Pages:
Author

Topic: Хочу прикупить монет для пробы - page 3. (Read 8913 times)

sr. member
Activity: 340
Merit: 252
Нет защиты по паролю-  напишите её! Не умеете - заплатите тому, кто умеет. Не хотите платить ? Ну на нет и суда нет.
full member
Activity: 224
Merit: 100
CODERsp, Я с Вами согласен. Все их аргументы можно списать на проблему роста. Версия программы только 0.3.20. К версии 1.0 выйдет то, что хотят пользователи.  Smiley
sr. member
Activity: 280
Merit: 250
Quote
Знаете, я вот читаю Вашу дискуссию и понимаю, что спорить бесполезно, потому что человек, который всеми силами хочет защитить любимую систему, придумает массу несуществующих аргументов и недостатков других систем. Ну ясно же, что в биткоин-клиенте защиты нет никакой вообще и ничего в этом хорошего нет. Для гиков может это и не стоит проблемой, т.к. они сами умеют защищать свой комп, но вы то хотите, чтобы система стала массово популярной. Так какого хрена тогда гоните на вебмани, что она такая капец сложная и ей невыносимо пользоваться, если в будущем биткоин придет к тому же и к тому времени вы будете говорить, что это уже преимущество? Неужели нельзя признаться, что система не идеальна и еще предстоит немало работы, чтобы сделать ее совершенной? Это же вполне очевидно, что всему свое время. Ведете себя как дети, честное слово.

Вы просто не понимаете технической стороны вопроса. Разница между централизованной системой типа вебмани и децентрализованной очень большая.

Любой файл который находиться на удалённом сервере защитить значительно проще, чем файл который лежит на вашем компьютере.
Например просто грандиозное количество программ взломано (для них пишутся кряки), даже такие серьёзные, как фотошоп, корел, да тот же виндовс. А всё почему, потому что он в вашем распоряжении, хотите ковыряете его сколько влезет пока не взломаете, ни кто вам не помешает.
И другая сторона медали онлайн-игры, там всё находиться на удалённом серевере и доступ к ним практически ни ломают, потому что это очень затруднительно.

Собственно в этом и проблема, какую бы защиту ни делать для локального файла кошелька, её может легко снять квалифицированный программист и выложить кряк в сеть, разработчики пока занимаются более насущными проблемами по написанию ядра, защиты можно будет потом сделать, но только как надстройку. так как строить тонны заграждений, который можно будет легко взломать, бесполезный труд.


sr. member
Activity: 350
Merit: 252
probiwon.com
full member
Activity: 185
Merit: 100
Знаете, я вот читаю Вашу дискуссию и понимаю, что спорить бесполезно, потому что человек, который всеми силами хочет защитить любимую систему, придумает массу несуществующих аргументов и недостатков других систем. Ну ясно же, что в биткоин-клиенте защиты нет никакой вообще и ничего в этом хорошего нет. Для гиков может это и не стоит проблемой, т.к. они сами умеют защищать свой комп, но вы то хотите, чтобы система стала массово популярной. Так какого хрена тогда гоните на вебмани, что она такая капец сложная и ей невыносимо пользоваться, если в будущем биткоин придет к тому же и к тому времени вы будете говорить, что это уже преимущество? Неужели нельзя признаться, что система не идеальна и еще предстоит немало работы, чтобы сделать ее совершенной? Это же вполне очевидно, что всему свое время. Ведете себя как дети, честное слово.
full member
Activity: 224
Merit: 100
Рассмотрим ситуацию. Посторонний человек находит клочок бумажки, на котором  написано название банка, логии и пароль. Владелец этого клочка просто обронил (забыл) его. Нашедший пытается войти в Интернет банкинг. Но его не пускает т.к. владелец счета предусмотрительно привязал аккаунт к определенному IP.
Как он узнает кто обронил этот клочок? Это был мужчина или женщина?
Как этот «любопытный» посторонний узнает к какому IP адресу привязан аккаунт?
Quote
Но с проксями привязка к ip бессмысленна - согласны?
С этим согласен полностью.
sr. member
Activity: 340
Merit: 252
узнать ip проще простого Smiley достаточно чтобы вы открыли ЛЮБУЮ левую ссылку и ваш ip светится Smiley
Если вы не через кучи проксей бегаете. ( Но с проксями привязка к ip бессмысленна - согласны? )
full member
Activity: 224
Merit: 100
Quote
В таком случае пароль на кошельке тем более бесполезен.
Согласен. Любое шифрование абсолютно бесполезно. Могут докопаться до hidden volume. Все зависит от степени важности и ценности информации.

