Topic: Хочу прикупить монет для пробы - page 3. (Read 8908 times)

Нет защиты по паролю-  напишите её! Не умеете - заплатите тому, кто умеет. Не хотите платить ? Ну на нет и суда нет.

CODERsp, Я с Вами согласен. Все их аргументы можно списать на проблему роста. Версия программы только 0.3.20. К версии 1.0 выйдет то, что хотят пользователи. 

Вы просто не понимаете технической стороны вопроса. Разница между централизованной системой типа вебмани и децентрализованной очень большая.

Любой файл который находиться на удалённом сервере защитить значительно проще, чем файл который лежит на вашем компьютере.
Например просто грандиозное количество программ взломано (для них пишутся кряки), даже такие серьёзные, как фотошоп, корел, да тот же виндовс. А всё почему, потому что он в вашем распоряжении, хотите ковыряете его сколько влезет пока не взломаете, ни кто вам не помешает.
И другая сторона медали онлайн-игры, там всё находиться на удалённом серевере и доступ к ним практически ни ломают, потому что это очень затруднительно.

Собственно в этом и проблема, какую бы защиту ни делать для локального файла кошелька, её может легко снять квалифицированный программист и выложить кряк в сеть, разработчики пока занимаются более насущными проблемами по написанию ядра, защиты можно будет потом сделать, но только как надстройку. так как строить тонны заграждений, который можно будет легко взломать, бесполезный труд.

О Боги!

https://www.bitcoin.org/smf/index.php?topic=2831.msg38997#msg38997

Знаете, я вот читаю Вашу дискуссию и понимаю, что спорить бесполезно, потому что человек, который всеми силами хочет защитить любимую систему, придумает массу несуществующих аргументов и недостатков других систем. Ну ясно же, что в биткоин-клиенте защиты нет никакой вообще и ничего в этом хорошего нет. Для гиков может это и не стоит проблемой, т.к. они сами умеют защищать свой комп, но вы то хотите, чтобы система стала массово популярной. Так какого хрена тогда гоните на вебмани, что она такая капец сложная и ей невыносимо пользоваться, если в будущем биткоин придет к тому же и к тому времени вы будете говорить, что это уже преимущество? Неужели нельзя признаться, что система не идеальна и еще предстоит немало работы, чтобы сделать ее совершенной? Это же вполне очевидно, что всему свое время. Ведете себя как дети, честное слово.

Рассмотрим ситуацию. Посторонний человек находит клочок бумажки, на котором  написано название банка, логии и пароль. Владелец этого клочка просто обронил (забыл) его. Нашедший пытается войти в Интернет банкинг. Но его не пускает т.к. владелец счета предусмотрительно привязал аккаунт к определенному IP.
Как он узнает кто обронил этот клочок? Это был мужчина или женщина?
Как этот «любопытный» посторонний узнает к какому IP адресу привязан аккаунт?
С этим согласен полностью.

узнать ip проще простого достаточно чтобы вы открыли ЛЮБУЮ левую ссылку и ваш ip светится
Если вы не через кучи проксей бегаете. ( Но с проксями привязка к ip бессмысленна - согласны? )

Согласен. Любое шифрование абсолютно бесполезно. Могут докопаться до hidden volume. Все зависит от степени важности и ценности информации.

Почему Вы считаете, что привязка аккаунта к реальному IP создает иллюзию безопасности? Расскажите более подробно. Покажите на примере.
Да, я согласен, что это создает некоторые не удобства самому пользователю. Сам не раз попадал так. Но, эти не удобства меня убедили в их эффективности. Если  посторонний человек каким-либо способом получит мой логин и пароль.
Как он узнает к какому IP адресу привязан аккаунт?
Как назначит этот IP своему компьютеру?

В таком случае пароль на кошельке тем более бесполезен.

Что касается терморектального - есть в том же трукрипте hidden volume.

Если вам нужен какой то функционал - предлагайте за это деньги. Free - от слова свобода а не от слова халява

Ну, вот же есть люди которые думают о пользователях, а не о том сколько там строчек кода надо дописать. Ах, как много… Лучше придумать нелепые отговорки и не делать!
Правильно. Пользователям не важно как это работает или через что. Посмотрите, как сделана WebMoney. На выбор представлены различные способы обезопасить свои деньги от кражи.

http://tinyurl.com/6eqxqln

Это общая информация. А конкретно к каждой операционной системе в нашей вике появится позже.
Мог бы и сам подыскать, перевести и добавить в вику.... прежде чем притензии заявлять

Все Ваши контейнеры легко взламываются «терморектальным криптоанализом». Если хранящееся информация на Ваших дисках заинтересует воров, то они все равно получат к ней доступ. Слабое место это человек. Сломать человека гораздо проще. Все зависит от степени важности и ценности информации.

Окей!   Где FAQ как это сделать? Чтобы любая кухарка прочла этот FAQ и зашифровала свою папку с кулинарными рецептами. 

я предлагаю автоматизировать эту задачу и сделать вызов этих средств ОС из интерфейса bitcoin.
потому что в разных OS это делается по-разному - наличие единого интерфейса облегчило бы использование программы

автоматизация всего - основная задача IT

сократятся трудозатраты пользователей на обучение, так как интерфейс будет специализированный и более простой,
чем у OS (а ведь в некоторых OS это командная строка)

так же, пропадет вопрос пользователей "а где безопасность" (т.к. она будет там, где ее ожидают увидеть)

сплошные плюсы. какой я сегодня позитивный.

Потому что сложность кражи некриптованного кошелька и перехвата пароля одинаковая.


Невозможно определить что какой-либо пароль не был украден.


Зачем тогда этот шум? Криптуйте директорию с кошельком средствами ОС - оно уже есть и работает, ничего писать не надо.


Без комментариев

Чтобы угнать, например, мой криптоконтейнер, надо:
1) Угнать сам носитель (не один гигабайт, потому только физически).
2) Угнать рутовский пароль (чтобы внедрить трояна, а также узнать, какой софт шифрования я использую).
3) Угнать приватный ключ и пароль от приватного ключа (собственно трояном).
Причём сделать это одномоментно, ибо, обнаружив пропажу или вторжение, я немедля уничтожу или перешифрую что-нибудь.

В том случае, который вы предлагаете, достаточно угнать небольшой файлик wallet.dat и пароль. При вводе, перехватив клавиатурный ввод трояном или на физическом уровне (я такой девайс чуть ли не на bitcoingadgets видел). Очень хорошее сравнение с воздушными шариками вместо подушки безопасности. Я бы пошёл дальше в аналогиях: это напоминает встраивание автосигнализации в замок зажигания.
Нормальная сигналка анализирует множество параметров автомобиля, включая различные вибрации корпуса и т.п. Сигналка в замке зажигания способна разве что начать орать при вставлении неправильного ключа. Когда в салон проникли, она бесполезна.

Чтобы не угнали wallet.dat и не внедрили трояна, придуманы и отлажены различные системы безопасности, задача которых - именно что противостоять угонам. В том числе криптоконтейнеры и многопользовательские (по-настоящему, а не как винда) ОС. Вводить парольную защиту в биткойн - это две вещи:
1) Делать "свою с блэкджеком и шлюхами", сырую и неэффективную защиту, тем самым
2) Утяжеляя и усложняя код, вводя дополнительные потенциальные уязвимости.

Я не знаю уже как ещё объяснять. Уж сколько раз твердили миру: не плодите лишних сущностей. Не надо просто так отбрасывать опыт людей, которые долго работали над этими вопросами и считать, что "уж я-то точно знаю, что надо сделать". Гениальные идеи возникают весьма редко. Так было в древности, и сейчас мало что изменилось. Объёмы разума и глупости на планете - величины постоянные и от количества населения не зависят.

Раз пароль однозначно украдут, как вы утверждаете! То как можно гарантировать, что не украдут контейнер Трукрипта и пароль, ключевой файл(ы) к нему, а?

Да, живите Вы сознанием факта. Я живу в реальности. А в реальности есть люди которые ответственно подходят к защите своего компьтера, а есть люди которые наплевательски относятся к этому. Вот у них частенько и крадут пароли, номера банковских карт и т.п.
Самолеты падают это факт. И от этого их не перестали собирать. Собирают и занимается усовершенствованием их систем.
Слабое звено это человек! Во всех сферах его деятельности. Человеческий фактор он везде! Человеку свойственно ошибаться и поэтому системы должны страховать человека везде и всюду.

Возможно для хакеров и не происходит. Для гуру хакинга задание ниже должно быть простым:
Вот вам IP 80.94.228.80. Установите у себя на компьтере веб сервак, в корень поместите хмтлку с текстом «Привет от lzsaver. Для Belres’a.» Постучите в бубен, что бы в результате я зайдя по адресу http://80.94.228.80/ увидил Ваше сообщение. И еще набрав tracert 80.94.228.80 я по хопам увидел, что сервак находится где-то в России.
Если Вы это сделаете, то я с Вами соглашусь. Но, пока опыт показывает обратное.
Организация сменила внешний IPшник. И в один прекрасный день бухгалтер попыталась воспользоваться клиент-банком, как через пару секунд позвонил товарищ с СБ банка, с уведомлением, что кто-то пытается зайти под вашим логином /паролем в систему. Эффективность на лицо!
 
Молодцы что знаете ASM, Java. Но, Вы не хотите понять простых юзеров которые хотят парольную защиту кошелька. Пускай, как Вы считаете, это иллюзия безопасности.
Вора-домушник тоже самое может сказать  про наши двери/окна в квартиры. Иллюзия безопасности и только. Если вора заинтересовала квартира он все равно залезет в нее.

Потому что мы знаем, как это делается. Это не уверенность, это знание факта.

Если взломщик пропалился на краже пароля - это плохой взломщик. Мое мнение.

А мы дети, которые пишут на ЯВУ и АСМе. Вообще ничего не понимаем и не хотим.

Я бы сказал, что создает иллюзию безопасности. Никакого усиления не происходит.

Почему такая безусловная уверенность в этом?! Я понять не могу. За мой интернетовский 8 летний стаж я использовал вагон и малую тележку паролей и ни один не украден.
Извините, но я не школьник, что только вчера пришел в Сеть. Я знаю, как уберечь логины и пароли и пока мои методы меня не подвели, если у Вас крали пароли, то это Ваши проблемы, а не мои. И грести всех под одну гребенку глупо.

   .
Про услугу статического реальный IP-адрес знаем? Реальный IP выделается клиенту на его WAN порт. Если вдруг провайдер зафиксирует конфликт IP он примет меры для выяснения причин. Кстати привязка аккунта к IP усиливает безопасность.

Спасибо за Багамы.  Клиент спокойно засудит банк т.к. его физически не могло быть в банке и предоставит док-ва: авиабилет, свидетельские показания. И суд будет на его стороне. Банку такие инциденты не нужны и СБ банка сразу такое пресекает.
Про такие случаи в Беларуси не слышал. Если происходили, то ссылкой киньте.
 
Как Вы все живете в таком злом мире. "Пароль украдут при вводе.", "Пароли это признак дилетанта и не доверие к системе."
У Вас у всех входная дверь на замках? Ее вскроют! Зачем она, смысл!? Бытовую технику прибейте к полу, картины прибейте к стенам, люстру к потолку.

С позволения модератора (нужно ли создавать отдельную тему, раз уже практически всё расписали тут?) я все-таки допишу, чтобы впредь пореже возвращаться к этому вопросу, и дать некоторый материал для FAQ (а позже ругаться на людей, оный не читавших).

Скажу больше: есть и не онлайн генераторы (которые не будут сливать ваши свежие пароли налево). Только файл с паролями (пусть даже на Н-ной странице) -- всего лишь один из вариантов "пароля на бумажке". Вредность такого подхода обсуждалась многократно.

Вот это уже лучше. Но кто будет выдавать токены? Авторизованного центра нет. Временные пароли ведь надо периодически добавлять по мере использования, либо утраты старых.
Можно встроить генератор токенов в программу, но что тогда мешает злоумышленнику спереть ее вместе с бумажником и сгенерировать себе новые токены?
И опять-таки сгенерированные токены надо записать на бумажку..... и т.д. и т.п.
Возможно, в таком подходе есть еще какие-то минусы, которые сразу-же не пришли мне в голову.

Гораздо лучше помнить одну действительно сложную пассфразу типа "Варкалось!!! Хливкие пырьки. Шныряли по наве, И лопотали лизюки. Как мюмзики в мове!" (только не цитату, а свою). И этой самой пассфразой шифровать сразу много данных (да, это снова ТруКрипт и т.п.). Фразу, кстати, неплохо почаще менять.

Вот уж это -- полная чушь, не несущая ничего кроме неудобств пользователю и лишнего риска взлома. Ключевые слова для начала -- NAT и DHCP.

Как я уже напоминал выше, авторизованного центра нет. Куда вы пойдете с паспортом, когда захотите получить новый пароль вместо утерянного, и что помешает злоумышленнику поступить также, прикидываясь вами?
В случае банка, кстати, мастер-паролем для получения нового пароля, или новой карты является удостоверение вашей личности (паспорт и совпадающая подпись). Простейший вариант мошенничества: пока вы в месячном отпуске на Багамах, злоумышленник приходит в банк с поддельным паспортом на ваше имя, но своей фотографией, старательно выводит вашу подпись на заявлении о выдаче карты взамен утерянной и, вуаля, -- получает новую карту с новыми, паролями, токенами, защитами ИП, бекджеком, шлюхами и всеми вашими деньгами.

Есть хорошая поговорка: "Не ошибается тот, кто ничего не делает". Этот замечательный принцип работает в обе стОроны, и, при больших рисках, лучше именно ничего не делать (по крайней мере, если не можешь сделать хорошо).

Предвидя встречный шквал поговорок типа "Не плюй в колодец, вылетит не поймаешь" и пр. приведу простой пример.
У вас есть некий капитал, скопленный за большую часть жизни. Скажем на квартиру в центре МСК.  Но потратить вы его можете только целиком. Что вы предпочтете:
1. Целиком положить его в банк/кубышку и гарантировано остаться при своих.
2. Пойти в казино и, поставив его целиком на номер, выиграть в 35 раз больше с вероятностью 1/38?
Бытовая логика должна подсказать вам простой ответ: лучше не рисковать остаться БОМЖом и ничего не делая мирно хранить деньги в чулке, надеясь на то, что дорогому правительству не придет в голову очередная деноминация.

Для меня лично, появление в биткоине "системы паролей с защитой от взлома" будет как раз тревожным звоночком того, что в разработчики попал дилетант, имеющий смутное представление о безопасности. А как следствие встает вопрос "можно ли доверять такой системе безопасности и всей платежной системе?". (Пока писал ниже уже добавили про ремень безопасности из бумаги. Очень хорошая аналогия.)