Muito boa essa atualização do Mercado Bitcoin.
Dá um novo nível de segurança, em termos de usuário, saber que agora eles tem uma terceirização efetuando monitoramento.
Topic: olha ai galera, vamos abrir o olho![SECURITY] (Read 2373 times)
so pra dar um update. parece que este thread ja esta surtindo efeito. Mercado Bitcoin acaba de me informar por PM que acaba de implementar o EV SSL (Certificado de Validação Avançada)
tmb me informou que depois do roubo, sao "paranoicos" com seguranca. disseram que sou muito bem vindo com esse thread, levantando essas questoes (nao como outros, me acusando de engenharia social).
O mercado tmb informa sobre a sua pagina sobre seguranca, que fala EXATAMENTE o que eu estavo falando p o andre. ter uma companhia de fora, renomada, para fazer security audits. isso e mesmo o minimo que podemos esperar. a companhia contratada parece bem seria, Proteus, provavelmente seria um bom comeco para o guia de seguranca.
https://www.mercadobitcoin.com.br/seguranca/
quero tbm deixar bem claro a minha posicao aqui. nao sou afiliado a nenhuma exchange. nao puxo o saco de ninguem, nem sou "amiguinho" de nenhum dos donos. sou apenas um web developer, muito interessado em bitcoins, tanto do ponto de vista revolucionario, como do ponto financeiro/investimento, e a maior razao/motivo que me fez abrir esse thread, e pelo fato que tenho uma boa soma de dinheiro em reais e estava seriamente pensando em comprar nas nossas exchanges.
tmb me informou que depois do roubo, sao "paranoicos" com seguranca. disseram que sou muito bem vindo com esse thread, levantando essas questoes (nao como outros, me acusando de engenharia social).
O mercado tmb informa sobre a sua pagina sobre seguranca, que fala EXATAMENTE o que eu estavo falando p o andre. ter uma companhia de fora, renomada, para fazer security audits. isso e mesmo o minimo que podemos esperar. a companhia contratada parece bem seria, Proteus, provavelmente seria um bom comeco para o guia de seguranca.
https://www.mercadobitcoin.com.br/seguranca/
quero tbm deixar bem claro a minha posicao aqui. nao sou afiliado a nenhuma exchange. nao puxo o saco de ninguem, nem sou "amiguinho" de nenhum dos donos. sou apenas um web developer, muito interessado em bitcoins, tanto do ponto de vista revolucionario, como do ponto financeiro/investimento, e a maior razao/motivo que me fez abrir esse thread, e pelo fato que tenho uma boa soma de dinheiro em reais e estava seriamente pensando em comprar nas nossas exchanges.
Um guia das melhoras práticas será ótimo!
(...) vou pedir a gentileza de outros membros como girino (...)
Me inclua fora dessa. Sou novato aqui e não vou me envolver em brigas e confusões que desconheço... Só palpitei porque já tinha verificado e visto que o problema do certificado era um problema inofensivo. Daí a correr atras de derrubar um ou outro, tou fora!
(...) vou pedir a gentileza de outros membros como girino (...)
Me inclua fora dessa. Sou novato aqui e não vou me envolver em brigas e confusões que desconheço... Só palpitei porque já tinha verificado e visto que o problema do certificado era um problema inofensivo. Daí a correr atras de derrubar um ou outro, tou fora!
O https com "falha", é só subistituir todos os links http da página por https.
Já o nome aparecendo no SSL, é pq usam o EV SSL (Certificado de Validação Avançada).
Já o nome aparecendo no SSL, é pq usam o EV SSL (Certificado de Validação Avançada).
O link que está quebrado é do site da nossa empresa, e não da exchange.
Obrigado por oferecer sua ajuda!
Obrigado por oferecer sua ajuda!
Lembrando que não existe em TI sistema 100% seguro! Alguém duvida disso?
Por isso nossa maior segurança, é o seguro em caso de roubo. Por sermos uma empresa séria temos condições de pagar 100% nossos clientes, caso algum roubo ocorra.
meu amigo, vc nao ta entendendo a situacao. SECURITY, e um topico muito amplo. nao e apenas sobre o fato de vc garantir o dinheiro que foi depositado sobre a sua custodia. seguranca, e muito mais que isso.Por isso nossa maior segurança, é o seguro em caso de roubo. Por sermos uma empresa séria temos condições de pagar 100% nossos clientes, caso algum roubo ocorra.
vc tem que proteger o seu cliente em todos os pontos de vista. examplo, vc nao quer que informacoes pessoais de seus clientes, caiam nas maos erradas. voce nao quer some "nasty javascript" no seu site, contaminando o computador dos seus clients, etc, etc.
falando serio Andre, quero muito falar com quem escreveu o code do seu site se for possivel, isso tudo aqui nao e uma brincadeira. por favor, nao me leve a mal, te respeito como empresario, tal e coisa, tocando a bitcoin no brasil, mas nao penso que vc tem a verdadeira dimensao de como o seu site pode ser atacado, e gerar um monte de problemas, nao so roubar o dinheiro que esta guardado sob a sua responsabilidade.
gostaria de falar com o developer, sobre o link que enviei acima, que fala sobre seguranca do software de asp.net. E tmb de outra coisa, que ainda nem falamos aqui, que se chama "pen testing", que quer dizer teste de penetracao, que e conduzido por profissionais da area de seguranca.
eu gostaria muuuuito de saber que a b2u e o servidor foi pen tested for alguma firma specializada em asp.net/microsoft security.
Sinceramente, pergunte ao Itaú ou outro banco se ele aceita conversar com alguém sobre sua arquitetura/código? (seria um método de engenharia social?) Entendo seu lado, mas não posso aceitar isso de forma alguma, é questão de segurança não revelar certas informações. Posso informar que já fizemos testes de segurança no site e estamos sempre investindo em segurança, para a empresa não ter prejuízo, umas vez que não há como nossos usuários/clientes terem prejuízos, já que estão segurados.
provavelmente um banco nao falaria do seu code privado, mas com certeza poderia oferecer certificados de pen-testing conduzidos por uma firma renomada, e acredito, nao hesitaria mencionar o nome dos programadores envolvidos, ou ao mesmo a empresa que trabalham.
repito, nao quero ver o seu code. eu ja sei mais ou menos ele, sem nem mesmo ter acesso ao seu servidor, nao e uma aplicacao complexa. com a minha experiencia de web developer desde 2005, depois aprendendo a programar e usar o linux, te digo que o codigo de uma exchange como vc tem pode ser feito em menos de uma semana. tudo bonitinho, COM UNIT TESTING e tudo incluido.
ja falei e repito. NAO QUERO OLHAR O SEU CODE. quero apenas ter um papinho, ou ao menos referencias de outros trabalhos feitos pelos programadores "experientes" que vc contratou. andre, nada no mundo que nao se resolva com dinheiro. e so contratar uma firma externa, de preferencia do exterior(ou nao) da sua confianca, e fazer um security audit. honestamente, acho que seria necessario.
a pagina da tua empresa ta la, quebrada:
https://bitcointalksearch.org/topic/m.2309552
Lembrando que não existe em TI sistema 100% seguro! Alguém duvida disso?
Por isso nossa maior segurança, é o seguro em caso de roubo. Por sermos uma empresa séria temos condições de pagar 100% nossos clientes, caso algum roubo ocorra.
meu amigo, vc nao ta entendendo a situacao. SECURITY, e um topico muito amplo. nao e apenas sobre o fato de vc garantir o dinheiro que foi depositado sobre a sua custodia. seguranca, e muito mais que isso.Por isso nossa maior segurança, é o seguro em caso de roubo. Por sermos uma empresa séria temos condições de pagar 100% nossos clientes, caso algum roubo ocorra.
vc tem que proteger o seu cliente em todos os pontos de vista. examplo, vc nao quer que informacoes pessoais de seus clientes, caiam nas maos erradas. voce nao quer some "nasty javascript" no seu site, contaminando o computador dos seus clients, etc, etc.
falando serio Andre, quero muito falar com quem escreveu o code do seu site se for possivel, isso tudo aqui nao e uma brincadeira. por favor, nao me leve a mal, te respeito como empresario, tal e coisa, tocando a bitcoin no brasil, mas nao penso que vc tem a verdadeira dimensao de como o seu site pode ser atacado, e gerar um monte de problemas, nao so roubar o dinheiro que esta guardado sob a sua responsabilidade.
gostaria de falar com o developer, sobre o link que enviei acima, que fala sobre seguranca do software de asp.net. E tmb de outra coisa, que ainda nem falamos aqui, que se chama "pen testing", que quer dizer teste de penetracao, que e conduzido por profissionais da area de seguranca.
eu gostaria muuuuito de saber que a b2u e o servidor foi pen tested for alguma firma specializada em asp.net/microsoft security.
Sinceramente, pergunte ao Itaú ou outro banco se ele aceita conversar com alguém sobre sua arquitetura/código? (seria um método de engenharia social?) Entendo seu lado, mas não posso aceitar isso de forma alguma, é questão de segurança não revelar certas informações. Posso informar que já fizemos testes de segurança no site e estamos sempre investindo em segurança, para a empresa não ter prejuízo, umas vez que não há como nossos usuários/clientes terem prejuízos, já que estão segurados.
Lembrando que não existe em TI sistema 100% seguro! Alguém duvida disso?
Por isso nossa maior segurança, é o seguro em caso de roubo. Por sermos uma empresa séria temos condições de pagar 100% nossos clientes, caso algum roubo ocorra.
meu amigo, vc nao ta entendendo a situacao. SECURITY, e um topico muito amplo. nao e apenas sobre o fato de vc garantir o dinheiro que foi depositado sobre a sua custodia. seguranca, e muito mais que isso.Por isso nossa maior segurança, é o seguro em caso de roubo. Por sermos uma empresa séria temos condições de pagar 100% nossos clientes, caso algum roubo ocorra.
vc tem que proteger o seu cliente em todos os pontos de vista. examplo, vc nao quer que informacoes pessoais de seus clientes, caiam nas maos erradas. voce nao quer some "nasty javascript" no seu site, contaminando o computador dos seus clients, etc, etc.
falando serio Andre, quero muito falar com quem escreveu o code do seu site se for possivel, isso tudo aqui nao e uma brincadeira. por favor, nao me leve a mal, te respeito como empresario, tal e coisa, tocando a bitcoin no brasil, mas nao penso que vc tem a verdadeira dimensao de como o seu site pode ser atacado, e gerar um monte de problemas, nao so roubar o dinheiro que esta guardado sob a sua responsabilidade.
gostaria de falar com o developer, sobre o link que enviei acima, que fala sobre seguranca do software de asp.net. E tmb de outra coisa, que ainda nem falamos aqui, que se chama "pen testing", que quer dizer teste de penetracao, que e conduzido por profissionais da area de seguranca.
eu gostaria muuuuito de saber que a b2u e o servidor foi pen tested for alguma firma specializada em asp.net/microsoft security.
Lembrando que não existe em TI sistema 100% seguro! Alguém duvida disso?
Por isso nossa maior segurança, é o seguro em caso de roubo. Por sermos uma empresa séria temos condições de pagar 100% nossos clientes, caso algum roubo ocorra.
Por isso nossa maior segurança, é o seguro em caso de roubo. Por sermos uma empresa séria temos condições de pagar 100% nossos clientes, caso algum roubo ocorra.
provavelmente se trata desses dois scripts quer são carregados de sites sem https:
De qualquer forma o chrome não carrega os scripts exatamente porque estão vindo de sites não seguros. Não sei os outros browsers.
ah, entendo agora. falando agora um pouco de seguranca no asp.net, encontrei um bom link. me pergunto se o dev do andre acompanha tudo que e sugerido De qualquer forma o chrome não carrega os scripts exatamente porque estão vindo de sites não seguros. Não sei os outros browsers.
http://msdn.microsoft.com/en-us/security/aa570401.aspx
provavelmente se trata desses dois scripts quer são carregados de sites sem https:
De qualquer forma o chrome não carrega os scripts exatamente porque estão vindo de sites não seguros. Não sei os outros browsers.
De qualquer forma o chrome não carrega os scripts exatamente porque estão vindo de sites não seguros. Não sei os outros browsers.
hoje resolvi da uma testada la na b2u, e pra minha surpresa, apareceu um escudo cinza, no lado direito do meu browser(chrome-ubuntu).
se eu clico ali, me leva para essa pagina
https://support.google.com/chrome/answer/1342714?hl=en-GB
se eu clico ali, me leva para essa pagina
https://support.google.com/chrome/answer/1342714?hl=en-GB
"Vale lembrar que o site legitimo apresenta um certificado de autenticação, que aparece do lado esquerdo da barra de endereços do navegador, como mostra a imagem:" - Nosso site também, possui cadeado e certificado.
Sugestões são sempre bem vindas!
vc tem cadeado, mas nao aparece o nome da sua empresa, em verde, como aparece na mtgox. Isso pode causar confusao no usuario.Sugestões são sempre bem vindas!
ele pode ver o cadeado de um "phishing" site, e pensar que e o seu, e ser roubado.
Basta clicar no cadeado e o nome da empresa estará lá! Mas é uma boa sugestão para ajudar os usuários mais novatos...
no entanto, se o nome aparece em verde, e muito mais facil de identificar.
recomendo vc modificar isso o mais rapido possivel. vc e responsavel por estar movimentando dinheiro de terceiros. com seguranca, nao se brinca. Isso nao tem nada a ver com ser novato ou nao. se vc prestar bem atencao, quando vc vai login no mtgox, uma mensagem "pop-up", e fala exatamente sobre isso.
aproveitando a oportunidade, gostaria de lhe perguntar quem e o responsavel microsoft/asp.net programmer q fez b2u. foi vc ou um empregado? se nao fosse pedir demais, adoraria escutar ele falar um pouquinho o que ele pensa sobre seguranca, etc, etc. "custom software" as vezes tem buracos, e sempre bom a opiniao de terceiros, vc nao concorda?
o thiago da bitfication, como todos ja sabem, fez um "fork" da ROR exchange distribuido pela bitcoin-central
https://github.com/davout/bitcoin-central
Nossa empresa trabalha com desenvolvimento .net a 3 anos, para grandes indústrias, aonde uma parada de produção de segundas, acarreta prejuízo de milhões! Além disso, somente contrato profissionais experientes. Por motivos de segurança não posso nem pensar em detalhar nada soabre o código, somente que o banco de dados não é free, é criptografado e líder de mercado corporativo.
Lembrando que somos uma empresa registrada, com endereço e transparente, não vivemos só de bitcoin, temos outros clientes e serviços, sendo assim, temos condição de reaver 100% dos nossos clientes caso algum desastre ocorra.
Vc ta certo! Vou verificar como colocar o nome na frente, vlw pela dica!
apesar, de como ja falei, Segurança por obscurantismo, nao me parece uma solucao
"Vale lembrar que o site legitimo apresenta um certificado de autenticação, que aparece do lado esquerdo da barra de endereços do navegador, como mostra a imagem:" - Nosso site também, possui cadeado e certificado.
Sugestões são sempre bem vindas!
vc tem cadeado, mas nao aparece o nome da sua empresa, em verde, como aparece na mtgox. Isso pode causar confusao no usuario.Sugestões são sempre bem vindas!
ele pode ver o cadeado de um "phishing" site, e pensar que e o seu, e ser roubado.
Basta clicar no cadeado e o nome da empresa estará lá! Mas é uma boa sugestão para ajudar os usuários mais novatos...
no entanto, se o nome aparece em verde, e muito mais facil de identificar.
recomendo vc modificar isso o mais rapido possivel. vc e responsavel por estar movimentando dinheiro de terceiros. com seguranca, nao se brinca. Isso nao tem nada a ver com ser novato ou nao. se vc prestar bem atencao, quando vc vai login no mtgox, uma mensagem "pop-up", e fala exatamente sobre isso.
aproveitando a oportunidade, gostaria de lhe perguntar quem e o responsavel microsoft/asp.net programmer q fez b2u. foi vc ou um empregado? se nao fosse pedir demais, adoraria escutar ele falar um pouquinho o que ele pensa sobre seguranca, etc, etc. "custom software" as vezes tem buracos, e sempre bom a opiniao de terceiros, vc nao concorda?
o thiago da bitfication, como todos ja sabem, fez um "fork" da ROR exchange distribuido pela bitcoin-central
https://github.com/davout/bitcoin-central
Nossa empresa trabalha com desenvolvimento .net a 3 anos, para grandes indústrias, aonde uma parada de produção de segundas, acarreta prejuízo de milhões! Além disso, somente contrato profissionais experientes. Por motivos de segurança não posso nem pensar em detalhar nada soabre o código, somente que o banco de dados não é free, é criptografado e líder de mercado corporativo.
Lembrando que somos uma empresa registrada, com endereço e transparente, não vivemos só de bitcoin, temos outros clientes e serviços, sendo assim, temos condição de reaver 100% dos nossos clientes caso algum desastre ocorra.
Vc ta certo! Vou verificar como colocar o nome na frente, vlw pela dica!
"Vale lembrar que o site legitimo apresenta um certificado de autenticação, que aparece do lado esquerdo da barra de endereços do navegador, como mostra a imagem:" - Nosso site também, possui cadeado e certificado.
Sugestões são sempre bem vindas!
vc tem cadeado, mas nao aparece o nome da sua empresa, em verde, como aparece na mtgox. Isso pode causar confusao no usuario.Sugestões são sempre bem vindas!
ele pode ver o cadeado de um "phishing" site, e pensar que e o seu, e ser roubado.
Basta clicar no cadeado e o nome da empresa estará lá! Mas é uma boa sugestão para ajudar os usuários mais novatos...
no entanto, se o nome aparece em verde, e muito mais facil de identificar.
recomendo vc modificar isso o mais rapido possivel. vc e responsavel por estar movimentando dinheiro de terceiros. com seguranca, nao se brinca. Isso nao tem nada a ver com ser novato ou nao. se vc prestar bem atencao, quando vc vai login no mtgox, uma mensagem "pop-up", e fala exatamente sobre isso.
aproveitando a oportunidade, gostaria de lhe perguntar quem e o responsavel microsoft/asp.net programmer q fez b2u. foi vc ou um empregado? se nao fosse pedir demais, adoraria escutar ele falar um pouquinho o que ele pensa sobre seguranca, etc, etc. "custom software" as vezes tem buracos, e sempre bom a opiniao de terceiros, vc nao concorda?
o thiago da bitfication, como todos ja sabem, fez um "fork" da ROR exchange distribuido pela bitcoin-central
https://github.com/davout/bitcoin-central
Aos sites brasileiros de Bitcoin, estejam atentos com seus provedores/planos de hospedagem, pois com essa falha, eles tem muito poder sobre vocês.
"Vale lembrar que o site legitimo apresenta um certificado de autenticação, que aparece do lado esquerdo da barra de endereços do navegador, como mostra a imagem:" - Nosso site também, possui cadeado e certificado.
Sugestões são sempre bem vindas!
vc tem cadeado, mas nao aparece o nome da sua empresa, em verde, como aparece na mtgox. Isso pode causar confusao no usuario.Sugestões são sempre bem vindas!
ele pode ver o cadeado de um "phishing" site, e pensar que e o seu, e ser roubado.
Basta clicar no cadeado e o nome da empresa estará lá! Mas é uma boa sugestão para ajudar os usuários mais novatos...
"Vale lembrar que o site legitimo apresenta um certificado de autenticação, que aparece do lado esquerdo da barra de endereços do navegador, como mostra a imagem:" - Nosso site também, possui cadeado e certificado.
Sugestões são sempre bem vindas!
vc tem cadeado, mas nao aparece o nome da sua empresa, em verde, como aparece na mtgox. Isso pode causar confusao no usuario.Sugestões são sempre bem vindas!
ele pode ver o cadeado de um "phishing" site, e pensar que e o seu, e ser roubado.
Jump to: