссл, ибо все транзы и так все видят.


Бред – это то что вы сейчас написали. MyEtherWallet работает по такому принципу, в апреле через него украли эфира на 150К usd через подмену DNS. Браузер не является безопасной средой, он вообще не умеет в безопасность. Все что гарантированно в нем можно запускать – это статичные файлы.

Какого днс?
Скачайте хтмл файл со скриптом к себе на рабочий стол, выдерните сетевую плату из компа, сформируйте транзакцию, воткните сетевую плату обратно, отправьте транзакцию.
На каком этапе наступает проблема с безопасностью?
jr. member
Activity: 54
Merit: 1

Прочитал тему, все 100% постов про опасность - бред.
Че блин опасного-то?
Указанный автором функционал элементарно сделать на яваскрипте с открытым кодом. Все, кроме отправки транзакции будет работать на стороне клиента даже с отключенным интернетом!
А транзу отправлять в сеть можно даже без ссл, ибо все транзы и так все видят.


Бред – это то что вы сейчас написали. MyEtherWallet работает по такому принципу, в апреле через него украли эфира на 150К usd через подмену DNS. Браузер не является безопасной средой, он вообще не умеет в безопасность. Все что гарантированно в нем можно запускать – это статичные файлы.
kzv
legendary
Activity: 1722
Merit: 1285
OpenTrade - Open Source Cryptocurrency Exchange
Господа

вопрос такой - возможно ли построить страничку на php
на которой можно будет вбить  свой адрес, ключ от адреса, адрес получателя и сумму платежа
и сделать перевод ? Как с битком так и с другими топовыми валютами

как я помню brainwallet.org давал такую возможность - но счет он помер


можно, но очень небезопасно

Прочитал тему, все 100% постов про опасность - бред.
Че блин опасного-то?
Указанный автором функционал элементарно сделать на яваскрипте с открытым кодом. Все, кроме отправки транзакции будет работать на стороне клиента даже с отключенным интернетом!
А транзу отправлять в сеть можно даже без ссл, ибо все транзы и так все видят.
Pages:
Jump to: