Pages:
Author

Topic: olha ai galera, vamos abrir o olho![SECURITY] (Read 2414 times)

legendary
Activity: 1386
Merit: 1000
English <-> Portuguese translations
August 23, 2013, 10:40:58 AM
#27
Muito boa essa atualização do Mercado Bitcoin.
Dá um novo nível de segurança, em termos de usuário, saber que agora eles tem uma terceirização efetuando monitoramento.
full member
Activity: 154
Merit: 100
so pra dar um update. parece que este thread ja esta surtindo efeito. Mercado Bitcoin acaba de me informar por PM que acaba de implementar o EV SSL (Certificado de Validação Avançada)

tmb me informou que depois do roubo, sao "paranoicos" com seguranca. disseram que sou muito bem vindo com esse thread, levantando essas questoes (nao como outros, me acusando de engenharia social).


O mercado tmb informa sobre a sua pagina sobre seguranca, que fala EXATAMENTE o que eu estavo falando p o andre. ter uma companhia de fora, renomada, para fazer security audits. isso e mesmo o minimo que podemos esperar. a companhia contratada parece bem seria, Proteus, provavelmente seria um bom comeco para o guia de seguranca.
https://www.mercadobitcoin.com.br/seguranca/

quero tbm deixar bem claro a minha posicao aqui. nao sou afiliado a nenhuma exchange. nao puxo o saco de ninguem, nem sou "amiguinho" de nenhum dos donos. sou apenas um web developer, muito interessado em bitcoins, tanto do ponto de vista revolucionario, como do ponto financeiro/investimento, e a maior razao/motivo que me fez abrir esse thread, e pelo fato que tenho uma boa soma de dinheiro em reais e estava seriamente pensando em comprar nas nossas exchanges.
legendary
Activity: 1261
Merit: 1000
Um guia das melhoras práticas será ótimo!
full member
Activity: 154
Merit: 100
(...) vou pedir a gentileza de outros membros como girino (...)

Me inclua fora dessa. Sou novato aqui e não vou me envolver em brigas e confusões que desconheço... Só palpitei porque já tinha verificado e visto que o problema do certificado era um problema inofensivo. Daí a correr atras de derrubar um ou outro, tou fora!
nao esquenta nao girino, ninguem aqui ta querendo derrubar ninguem. e so mesmo, um guia de melhores praticas somente, nada intrusivo. a coisa do andre, e que ele fala as coisas e nao pensa nas consequencias.

legendary
Activity: 2296
Merit: 1170
Advertise Here - PM for more info!
(...) vou pedir a gentileza de outros membros como girino (...)

Me inclua fora dessa. Sou novato aqui e não vou me envolver em brigas e confusões que desconheço... Só palpitei porque já tinha verificado e visto que o problema do certificado era um problema inofensivo. Daí a correr atras de derrubar um ou outro, tou fora!
newbie
Activity: 54
Merit: 0
O https com "falha", é só subistituir todos os links http da página por https.
Já o nome aparecendo no SSL, é pq usam o EV SSL (Certificado de Validação Avançada).

 Wink
legendary
Activity: 1261
Merit: 1000
O link que está quebrado é do site da nossa empresa, e não da exchange.

Obrigado por oferecer sua ajuda!
full member
Activity: 154
Merit: 100
Lembrando que não existe em TI sistema 100% seguro! Alguém duvida disso?

Por isso nossa maior segurança, é o seguro em caso de roubo. Por sermos uma empresa séria temos condições de pagar 100% nossos clientes, caso algum roubo ocorra.


meu amigo, vc nao ta entendendo a situacao. SECURITY, e um topico muito amplo. nao e apenas sobre o fato de vc garantir o dinheiro que foi depositado sobre a sua custodia. seguranca, e muito mais que isso.
vc tem que proteger o seu cliente em todos os pontos de vista. examplo, vc nao quer que informacoes pessoais de seus clientes, caiam nas maos erradas. voce nao quer some "nasty javascript" no seu site, contaminando o computador dos seus clients, etc, etc.

falando serio Andre, quero muito falar com quem escreveu o code do seu site se for possivel, isso tudo aqui nao e uma brincadeira. por favor, nao me leve a mal, te respeito como empresario, tal e coisa, tocando a bitcoin no brasil, mas nao penso que vc tem a verdadeira dimensao de como o seu site pode ser atacado, e gerar um monte de problemas, nao so roubar o dinheiro que esta guardado sob a sua responsabilidade.

gostaria de falar com o developer, sobre o link que enviei acima, que fala sobre seguranca do software de asp.net. E  tmb de outra coisa, que ainda nem falamos aqui, que se chama "pen testing", que quer dizer teste de penetracao, que e conduzido por profissionais da area de seguranca.

eu gostaria muuuuito de saber que a b2u e o servidor foi pen tested for alguma firma specializada em asp.net/microsoft security.


Sinceramente, pergunte ao Itaú ou outro banco se ele aceita conversar com alguém sobre sua arquitetura/código? (seria um método de engenharia social?) Entendo seu lado, mas não posso aceitar isso de forma alguma, é questão de segurança não revelar certas informações. Posso informar que já fizemos testes de segurança no site e estamos sempre investindo em segurança, para a empresa não ter prejuízo, umas vez que não há como nossos usuários/clientes terem prejuízos, já que estão segurados.
vc e meio cabeca dura, hein cara? po, depois deu ta te ajudando aqui, vc vem falar de engenharia social? realmente me sinto ofendido com as suas palavras. existem varias exchanges open source por ai a fora, sem falar nos varios outros scripts open source para a comunidade. nao e segredo algum como funciona a sua app. e somente uma CRUD application, que vc movimenta as coins nas wallets. o que estamos falando aqui, e sobre QUEM E O RESPONSAVEL PELO SEU CODE, SENDO QUE VC MESMO DIZ QUE CONTRATA PROFISSIONAIS EXPERIENTES.

provavelmente um banco nao falaria do seu code privado, mas com certeza poderia oferecer certificados de pen-testing conduzidos por uma firma renomada, e acredito, nao hesitaria mencionar o nome dos programadores envolvidos, ou ao mesmo a empresa que trabalham.

repito, nao quero ver o seu code. eu ja sei mais ou menos ele, sem nem mesmo ter acesso ao seu servidor, nao e uma aplicacao complexa. com a minha experiencia de web developer desde 2005, depois aprendendo a programar e usar o linux, te digo que o codigo de uma exchange como vc tem pode ser feito em menos de uma semana. tudo bonitinho, COM UNIT TESTING e tudo incluido.

ja falei e repito. NAO QUERO OLHAR O SEU CODE. quero apenas ter um papinho, ou ao menos referencias de outros trabalhos feitos pelos programadores "experientes" que vc contratou. andre, nada no mundo que nao se resolva com dinheiro. e so contratar uma firma externa, de preferencia do exterior(ou nao) da sua confianca, e fazer um security audit. honestamente, acho que seria necessario.
a pagina da tua empresa ta la, quebrada:
https://bitcointalksearch.org/topic/m.2309552

legendary
Activity: 1261
Merit: 1000
Lembrando que não existe em TI sistema 100% seguro! Alguém duvida disso?

Por isso nossa maior segurança, é o seguro em caso de roubo. Por sermos uma empresa séria temos condições de pagar 100% nossos clientes, caso algum roubo ocorra.


meu amigo, vc nao ta entendendo a situacao. SECURITY, e um topico muito amplo. nao e apenas sobre o fato de vc garantir o dinheiro que foi depositado sobre a sua custodia. seguranca, e muito mais que isso.
vc tem que proteger o seu cliente em todos os pontos de vista. examplo, vc nao quer que informacoes pessoais de seus clientes, caiam nas maos erradas. voce nao quer some "nasty javascript" no seu site, contaminando o computador dos seus clients, etc, etc.

falando serio Andre, quero muito falar com quem escreveu o code do seu site se for possivel, isso tudo aqui nao e uma brincadeira. por favor, nao me leve a mal, te respeito como empresario, tal e coisa, tocando a bitcoin no brasil, mas nao penso que vc tem a verdadeira dimensao de como o seu site pode ser atacado, e gerar um monte de problemas, nao so roubar o dinheiro que esta guardado sob a sua responsabilidade.

gostaria de falar com o developer, sobre o link que enviei acima, que fala sobre seguranca do software de asp.net. E  tmb de outra coisa, que ainda nem falamos aqui, que se chama "pen testing", que quer dizer teste de penetracao, que e conduzido por profissionais da area de seguranca.

eu gostaria muuuuito de saber que a b2u e o servidor foi pen tested for alguma firma specializada em asp.net/microsoft security.


Sinceramente, pergunte ao Itaú ou outro banco se ele aceita conversar com alguém sobre sua arquitetura/código? (seria um método de engenharia social?) Entendo seu lado, mas não posso aceitar isso de forma alguma, é questão de segurança não revelar certas informações. Posso informar que já fizemos testes de segurança no site e estamos sempre investindo em segurança, para a empresa não ter prejuízo, umas vez que não há como nossos usuários/clientes terem prejuízos, já que estão segurados.
full member
Activity: 154
Merit: 100
Lembrando que não existe em TI sistema 100% seguro! Alguém duvida disso?

Por isso nossa maior segurança, é o seguro em caso de roubo. Por sermos uma empresa séria temos condições de pagar 100% nossos clientes, caso algum roubo ocorra.


meu amigo, vc nao ta entendendo a situacao. SECURITY, e um topico muito amplo. nao e apenas sobre o fato de vc garantir o dinheiro que foi depositado sobre a sua custodia. seguranca, e muito mais que isso.
vc tem que proteger o seu cliente em todos os pontos de vista. examplo, vc nao quer que informacoes pessoais de seus clientes, caiam nas maos erradas. voce nao quer some "nasty javascript" no seu site, contaminando o computador dos seus clients, etc, etc.

falando serio Andre, quero muito falar com quem escreveu o code do seu site se for possivel, isso tudo aqui nao e uma brincadeira. por favor, nao me leve a mal, te respeito como empresario, tal e coisa, tocando a bitcoin no brasil, mas nao penso que vc tem a verdadeira dimensao de como o seu site pode ser atacado, e gerar um monte de problemas, nao so roubar o dinheiro que esta guardado sob a sua responsabilidade.

gostaria de falar com o developer, sobre o link que enviei acima, que fala sobre seguranca do software de asp.net. E  tmb de outra coisa, que ainda nem falamos aqui, que se chama "pen testing", que quer dizer teste de penetracao, que e conduzido por profissionais da area de seguranca.

eu gostaria muuuuito de saber que a b2u e o servidor foi pen tested for alguma firma specializada em asp.net/microsoft security.


legendary
Activity: 1261
Merit: 1000
Lembrando que não existe em TI sistema 100% seguro! Alguém duvida disso?

Por isso nossa maior segurança, é o seguro em caso de roubo. Por sermos uma empresa séria temos condições de pagar 100% nossos clientes, caso algum roubo ocorra.

full member
Activity: 154
Merit: 100
provavelmente se trata desses dois scripts quer são carregados de sites sem https:

   
   

De qualquer forma o chrome não carrega os scripts exatamente porque estão vindo de sites não seguros. Não sei os outros browsers.
ah, entendo agora. falando agora um pouco de seguranca no asp.net, encontrei um bom link. me pergunto se o dev do andre acompanha tudo que e sugerido  Roll Eyes
http://msdn.microsoft.com/en-us/security/aa570401.aspx
legendary
Activity: 2296
Merit: 1170
Advertise Here - PM for more info!
provavelmente se trata desses dois scripts quer são carregados de sites sem https:

   
   

De qualquer forma o chrome não carrega os scripts exatamente porque estão vindo de sites não seguros. Não sei os outros browsers.
full member
Activity: 154
Merit: 100
hoje resolvi da uma testada la na b2u, e pra minha surpresa, apareceu um escudo cinza, no lado direito do meu browser(chrome-ubuntu).

se eu clico ali, me leva para essa pagina
https://support.google.com/chrome/answer/1342714?hl=en-GB
full member
Activity: 154
Merit: 100
"Vale lembrar que o site legitimo apresenta um certificado de autenticação, que aparece do lado esquerdo da barra de endereços do navegador, como mostra a imagem:" - Nosso site também, possui cadeado e certificado.

Sugestões são sempre bem vindas!
vc tem cadeado, mas nao aparece o nome da sua empresa, em verde, como aparece na mtgox. Isso pode causar confusao no usuario.
ele pode ver o cadeado de um "phishing" site, e pensar que e o seu, e ser roubado.


Basta clicar no cadeado e o nome da empresa estará lá! Mas é uma boa sugestão para ajudar os usuários mais novatos...
ta la, nunca falei que nao estava. o problema, e que quando vc vai muitas vezes no mesmo site(e vc o considera seguro), vc uma horinha acaba se esquecendo de verificar. pronto, vc ja tem um "security hole".
no entanto, se o nome aparece  em verde, e muito mais facil de identificar.
recomendo vc modificar isso o mais rapido possivel. vc e responsavel por estar movimentando dinheiro de terceiros. com seguranca, nao se brinca. Isso nao tem nada a ver com ser novato ou nao. se vc prestar bem atencao, quando vc vai login no mtgox, uma mensagem "pop-up", e fala exatamente sobre isso.

aproveitando a oportunidade, gostaria de lhe perguntar quem e o responsavel microsoft/asp.net programmer q fez b2u. foi vc ou um empregado? se nao fosse pedir demais, adoraria escutar ele falar um pouquinho o que ele pensa sobre seguranca, etc, etc. "custom software" as vezes tem buracos, e sempre bom a opiniao de terceiros, vc nao concorda?

o thiago da bitfication, como todos ja sabem, fez um "fork" da ROR exchange distribuido pela bitcoin-central
https://github.com/davout/bitcoin-central

Nossa empresa trabalha com desenvolvimento .net a 3 anos, para grandes indústrias, aonde uma parada de produção de segundas, acarreta prejuízo de milhões! Além disso, somente contrato profissionais experientes. Por motivos de segurança não posso nem pensar em detalhar nada soabre o código, somente que o banco de dados não é free, é criptografado e líder de mercado corporativo.

Lembrando que somos uma empresa registrada, com endereço e transparente, não vivemos só de bitcoin, temos outros clientes e serviços, sendo assim, temos condição de reaver 100% dos nossos clientes caso algum desastre ocorra.

Vc ta certo! Vou verificar como colocar o nome na frente, vlw pela dica!

andre, eu so queria ter uma conversinha com o seu developer sobre seguranca, nada mais. ninguem ta querendo te obrigar a mostrar o seu codigo.
apesar, de como ja falei, Segurança por obscurantismo, nao me parece uma solucao
legendary
Activity: 1261
Merit: 1000
"Vale lembrar que o site legitimo apresenta um certificado de autenticação, que aparece do lado esquerdo da barra de endereços do navegador, como mostra a imagem:" - Nosso site também, possui cadeado e certificado.

Sugestões são sempre bem vindas!
vc tem cadeado, mas nao aparece o nome da sua empresa, em verde, como aparece na mtgox. Isso pode causar confusao no usuario.
ele pode ver o cadeado de um "phishing" site, e pensar que e o seu, e ser roubado.


Basta clicar no cadeado e o nome da empresa estará lá! Mas é uma boa sugestão para ajudar os usuários mais novatos...
ta la, nunca falei que nao estava. o problema, e que quando vc vai muitas vezes no mesmo site(e vc o considera seguro), vc uma horinha acaba se esquecendo de verificar. pronto, vc ja tem um "security hole".
no entanto, se o nome aparece  em verde, e muito mais facil de identificar.
recomendo vc modificar isso o mais rapido possivel. vc e responsavel por estar movimentando dinheiro de terceiros. com seguranca, nao se brinca. Isso nao tem nada a ver com ser novato ou nao. se vc prestar bem atencao, quando vc vai login no mtgox, uma mensagem "pop-up", e fala exatamente sobre isso.

aproveitando a oportunidade, gostaria de lhe perguntar quem e o responsavel microsoft/asp.net programmer q fez b2u. foi vc ou um empregado? se nao fosse pedir demais, adoraria escutar ele falar um pouquinho o que ele pensa sobre seguranca, etc, etc. "custom software" as vezes tem buracos, e sempre bom a opiniao de terceiros, vc nao concorda?

o thiago da bitfication, como todos ja sabem, fez um "fork" da ROR exchange distribuido pela bitcoin-central
https://github.com/davout/bitcoin-central

Nossa empresa trabalha com desenvolvimento .net a 3 anos, para grandes indústrias, aonde uma parada de produção de segundas, acarreta prejuízo de milhões! Além disso, somente contrato profissionais experientes. Por motivos de segurança não posso nem pensar em detalhar nada soabre o código, somente que o banco de dados não é free, é criptografado e líder de mercado corporativo.

Lembrando que somos uma empresa registrada, com endereço e transparente, não vivemos só de bitcoin, temos outros clientes e serviços, sendo assim, temos condição de reaver 100% dos nossos clientes caso algum desastre ocorra.

Vc ta certo! Vou verificar como colocar o nome na frente, vlw pela dica!
full member
Activity: 154
Merit: 100
"Vale lembrar que o site legitimo apresenta um certificado de autenticação, que aparece do lado esquerdo da barra de endereços do navegador, como mostra a imagem:" - Nosso site também, possui cadeado e certificado.

Sugestões são sempre bem vindas!
vc tem cadeado, mas nao aparece o nome da sua empresa, em verde, como aparece na mtgox. Isso pode causar confusao no usuario.
ele pode ver o cadeado de um "phishing" site, e pensar que e o seu, e ser roubado.


Basta clicar no cadeado e o nome da empresa estará lá! Mas é uma boa sugestão para ajudar os usuários mais novatos...
ta la, nunca falei que nao estava. o problema, e que quando vc vai muitas vezes no mesmo site(e vc o considera seguro), vc uma horinha acaba se esquecendo de verificar. pronto, vc ja tem um "security hole".
no entanto, se o nome aparece  em verde, e muito mais facil de identificar.
recomendo vc modificar isso o mais rapido possivel. vc e responsavel por estar movimentando dinheiro de terceiros. com seguranca, nao se brinca. Isso nao tem nada a ver com ser novato ou nao. se vc prestar bem atencao, quando vc vai login no mtgox, uma mensagem "pop-up", e fala exatamente sobre isso.

aproveitando a oportunidade, gostaria de lhe perguntar quem e o responsavel microsoft/asp.net programmer q fez b2u. foi vc ou um empregado? se nao fosse pedir demais, adoraria escutar ele falar um pouquinho o que ele pensa sobre seguranca, etc, etc. "custom software" as vezes tem buracos, e sempre bom a opiniao de terceiros, vc nao concorda?

o thiago da bitfication, como todos ja sabem, fez um "fork" da ROR exchange distribuido pela bitcoin-central
https://github.com/davout/bitcoin-central
full member
Activity: 154
Merit: 100

 Aos sites brasileiros de Bitcoin, estejam atentos com seus provedores/planos de hospedagem, pois com essa falha, eles tem muito poder sobre vocês.


acho que todos tem servidores privados. um dia desses o andre tava querendo comprar filme, para essas cameras de seguranca; e o thiago, lembro haver mencionado que tmb tinha os servidores em casa, ou algo assim. nao sei sobre o mb, mas acredito que seja o mesmo cenario.
legendary
Activity: 1261
Merit: 1000
"Vale lembrar que o site legitimo apresenta um certificado de autenticação, que aparece do lado esquerdo da barra de endereços do navegador, como mostra a imagem:" - Nosso site também, possui cadeado e certificado.

Sugestões são sempre bem vindas!
vc tem cadeado, mas nao aparece o nome da sua empresa, em verde, como aparece na mtgox. Isso pode causar confusao no usuario.
ele pode ver o cadeado de um "phishing" site, e pensar que e o seu, e ser roubado.


Basta clicar no cadeado e o nome da empresa estará lá! Mas é uma boa sugestão para ajudar os usuários mais novatos...
full member
Activity: 154
Merit: 100
"Vale lembrar que o site legitimo apresenta um certificado de autenticação, que aparece do lado esquerdo da barra de endereços do navegador, como mostra a imagem:" - Nosso site também, possui cadeado e certificado.

Sugestões são sempre bem vindas!
vc tem cadeado, mas nao aparece o nome da sua empresa, em verde, como aparece na mtgox. Isso pode causar confusao no usuario.
ele pode ver o cadeado de um "phishing" site, e pensar que e o seu, e ser roubado.
Pages:
Jump to: