[NUOVO SITO] Genera il tuo indirizzo bitcoin personalizzato (vanity address) - page 5.

picchio

legendary

Activity: 2506

Merit: 1120

Quote from: vanitybitcoin.org on December 16, 2015, 10:03:34 AM

Quote from: picchio on December 16, 2015, 08:04:14 AM

Non riesco a capire come possa "stampare su file txt" e poi in uno zip senza salvare da nessuna parte. O in ram (pericolo di perdere tutto il lavoro) o su file temporaneo, da qualche parte sta chiave prende forma sul filesystem.
Cosa mi sfugge?

Ciao picchio, grazie per il tuo intervento

in fondo non è niente di complicato, forse è meglio scrivere i vari passaggi:

- Se è un pattern gratuito:

1. Inoltro della richiesta dall'utente
2. Generazione automatica della chiave da un computer e stampa su file txt
3. Creazione file zip con file txt all'interno
4. Upload file zip su server (file zip non raggiungibile direttamente da browser)
5. Creazione link monouso per il download del file zip
6. Email automatica all'utente con link per il download
7. A download avvenuto, distruzione automatica del link e del file zip sul server.

Se è un pattern a pagamento:

1. Inoltro della richiesta dall'utente
2. Email automatica con indirizzo bitcoin per il pagamento
3. Dopo 3 conferme sulla transizione del pagamento, stessa procedura per un pattern gratuito.

A proposito, volevo chiedervi anche, come vi sembrano 3 conferme? Sono poche? O troppe?

Sto fiie viene salvato. Almeno fai mettere una password al .zip, in ftp lo prelevo o in sftp? peche' ftp passa in chiaro.

A questo punto direi:
per la *tua* tranquillità non pubblicare e non offrire un servizio che potrebbe metterti a rischio di eventuali hack.
Il protocollo deve essere sicuro prima di tutto per la tua tranquillità non per quella dell'utilizzatore.
Con un servizio del genere avresti solo utenti sprovveduti che tanto rischierebbero di perdere tutto in altro modo ... qualche scammer lo trovano prima o poi.

TheBomber999

legendary

Activity: 1274

Merit: 1001

"shh, he's coding..."

Quote from: vanitybitcoin.org on December 16, 2015, 10:03:34 AM

A proposito, volevo chiedervi anche, come vi sembrano 3 conferme? Sono poche? O troppe?

Bravo, continua a ignorare il vero nocciolo della questione Grin

vanitybitcoin.org

newbie

Activity: 28

Merit: 0

Quote from: picchio on December 16, 2015, 08:04:14 AM

Non riesco a capire come possa "stampare su file txt" e poi in uno zip senza salvare da nessuna parte. O in ram (pericolo di perdere tutto il lavoro) o su file temporaneo, da qualche parte sta chiave prende forma sul filesystem.
Cosa mi sfugge?

Ciao picchio, grazie per il tuo intervento

in fondo non è niente di complicato, forse è meglio scrivere i vari passaggi:

- Se è un pattern gratuito:

1. Inoltro della richiesta dall'utente
2. Generazione automatica della chiave da un computer e stampa su file txt
3. Creazione file zip con file txt all'interno
4. Upload file zip su server (file zip non raggiungibile direttamente da browser)
5. Creazione link monouso per il download del file zip
6. Email automatica all'utente con link per il download
7. A download avvenuto, distruzione automatica del link e del file zip sul server.

Se è un pattern a pagamento:

1. Inoltro della richiesta dall'utente
2. Email automatica con indirizzo bitcoin per il pagamento
3. Dopo 3 conferme sulla transizione del pagamento, stessa procedura per un pattern gratuito.

A proposito, volevo chiedervi anche, come vi sembrano 3 conferme? Sono poche? O troppe?

TheBomber999

legendary

Activity: 1274

Merit: 1001

"shh, he's coding..."

Quote from: vanitybitcoin.org on December 16, 2015, 07:49:14 AM

Si è vero purtroppo, comunque un minimo di sicurezza già l'ho implementato, spiego anche come: il sito utilizza per lo più codice php e javascript, e ci sono degli accorgimenti, anche nei piccoli dettagli, sull'invio di moduli ad esempio, sull'ottenimento e il "trasporto" delle informazioni da pagina a pagina, sul metodo di connessione, scrittura, lettura file con il db, permessi file e permessi htaccess, accessi negati tramite link diretti e via dicendo, piccoli accorgimenti che ho implementato e testato prima di pubblicare il sito. Ho anche fatto molteplici test, tanto per dirne uno, ho provato a scaricare un file zip caricato sul server con un famoso e valido programma di download che è capace di cercare i file all'interno dei server e di scaricarli anche quando il link per il download è nascoto (non so se lo conoscete, si chiama jdownloader), risultato: file offline

in poche parole, nonostante il file sia sul server, non riesce a trovarlo e a scaricarlo Grin

durante la costruzione del sito non pensavo di riuscire anche in questo, ma visto l'impresa ho poi finalmente deciso di pubblicare il sito

Ma non è solo questione di sicurezza del server, qui tu chiedi un atto di fede.

O porti prove inconfutabili che tu non sia a conoscenza delle chiavi private che generi, oppure persone con un minimo (ma proprio minimo minimo (ma proprio minimo minimo minimo)) di cervello non utilizzeranno mai address generati sul tuo sito

picchio

legendary

Activity: 2506

Merit: 1120

Quote from: vanitybitcoin.org on December 16, 2015, 02:50:54 AM

...
Nel db non viene salvato niente, e neanche da altre parti, perchè sia indirizzo che chiave appena generate vengono stampate su file txt e messe dentro zip, ma non vengono salvate da nessuna parte...
...

Non riesco a capire come possa "stampare su file txt" e poi in uno zip senza salvare da nessuna parte. O in ram (pericolo di perdere tutto il lavoro) o su file temporaneo, da qualche parte sta chiave prende forma sul filesystem.
Cosa mi sfugge?

vanitybitcoin.org

newbie

Activity: 28

Merit: 0

Quote from: kronkodil on December 16, 2015, 06:43:35 AM

Purtroppo sul forum, per 10 persone oneste, ci sono 100 scammer che farebbero di tutto pur di fregare anche solo 1 mbt

Si è vero purtroppo, comunque un minimo di sicurezza già l'ho implementato, spiego anche come: il sito utilizza per lo più codice php e javascript, e ci sono degli accorgimenti, anche nei piccoli dettagli, sull'invio di moduli ad esempio, sull'ottenimento e il "trasporto" delle informazioni da pagina a pagina, sul metodo di connessione, scrittura, lettura file con il db, permessi file e permessi htaccess, accessi negati tramite link diretti e via dicendo, piccoli accorgimenti che ho implementato e testato prima di pubblicare il sito. Ho anche fatto molteplici test, tanto per dirne uno, ho provato a scaricare un file zip caricato sul server con un famoso e valido programma di download che è capace di cercare i file all'interno dei server e di scaricarli anche quando il link per il download è nascoto (non so se lo conoscete, si chiama jdownloader), risultato: file offline

in poche parole, nonostante il file sia sul server, non riesce a trovarlo e a scaricarlo Grin

durante la costruzione del sito non pensavo di riuscire anche in questo, ma visto l'impresa ho poi finalmente deciso di pubblicare il sito

gbianchi

legendary

Activity: 3080

Merit: 2641

Quote from: vanitybitcoin.org on December 16, 2015, 06:31:08 AM

Innanzi tutto grazie per aver detto la tua

ovviamente sto lavoro per cercare di migliorare l'aspetto "sicurezza", anche se c'è poco da fare, nel senso che per generare questo tipo di indirizzi, uno script che sia php o java o qualsiasi altro non sarebbe capace di generare indirizzi bitcoin personalizzati in tempi accettabili, ecco perchè dovevo scegliere questa strada... detto in breve, per generare indirizzi personalizzati ci vuole necessariamente una macchina..

eh si. Io quando ho fatto un po' di esperimenti in questo senso, ho visto che l'ìunica strada e' usare
delle GPU belle potenti programmate apposta.

E quindi si, non e' che tutti hanno a disposizione un ambiente HW adeguato, ci vuole un server.

Comunque una soluzione c'e' Wink

kronkodil

legendary

Activity: 1050

Merit: 1005

Purtroppo sul forum, per 10 persone oneste, ci sono 100 scammer che farebbero di tutto pur di fregare anche solo 1 mbt , quindi la fiducia in un progetto che "potrebbe" essere a rischio, non la troverai mai

vanitybitcoin.org

newbie

Activity: 28

Merit: 0

Quote from: gbianchi on December 16, 2015, 05:59:14 AM

guarda, da come scrivi si vede benissimo che davvero non hai intenzioni truffaldine.

Resta pero' il fatto, imprescindibile, che non puoi chiedere alla gente di fidarsi di te.
Se non altro peche' magari tu hai tutte le piu' buone intenzioni del mondo, ma poi
qualche malintenzionato o haker prende il controllo del tuo sito e truffa tutti, te compreso.

Morale: e' IMPENSABILE fornire un servizio del genre con i calcoli fatti lato server.
Bisogna per forza che il calcolo (e quindi la chiave privata generata) non esca MAI
dal dispositivo dell'utente che dovra' usarla.

Inoltre, ma questa e' una paturnia mia, anche un javascript io ci penserei 10 volte prima di usarlo
(chi ha voglia di controllare che tutto il codice javascript di un sito per verificare che non abbia qualche
trucchetto che spedisce le chiavi generate ?)

Innanzi tutto grazie per aver detto la tua

ovviamente sto lavoro per cercare di migliorare l'aspetto "sicurezza", anche se c'è poco da fare, nel senso che per generare questo tipo di indirizzi, uno script che sia php o java o qualsiasi altro non sarebbe capace di generare indirizzi bitcoin personalizzati in tempi accettabili, ecco perchè dovevo scegliere questa strada... detto in breve, per generare indirizzi personalizzati ci vuole necessariamente una macchina..

gbianchi

legendary

Activity: 3080

Merit: 2641

Quote from: vanitybitcoin.org on December 16, 2015, 03:30:35 AM

Quote from: Zazzu on December 16, 2015, 01:24:33 AM

Pur non volendo mettere in dubbio la tua buona fede, resta il fatto che dal momento che le chiavi vengono generate sul server e considerando che si tratta di un obiettivo che potrebbe far gola a molti, qualcuno potrebbe trovare il modo di entrare nel tuo server e salvarsi le chiavi...

a questo ho già pensato, questo potrebbe succedere solo se io salvassi le chiavi, ma non essendo salvate da nessuna parte, anche "riuscendo ad entrare sul server" non trova nulla

guarda, da come scrivi si vede benissimo che davvero non hai intenzioni truffaldine.

Resta pero' il fatto, imprescindibile, che non puoi chiedere alla gente di fidarsi di te.
Se non altro peche' magari tu hai tutte le piu' buone intenzioni del mondo, ma poi
qualche malintenzionato o haker prende il controllo del tuo sito e truffa tutti, te compreso.

Morale: e' IMPENSABILE fornire un servizio del genre con i calcoli fatti lato server.
Bisogna per forza che il calcolo (e quindi la chiave privata generata) non esca MAI
dal dispositivo dell'utente che dovra' usarla.

Inoltre, ma questa e' una paturnia mia, anche un javascript io ci penserei 10 volte prima di usarlo
(chi ha voglia di controllare che tutto il codice javascript di un sito per verificare che non abbia qualche
trucchetto che spedisce le chiavi generate ?)

vanitybitcoin.org

newbie

Activity: 28

Merit: 0

Quote from: Zazzu on December 16, 2015, 01:24:33 AM

Pur non volendo mettere in dubbio la tua buona fede, resta il fatto che dal momento che le chiavi vengono generate sul server e considerando che si tratta di un obiettivo che potrebbe far gola a molti, qualcuno potrebbe trovare il modo di entrare nel tuo server e salvarsi le chiavi...

a questo ho già pensato, questo potrebbe succedere solo se io salvassi le chiavi, ma non essendo salvate da nessuna parte, anche "riuscendo ad entrare sul server" non trova nulla

vanitybitcoin.org

newbie

Activity: 28

Merit: 0

Quote from: xeryan on December 15, 2015, 09:46:07 PM

no allora non ci siamo.. e se tu ti salvi la privkey nel db prima di scriverla sullo zip e inviarla per email ? io utente come faccio a saperlo?
non rischia niente? il rischio è al 99.9% e quella del link ad utilizzo unico è una mezza 'protezione' che andrebbe pure bene, se i dati non fossero così sensibili come lo può essere una privkey o una password, passando per il tuo server

è un progetto, un hobby come hai scritto tu, ma in questo momento eviterei di guadagnarci soldi

Nel db non viene salvato niente, e neanche da altre parti, perchè sia indirizzo che chiave appena generate vengono stampate su file txt e messe dentro zip, ma non vengono salvate da nessuna parte... Comunque è solo un hobby, non è per guadagnarci soldi, ma per generare indirizzi con pattern da 6 caratteri fino ad un massimo di 9 costa veramente soldi. vi faccio un esempio, per generare che so, 1Donationxxxxxxxxxxxxxxxx, 8 caratteri, che può sembrare anche un indirizzo quasi comune, ci possono volere fino a 40-50 giorni solo per generarlo, capite bene voi stessi che tenere acceso la macchina 40-50 giorni ha un costo...

Zazzu

sr. member

Activity: 518

Merit: 256

Living the truth....

Pur non volendo mettere in dubbio la tua buona fede, resta il fatto che dal momento che le chiavi vengono generate sul server e considerando che si tratta di un obiettivo che potrebbe far gola a molti, qualcuno potrebbe trovare il modo di entrare nel tuo server e salvarsi le chiavi...

xeryan

sr. member

Activity: 337

Merit: 250

HTML5/Node.js/PHP developer

Quote from: vanitybitcoin.org on December 15, 2015, 09:22:05 PM

per questo motivo ho implementato quanto meno il download con file zip, il tutto tramite un link monouso... in questo modo è possibile scaricare il file soltanto una sola volta, e se per qualche motivo il download link dovesse restituire l'errore (link scaduto o file già scaricato) l'utente, non potendo scaricare quel file deve generare un nuovo indirizzo e così è sicuro che non rischia niente...

no allora non ci siamo.. e se tu ti salvi la privkey nel db prima di scriverla sullo zip e inviarla per email ? io utente come faccio a saperlo?
non rischia niente? il rischio è al 99.9% e quella del link ad utilizzo unico è una mezza 'protezione' che andrebbe pure bene, se i dati non fossero così sensibili come lo può essere una privkey o una password, passando per il tuo server

è un progetto, un hobby come hai scritto tu, ma in questo momento eviterei di guadagnarci soldi

Quote from: vanitybitcoin.org

conosco siti che generano indirizzi e chiavi private e li inviano tranquillamente tramite email come se nulla fosse

e quelli sono siti da evitare come la peste bubbonica! Lips sealed

vanitybitcoin.org

newbie

Activity: 28

Merit: 0

Ciao Anon39, grazie per i tuoi consigli. Ripeto: il mio è solo hobby, all'inizio era tutto un progetto (anzi un sogno) se mai fossi riuscito a realizzarlo, adesso ovviamente il progetto non è concluso, anzi, cercherò di migliorarlo, comunque conosco siti che generano indirizzi e chiavi private e li inviano tranquillamente tramite email come se nulla fosse, per questo motivo ho implementato quanto meno il download con file zip, il tutto tramite un link monouso... in questo modo è possibile scaricare il file soltanto una sola volta, e se per qualche motivo il download link dovesse restituire l'errore (link scaduto o file già scaricato) l'utente, non potendo scaricare quel file deve generare un nuovo indirizzo e così è sicuro che non rischia niente...

Anon39

legendary

Activity: 1526

Merit: 1010

▇ ▅ ▃ ▇ ▅ █

@xeryan
La generazione di address vanity complessi non può essere fatta in locale dal browser perché per ogni carattere personalizzato che si aggiunge aumenta in modo esponenziale la difficoltà, per generare un address da 8 caratteri personalizzati servono ore/giorni anche con sistemi multigpu, ed è per questo che il sito si farebbe pagare.

Anon39

legendary

Activity: 1526

Merit: 1010

▇ ▅ ▃ ▇ ▅ █

C'è un modo sicuro per generare vanity address per conto di altri che non richiede fiducia, ti consiglio di implementarlo:
Link1
Link2

EDIT: metodo implementato, complimenti

xeryan

sr. member

Activity: 337

Merit: 250

HTML5/Node.js/PHP developer

Quote from: vanitybitcoin.org on December 15, 2015, 08:44:59 PM

Purtroppo avevo già pensato a questo però, come sapete, generare un vanity address non è semplice come generarne uno normale, infatti per generare vanity address il sito che citi tu (che conoscevo anch'io) utillizza i siti pool...

Siti pool ? Vabbe, è un peccato perchè l'idea è carina ma al momento è solo un progetto per migliorarsi personalmente

Stavo guardando il codice di https://github.com/pointbiz/bitaddress.org.. credo che uno psicopatico avrebbe un livello di pazzia minore al mio se facessi qualcosa del genere! Grin

vanitybitcoin.org

newbie

Activity: 28

Merit: 0

Quote

Il fatto è che essendo tutto nascosto dal server, nessuno può esserne certo a parte te, che poi sia davvero così non vuol dire niente e come puoi immaginare, la sola fiducia non basta.. vedi la mia risposta precedente.

Purtroppo avevo già pensato a questo però, come sapete, generare un vanity address non è semplice come generarne uno normale, infatti per generare vanity address il sito che citi tu (che conoscevo anch'io) utillizza i siti pool...

xeryan

sr. member

Activity: 337

Merit: 250

HTML5/Node.js/PHP developer

Quote from: vanitybitcoin.org on December 15, 2015, 08:34:17 PM

Quote

E cosa dovrebbe garantire che tu non sia a conoscenza della private key che generi?

Ciao, sia l'indirizzo che la chiave privata sono generate automaticamente da un computer e gestite dal server, dove poi viene creato un link (accessibile solo una volta!) per il download tramite file zip. Questo significa che non appena si riceve l'email con il download link e lo apri per scaricare il file zip, quel file non è più accessibile, solo tu sei a conoscenza di ciò che contiene il file

Il fatto è che essendo tutto nascosto dal server, nessuno può esserne certo a parte te, che poi sia davvero così non vuol dire niente e come puoi immaginare, la sola fiducia non basta.. vedi la mia risposta precedente.

Ricapitolando: usa SOLTANTO javascript, al server non deve essere inviato niente

Topic: [NUOVO SITO] Genera il tuo indirizzo bitcoin personalizzato (vanity address) - page 5. (Read 4152 times)