Почему Вы считаете, что привязка аккаунта к реальному IP создает иллюзию безопасности? Расскажите более подробно. Покажите на примере.
Да, я согласен, что это создает некоторые не удобства самому пользователю. Сам не раз попадал так. Но, эти не удобства меня убедили в их эффективности. Если  посторонний человек каким-либо способом получит мой логин и пароль.
Как он узнает к какому IP адресу привязан аккаунт?
Как назначит этот IP своему компьютеру?
sr. member
Activity: 868
Merit: 251
Quote
Чтобы угнать, например, мой криптоконтейнер, надо:
Все Ваши контейнеры легко взламываются «терморектальным криптоанализом». Если хранящееся информация на Ваших дисках заинтересует воров, то они все равно получат к ней доступ. Слабое место это человек. Сломать человека гораздо проще. Все зависит от степени важности и ценности информации.
В таком случае пароль на кошельке тем более бесполезен.

Что касается терморектального - есть в том же трукрипте hidden volume.
sr. member
Activity: 340
Merit: 252
Если вам нужен какой то функционал - предлагайте за это деньги. Free - от слова свобода а не от слова халява
full member
Activity: 224
Merit: 100
Quote
я предлагаю автоматизировать эту задачу и сделать вызов этих средств ОС из интерфейса bitcoin.
потому что в разных OS это делается по-разному - наличие единого интерфейса облегчило бы использование программы
Ну, вот же есть люди которые думают о пользователях, а не о том сколько там строчек кода надо дописать. Ах, как много… Лучше придумать нелепые отговорки и не делать!
Quote
так же, пропадет вопрос пользователей "а где безопасность" (т.к. она будет там, где ее ожидают увидеть)
Правильно. Пользователям не важно как это работает или через что. Посмотрите, как сделана WebMoney. На выбор представлены различные способы обезопасить свои деньги от кражи.
sr. member
Activity: 340
Merit: 252
http://tinyurl.com/6eqxqln

Это общая информация. А конкретно к каждой операционной системе в нашей вике появится позже.
Мог бы и сам подыскать, перевести и добавить в вику.... прежде чем притензии заявлять
full member
Activity: 224
Merit: 100
Quote
Чтобы угнать, например, мой криптоконтейнер, надо:
Все Ваши контейнеры легко взламываются «терморектальным криптоанализом». Если хранящееся информация на Ваших дисках заинтересует воров, то они все равно получат к ней доступ. Слабое место это человек. Сломать человека гораздо проще. Все зависит от степени важности и ценности информации.

Quote
Криптуйте директорию с кошельком средствами ОС - оно уже есть и работает, ничего писать не надо.
Окей! Smiley  Где FAQ как это сделать? Чтобы любая кухарка прочла этот FAQ и зашифровала свою папку с кулинарными рецептами.  Smiley
legendary
Activity: 1386
Merit: 1000
Криптуйте директорию с кошельком средствами ОС - оно уже есть и работает, ничего писать не надо.

я предлагаю автоматизировать эту задачу и сделать вызов этих средств ОС из интерфейса bitcoin.
потому что в разных OS это делается по-разному - наличие единого интерфейса облегчило бы использование программы

автоматизация всего - основная задача IT

сократятся трудозатраты пользователей на обучение, так как интерфейс будет специализированный и более простой,
чем у OS (а ведь в некоторых OS это командная строка)

так же, пропадет вопрос пользователей "а где безопасность" (т.к. она будет там, где ее ожидают увидеть)

сплошные плюсы. какой я сегодня позитивный.
sr. member
Activity: 350
Merit: 252
probiwon.com
Quote
Пароль украдут при вводе.
Почему такая безусловная уверенность в этом?! Я понять не могу.

Потому что сложность кражи некриптованного кошелька и перехвата пароля одинаковая.

Quote
За мой интернетовский 8 летний стаж я использовал вагон и малую тележку паролей и ни один не украден.

Невозможно определить что какой-либо пароль не был украден.

Quote
Извините, но я не школьник, что только вчера пришел в Сеть. Я знаю, как уберечь логины и пароли и пока мои методы меня не подвели, если у Вас крали пароли, то это Ваши проблемы, а не мои. И грести всех под одну гребенку глупо.

Зачем тогда этот шум? Криптуйте директорию с кошельком средствами ОС - оно уже есть и работает, ничего писать не надо.

Quote
Quote
Вот уж это -- полная чушь, не несущая ничего кроме неудобств пользователю и лишнего риска взлома. Ключевые слова для начала -- NAT и    
   .
Про услугу статического реальный IP-адрес знаем? Реальный IP выделается клиенту на его WAN порт. Если вдруг провайдер зафиксирует конфликт IP он примет меры для выяснения причин. Кстати привязка аккунта к IP усиливает безопасность.

Без комментариев
sr. member
Activity: 868
Merit: 251
Раз пароль однозначно украдут, как вы утверждаете! То как можно гарантировать, что не украдут контейнер Трукрипта и пароль, ключевой файл(ы) к нему, а?
Чтобы угнать, например, мой криптоконтейнер, надо:
1) Угнать сам носитель (не один гигабайт, потому только физически).
2) Угнать рутовский пароль (чтобы внедрить трояна, а также узнать, какой софт шифрования я использую).
3) Угнать приватный ключ и пароль от приватного ключа (собственно трояном).
Причём сделать это одномоментно, ибо, обнаружив пропажу или вторжение, я немедля уничтожу или перешифрую что-нибудь.

В том случае, который вы предлагаете, достаточно угнать небольшой файлик wallet.dat и пароль. При вводе, перехватив клавиатурный ввод трояном или на физическом уровне (я такой девайс чуть ли не на bitcoingadgets видел). Очень хорошее сравнение с воздушными шариками вместо подушки безопасности. Я бы пошёл дальше в аналогиях: это напоминает встраивание автосигнализации в замок зажигания.
Нормальная сигналка анализирует множество параметров автомобиля, включая различные вибрации корпуса и т.п. Сигналка в замке зажигания способна разве что начать орать при вставлении неправильного ключа. Когда в салон проникли, она бесполезна.

Чтобы не угнали wallet.dat и не внедрили трояна, придуманы и отлажены различные системы безопасности, задача которых - именно что противостоять угонам. В том числе криптоконтейнеры и многопользовательские (по-настоящему, а не как винда) ОС. Вводить парольную защиту в биткойн - это две вещи:
1) Делать "свою с блэкджеком и шлюхами", сырую и неэффективную защиту, тем самым
2) Утяжеляя и усложняя код, вводя дополнительные потенциальные уязвимости.

Я не знаю уже как ещё объяснять. Уж сколько раз твердили миру: не плодите лишних сущностей. Не надо просто так отбрасывать опыт людей, которые долго работали над этими вопросами и считать, что "уж я-то точно знаю, что надо сделать". Гениальные идеи возникают весьма редко. Так было в древности, и сейчас мало что изменилось. Объёмы разума и глупости на планете - величины постоянные и от количества населения не зависят.
full member
Activity: 224
Merit: 100
Раз пароль однозначно украдут, как вы утверждаете! То как можно гарантировать, что не украдут контейнер Трукрипта и пароль, ключевой файл(ы) к нему, а?

Quote
Это не уверенность, это знание факта.
Да, живите Вы сознанием факта. Smiley Я живу в реальности. А в реальности есть люди которые ответственно подходят к защите своего компьтера, а есть люди которые наплевательски относятся к этому. Вот у них частенько и крадут пароли, номера банковских карт и т.п.
Самолеты падают это факт. Sad И от этого их не перестали собирать. Собирают и занимается усовершенствованием их систем.
Слабое звено это человек! Во всех сферах его деятельности. Человеческий фактор он везде! Sad Человеку свойственно ошибаться и поэтому системы должны страховать человека везде и всюду.

Quote
Я бы сказал, что создает иллюзию безопасности. Никакого усиления не происходит.
Возможно для хакеров и не происходит. Для гуру хакинга задание ниже должно быть простым:
Вот вам IP 80.94.228.80. Установите у себя на компьтере веб сервак, в корень поместите хмтлку с текстом «Привет от lzsaver. Для Belres’a.» Постучите в бубен, что бы в результате я зайдя по адресу http://80.94.228.80/ увидил Ваше сообщение. И еще набрав tracert 80.94.228.80 я по хопам увидел, что сервак находится где-то в России.
Если Вы это сделаете, то я с Вами соглашусь. Но, пока опыт показывает обратное.
Организация сменила внешний IPшник. И в один прекрасный день бухгалтер попыталась воспользоваться клиент-банком, как через пару секунд позвонил товарищ с СБ банка, с уведомлением, что кто-то пытается зайти под вашим логином /паролем в систему. Эффективность на лицо!
 
Quote
мы дети, которые пишут на ЯВУ и АСМе. Вообще ничего не понимаем и не хотим.
Молодцы что знаете ASM, Java. Но, Вы не хотите понять простых юзеров которые хотят парольную защиту кошелька. Пускай, как Вы считаете, это иллюзия безопасности.
Вора-домушник тоже самое может сказать  про наши двери/окна в квартиры. Иллюзия безопасности и только. Если вора заинтересовала квартира он все равно залезет в нее.
LZ
legendary
Activity: 1722
Merit: 1072
P2P Cryptocurrency
Quote
Пароль украдут при вводе.
Почему такая безусловная уверенность в этом?! Я понять не могу.
Потому что мы знаем, как это делается. Это не уверенность, это знание факта.

За мой интернетовский 8 летний стаж я использовал вагон и малую тележку паролей и ни один не украден.
Если взломщик пропалился на краже пароля - это плохой взломщик. Мое мнение.

Извините, но я не школьник, что только вчера пришел в Сеть.
А мы дети, которые пишут на ЯВУ и АСМе. Вообще ничего не понимаем и не хотим.

Кстати привязка аккунта к IP усиливает безопасность.
Я бы сказал, что создает иллюзию безопасности. Никакого усиления не происходит.
full member
Activity: 224
Merit: 100
Quote
Пароль украдут при вводе.
Почему такая безусловная уверенность в этом?! Я понять не могу. За мой интернетовский 8 летний стаж я использовал вагон и малую тележку паролей и ни один не украден.
Извините, но я не школьник, что только вчера пришел в Сеть. Я знаю, как уберечь логины и пароли и пока мои методы меня не подвели, если у Вас крали пароли, то это Ваши проблемы, а не мои. И грести всех под одну гребенку глупо.

Quote
Вот уж это -- полная чушь, не несущая ничего кроме неудобств пользователю и лишнего риска взлома. Ключевые слова для начала -- NAT и    
   .
Про услугу статического реальный IP-адрес знаем? Реальный IP выделается клиенту на его WAN порт. Если вдруг провайдер зафиксирует конфликт IP он примет меры для выяснения причин. Кстати привязка аккунта к IP усиливает безопасность.

Quote
Простейший вариант мошенничества:
Спасибо за Багамы.  Smiley Клиент спокойно засудит банк т.к. его физически не могло быть в банке и предоставит док-ва: авиабилет, свидетельские показания. И суд будет на его стороне. Банку такие инциденты не нужны и СБ банка сразу такое пресекает.
Про такие случаи в Беларуси не слышал. Если происходили, то ссылкой киньте.
 
Как Вы все живете в таком злом мире. "Пароль украдут при вводе.", "Пароли это признак дилетанта и не доверие к системе."
У Вас у всех входная дверь на замках? Ее вскроют! Зачем она, смысл!? Бытовую технику прибейте к полу, картины прибейте к стенам, люстру к потолку.
adv
full member
Activity: 168
Merit: 100
С позволения модератора (нужно ли создавать отдельную тему, раз уже практически всё расписали тут?) я все-таки допишу, чтобы впредь пореже возвращаться к этому вопросу, и дать некоторый материал для FAQ (а позже ругаться на людей, оный не читавших).

Quote
Много паролей на все случаи жизни подразумевают что каждый отдельный пароль будет легко взламываемым. Это ограничение человека, которому сложно запомнить большое количество действительно хороших паролей.
Для этого есть онлайн генераторы паролей, программы. И не надо запоминать, сохранить в файл и спрятать этот файл подальше. Надо учить юзеров общим правилам создания паролей.
Скажу больше: есть и не онлайн генераторы (которые не будут сливать ваши свежие пароли налево). Только файл с паролями (пусть даже на Н-ной странице) -- всего лишь один из вариантов "пароля на бумажке". Вредность такого подхода обсуждалась многократно.

Для Интернет банкинга выдают токины, список ключей,
Вот это уже лучше. Но кто будет выдавать токены? Авторизованного центра нет. Временные пароли ведь надо периодически добавлять по мере использования, либо утраты старых.
Можно встроить генератор токенов в программу, но что тогда мешает злоумышленнику спереть ее вместе с бумажником и сгенерировать себе новые токены?
И опять-таки сгенерированные токены надо записать на бумажку..... и т.д. и т.п.
Возможно, в таком подходе есть еще какие-то минусы, которые сразу-же не пришли мне в голову.

Гораздо лучше помнить одну действительно сложную пассфразу типа "Варкалось!!! Хливкие пырьки. Шныряли по наве, И лопотали лизюки. Как мюмзики в мове!" (только не цитату, а свою). И этой самой пассфразой шифровать сразу много данных (да, это снова ТруКрипт и т.п.). Фразу, кстати, неплохо почаще менять.

доступ с определенного IP и т.п.
Вот уж это -- полная чушь, не несущая ничего кроме неудобств пользователю и лишнего риска взлома. Ключевые слова для начала -- NAT и DHCP.

Банк предоставляет все чтобы клиент, если у него украли/потерял карту не потерял свои деньги.
Как я уже напоминал выше, авторизованного центра нет. Куда вы пойдете с паспортом, когда захотите получить новый пароль вместо утерянного, и что помешает злоумышленнику поступить также, прикидываясь вами?
В случае банка, кстати, мастер-паролем для получения нового пароля, или новой карты является удостоверение вашей личности (паспорт и совпадающая подпись). Простейший вариант мошенничества: пока вы в месячном отпуске на Багамах, злоумышленник приходит в банк с поддельным паспортом на ваше имя, но своей фотографией, старательно выводит вашу подпись на заявлении о выдаче карты взамен утерянной и, вуаля, -- получает новую карту с новыми, паролями, токенами, защитами ИП, бекджеком, шлюхами и всеми вашими деньгами.

Разработчики таких систем должны думать о сохранности денег пользователей потому, что от этого зависит доверие к системе в целом.
Есть хорошая поговорка: "Не ошибается тот, кто ничего не делает". Этот замечательный принцип работает в обе стОроны, и, при больших рисках, лучше именно ничего не делать (по крайней мере, если не можешь сделать хорошо).

Предвидя встречный шквал поговорок типа "Не плюй в колодец, вылетит не поймаешь" и пр. приведу простой пример.
У вас есть некий капитал, скопленный за большую часть жизни. Скажем на квартиру в центре МСК.  Но потратить вы его можете только целиком. Что вы предпочтете:
1. Целиком положить его в банк/кубышку и гарантировано остаться при своих.
2. Пойти в казино и, поставив его целиком на номер, выиграть в 35 раз больше с вероятностью 1/38?
Бытовая логика должна подсказать вам простой ответ: лучше не рисковать остаться БОМЖом и ничего не делая мирно хранить деньги в чулке, надеясь на то, что дорогому правительству не придет в голову очередная деноминация.

Для меня лично, появление в биткоине "системы паролей с защитой от взлома" будет как раз тревожным звоночком того, что в разработчики попал дилетант, имеющий смутное представление о безопасности. А как следствие встает вопрос "можно ли доверять такой системе безопасности и всей платежной системе?". (Пока писал ниже уже добавили про ремень безопасности из бумаги. Очень хорошая аналогия.)
Pages:
Jump to: