Ich wollte mich auch mal über tor anmelden, das ging nicht weil die IP geblockt war. Ich glaub dass da konstant über tor versucht wird sich rein zu brute forcen, womit ständig die IPs der tor exit nodes geblockt sind.
Habs allerdings auch nur einmal probiert, vielleicht wars auch nur schlechtes Timing.

Man könnte ne Sperrfrist einführen in der gewartet wird ob sich mehr als eine Person meldet die Anspruch auf den Account erhebt. Wenns nur eine Person ist könnte man über paar Fragen zur Account History nachweisen dass es der eigene Account ist (mehr oder weniger nachweisen), z.b. BTC/USD Guthaben, letzte trades, etc.
Ich hab hab auch keine Mail Addy angegeben () aber mein Pwd ist zum Glück so lächerlich lang das das sicher niemand gebruteforced hat .

Wenn das Passwort einfach genug ist kann man es durch brute force ermitteln. Wer sein mtgox Passwort noch irgendwo anders nutzt: UNBEDINGT ÜBERALL ÄNDERN!!

wtf, if that's true, it puts GREAT confidence in mtgox' overall website security.

I think that hackers used a lot of hacked accounts to buy every btc they could get. Before doing this, they got a legit mtgox account and placed buying orders at fkn low prices like usd 0.01. That way they were able to steal the usd from the hacked accounts.

You could try to download the files again using different sources, then compare the files.
If I was you, I'd immediately disconnect the pc from the net (might got trojaned somehow), boot it up using a live cd (like ubuntu on cd or a usb stick) and copy my wallet out. Then I'd send all my coins to a new guaranteed unleaked wallet (like one created using the booted live cd).
Important: make a backup of the new wallet before you send any coins to it. Always make sure restoring your backup wallet works before deleting the old wallet.

About "you're not infected as your virus scanner doesn't find anything": that doesn't mean anything. Virus scanners hardly find trojans if they're not already known.

edit: How safe/long was your mtgox password? Can you tell it? You can't use it anymore anyways now.
Most important: did you use the same password somewhere else?

What bitcoin related programms do you use? Is there anything new you recently installed?

Additionally, like mentioned by some one in the german subforum, we could split the entry field into 2 entry fields with a fixed , or . between them.

Sowas wie einen vollständigen Reset gibt es glaub nicht. Man kann eben die einzelnen applets installieren/löschen wobei man aber den Schlüssel braucht.

AVR?

Gar nicht, man kauft sie fertig aus sicherer Quelle. 

60?
An SIM Karten kann man leider nichts mehr rumcoden. Allgemein kann man auf java cards verschiedene card applets drauf packen, man braucht dafür aber nen key, und den bekommt man leider nicht bei Karten die ne javacards als Unterbau nutzen. Bei basiccard ist es ähnlich, ich weis nicht wie umfangreich die in der Praxis benutzt werden aber man kann die, wenn die fertige Anwendung drauf ist, finalisieren. Dabei werden verschiedene Sicherheitsfunktionen aktiviert und vorallem kann man an der Karte nichts mehr ändern.

Man braucht keine Sonderanfertigungen, man kann z.B. java cards und basic cards benutzen. Diese muss man dann eben noch entsprechend programmieren.
Jedes mal wenn der bitcoin client einen neuen public key benötigt muss das Schlüsselpaar im der Smartcard generiert werden, wobei der private key die Karte nie verlassen kann.
Das ist imho der einzige Weg bitcoin für den "normalen User" ausreichend abzusichern (praktisch 100% sicher).

Allerdings gibt es zwei Probleme dabei:

1. Man muss irgendwie ein Backup von der Smartcard machen können wobei die privaten Schlüssel die Smartcard verlassen können müssen.
2. Die wallet.dat kann ganz schön groß werden, wahrscheinlich zu groß für aktuelle Standard-Smartcards. Vielleicht könnte man auf die Smartcard nur eine Art Hauptschlüssel drauf machen, mit der die wallet.dat auf dem PC entschlüsselt werden kann. Das darf dann aber NICHT auf dem PC passieren sondern die Smartcard muss sich die wallet.dat vom PC senden lassen, beim empfangen entschlüsseln und nur die benötigten Daten temporär speichern. Dann die entsprechende Transaktion signieren und dem PC geben.

Has some one tested this file? Might be the next trojan attack.

Na wir sollen uns was wünschen. Ich mach den Anfang: ich wünsch mir mehr BTC

Has a site been found which actually performs the CSRF attack? Maybe some well visited bitcoin site is vulnerable to xss and got the attack code included.

Maybe you simply tell us the passwords you used, I mean, if you still use that password ANYWHERE, you desire to be hacked.

I'd bet that the hacker(s) hacked a lot of btc related sites and stole the username/password combos to try them at more valuable sites like mtgox. No offence to all the site admins but most sites look like total noob stuff from a security point of view. That's simply because web site security isn't as trivial as many may think because of various possible attack vectors (think of session hijacking/fixation/riding, invalid input sanitazion, incorrect output encoding, multiple encodings to bypass filters, buggy php functions which stop at a 0-byte, ....).

Und wenn man statt nur Kleinbuchstaben noch min. 1 Großbuchstabe und min. 1 Sonderzeichen einbaut muss man sich nur ein sehr viel kürzeres Passwort merken bei gleicher Sicherheit.

Gibts hier was neues? Hast du dem admin mal per PM geschrieben? Ich wollt da heut zocken, dann kam aber n Serverfehler. Hab meine Coins aber nach Anfrage per PM sofort zurückbekommen.