Bitcoin Forum
November 14, 2024, 07:15:57 AM *
News: Latest Bitcoin Core release: 28.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: « 1 2 [3]  All
  Print  
Author Topic: платеж криптой с сайта.  (Read 948 times)
kzv
Legendary
*
Offline Offline

Activity: 1722
Merit: 1285

OpenTrade - Open Source Cryptocurrency Exchange


View Profile WWW
May 29, 2018, 03:00:54 PM
 #41

Хорошо я признаю, что проблема подмены днс существует. Вы этого признания хотели?

Теперь мои аргументы
1. Сайт можно скачать в офлайн и тогда даже если этот сайт поддельный, он ничего не украдет. В отличии от бинарика, который может запросто пошариться по файловой системе и запомнить что-нибудь интересное до лучших времен...
2. Сайт можно прочитать в исходниках и убедиться в наличии/отсутствии бэкдора. Бинарик тоже можно прочитать и убедиться, но это на 10 порядков сложнее

А теперь вы пожалуйста расскажите как мне безопасно скачать  биткоин коре? Не опасаясь атак на днс, подмен сертификатов и прочих ужасов которыми вы пугаете бедных посетителей сайтов? Неужели идти ногами домой к Сатоши за его подписью?

OpenTrade - Open Source Cryptocurrency Exchange
rumkin
Jr. Member
*
Offline Offline

Activity: 54
Merit: 1


View Profile WWW
May 29, 2018, 03:33:19 PM
 #42

Хорошо я признаю, что проблема подмены днс существует. Вы этого признания хотели?

Да это та мысль, которую я и хотел донести. Хотя DNS это лишь один из элементов. А общая мысль в том, что браузеру доверять нельзя, он не приспособлен для этого.

Теперь мои аргументы
1. Сайт можно скачать в офлайн и тогда даже если этот сайт поддельный, он ничего не украдет. В отличии от бинарика, который может запросто пошариться по файловой системе и запомнить что-нибудь интересное до лучших времен...

Сайт может отображать одно, а подписать и отправить другое. Что и делал подмененный MEW.

2. Сайт можно прочитать в исходниках и убедиться в наличии/отсутствии бэкдора. Бинарик тоже можно прочитать и убедиться, но это на 10 порядков сложнее

В идеале – да. Независимый аудит кода – один из важнейших способов построения безопасной среды. Самостоятельно же вычитывать тысячи строк кода для каждой программы просто невозможно, приходится доверять это действие кому-то. Но при обилии минификаторов, обфускаторов и транспилеров читать такой код даже специалисту будет очень трудно.

А теперь вы пожалуйста расскажите как мне безопасно скачать  биткоин коре? Не опасаясь атак на днс, подмен сертификатов и прочих ужасов которыми вы пугаете бедных посетителей сайтов? Неужели идти ногами домой к Сатоши за его подписью?

Сегодня это достаточно сложно. Необходимо использовать PGP для проверки подписи. Bitcoin Core и Litecoin немногие из большой 20-ки, кто публикует подписанные релизы, но делают они это только на собственных сайтах, что по сути снижает надежность, поэтому ключи разработчиков нужно постараться найти на других ресурсах, например Github, чтобы убедиться, что они совпадают.

А бедные посетители сайтов пусть пугаются, если не хотят расставаться со своими кровными, и начинают постигать основы информационной безопасности.

Blockchain Developer | https://rumk.in
kzv
Legendary
*
Offline Offline

Activity: 1722
Merit: 1285

OpenTrade - Open Source Cryptocurrency Exchange


View Profile WWW
May 29, 2018, 03:45:47 PM
 #43

Хорошо. Кто мешает создателю сайта
1 не минифицировать код
2 размещать свою подпись на десятке ресурсов?

Программа в браузере тогда станет безопасной?

Вы все упираетесь в клише об опасности браузеров, но вы пока не указали: браузер опасен по сравнению с чем и почему? Ведь как выяснилось бинарики тоже небезопасны, а наоборот еще более опасны... Так что же делать юзерам которые просто хотят перевести бабки с одного счетв на другой?

Кстати признайте тоже, что про 500 баксов вы слегка погорячились )

OpenTrade - Open Source Cryptocurrency Exchange
rumkin
Jr. Member
*
Offline Offline

Activity: 54
Merit: 1


View Profile WWW
May 31, 2018, 05:25:14 PM
 #44

Хорошо. Кто мешает создателю сайта
1 не минифицировать код
2 размещать свою подпись на десятке ресурсов?

Программа в браузере тогда станет безопасной?

Никто не мешает и это было бы правильным решением. Но кто так делает, найдете пример? И не безопасной, а доверенной. Но повторюсь, как первый шаг это будет правильно.

Вы все упираетесь в клише об опасности браузеров, но вы пока не указали: браузер опасен по сравнению с чем и почему? Ведь как выяснилось бинарики тоже небезопасны, а наоборот еще более опасны... Так что же делать юзерам которые просто хотят перевести бабки с одного счетв на другой?

Не клише, а утверждение. Повторюсь, браузер позволяет создать доверенную среду, только при запуске статических файлов (т.е. полученных по протоколу file://), все что загружено по протоколу http до проверки на надежность источника не может применяться в системах требующих надежности, не важно с чем это сравнивать. Отправлять приватные данные через непроверенный html или непроверенный бинарник одинаково опасно. Важно соблюдение протокола безопасности.


Кстати признайте тоже, что про 500 баксов вы слегка погорячились )

Можете считать как вам угодно. Мне не интересно доказывать обратное, я лучше потрачу время рассказывая как повысить безопасность.

Blockchain Developer | https://rumk.in
kzv
Legendary
*
Offline Offline

Activity: 1722
Merit: 1285

OpenTrade - Open Source Cryptocurrency Exchange


View Profile WWW
May 31, 2018, 06:57:59 PM
 #45

Ну как по мне, так ваши рассказы про безопасность абсолютно однообразны и бесполезны.
Каждая домохозяйка "знает", что все скачанное из интернета может оказаться вирусом. Почти каждая знает, что все скачанное надо проверять антивирусом...

Эти знания блондинок вобщем-то ничем не отличаются от знаний которые несете в массы вы постами типа "все что загружено по протоколу http до проверки на надежность источника не может применяться в системах требующих надежности,"

Ну согласитесь: это то же самое, только более наукообразными словами?

OpenTrade - Open Source Cryptocurrency Exchange
rumkin
Jr. Member
*
Offline Offline

Activity: 54
Merit: 1


View Profile WWW
June 01, 2018, 01:57:53 PM
 #46

Ну как по мне, так ваши рассказы про безопасность абсолютно однообразны и бесполезны.

Вы уже показали, что вам не хватает ни опыта, ни знаний, чтобы делать такие заключения. Так что продолжение разговора не имеет никакого смысла.

Blockchain Developer | https://rumk.in
websalamander
Newbie
*
Offline Offline

Activity: 88
Merit: 0


View Profile
June 01, 2018, 03:07:45 PM
 #47

Сейчас надо рассматривать использование токена на сайтах, как возможность платежа. Так будет более спокойнее, потому что не требуется грузить на сервер биткоин и светить ключами. А, транзакции проводить через EtherDelta.
kzv
Legendary
*
Offline Offline

Activity: 1722
Merit: 1285

OpenTrade - Open Source Cryptocurrency Exchange


View Profile WWW
June 01, 2018, 06:26:11 PM
 #48

Ну как по мне, так ваши рассказы про безопасность абсолютно однообразны и бесполезны.

Вы уже показали, что вам не хватает ни опыта, ни знаний, чтобы делать такие заключения. Так что продолжение разговора не имеет никакого смысла.

Что мы показали простите? Давайте по порядку:

rumkin: "Нельзя вводить приватный ключ в браузер это очень опасно"

kzv: "бред. Это не опасней, чем вводить приватный ключ в биткоин коре"

rumkin: "Я крутой спец по безопасности и знаю, что днс спуфинг любого сайта стоит 500 баксов"

kzv: "ШТА?"

rumkin: "не засирайте тему, признайте что подменой днс можно произвести фишинг"

kzv: "ну допустим признаю"

rumkin: "вам не хватает ни опыта, ни знаний, поэтому с вами разговор продолжать не буду"


kzv:  Слив засчитан!


OpenTrade - Open Source Cryptocurrency Exchange
rumkin
Jr. Member
*
Offline Offline

Activity: 54
Merit: 1


View Profile WWW
June 04, 2018, 02:01:22 PM
 #49

Что мы показали простите? Давайте по порядку:

rumkin: "Нельзя вводить приватный ключ в браузер это очень опасно"

kzv: "бред. Это не опасней, чем вводить приватный ключ в биткоин коре"

rumkin: "Я крутой спец по безопасности и знаю, что днс спуфинг любого сайта стоит 500 баксов"

kzv: "ШТА?"

rumkin: "не засирайте тему, признайте что подменой днс можно произвести фишинг"

kzv: "ну допустим признаю"

rumkin: "вам не хватает ни опыта, ни знаний, поэтому с вами разговор продолжать не буду"


kzv:  Слив засчитан!

Перестаньте общаться в стиле имиджборд или лурка, для этого есть имиджборды и лурк.

Blockchain Developer | https://rumk.in
kzv
Legendary
*
Offline Offline

Activity: 1722
Merit: 1285

OpenTrade - Open Source Cryptocurrency Exchange


View Profile WWW
June 04, 2018, 03:24:24 PM
 #50

Перестаньте общаться в стиле имиджборд или лурка, для этого есть имиджборды и лурк.

А здесь не ваш персональный бложик. Как хочу, так и общаюсь.

OpenTrade - Open Source Cryptocurrency Exchange
lapitsky
Member
**
Offline Offline

Activity: 202
Merit: 27

Atom foundation


View Profile
June 04, 2018, 09:47:06 PM
 #51

на которой можно будет вбить  свой адрес, ключ от адреса, адрес получателя и сумму платежа

можно, но очень небезопасно

Прочитал тему, все 100% постов про опасность - бред.
Че блин опасного-то?
Указанный автором функционал элементарно сделать на яваскрипте с открытым кодом. Все, кроме отправки транзакции будет работать на стороне клиента даже с отключенным интернетом!
А транзу отправлять в сеть можно даже без ссл, ибо все транзы и так все видят.


в данном случае топикстартер предлагает вбивать ключ от адреса, имхо не безопасно светить на каком-то сайте свой приватный. хотя, blockchain.info собственно такой логикой и занимается, вроде. это все вопрос доверия и суммы на счету

⚡⚡⚡
Atom - пишу свою крипту, присоединяйся в ополчение - https://bitcointalk.org/index.php?topic=3428149.0
⚡⚡⚡
kzv
Legendary
*
Offline Offline

Activity: 1722
Merit: 1285

OpenTrade - Open Source Cryptocurrency Exchange


View Profile WWW
June 05, 2018, 06:36:08 AM
 #52

в данном случае топикстартер предлагает вбивать ключ от адреса, имхо не безопасно светить на каком-то сайте свой приватный. хотя, blockchain.info собственно такой логикой и занимается, вроде. это все вопрос доверия и суммы на счету

Теоретически небезопасно конечно, но при соблюдении определенных процедур - абсолютно безопасно.
1. Скачиваем страницу в оффлайн
2. Вводим ключ и формируем транзакцию в оффлайне
3. Пушим транзакцию в онлайн на любом сайте который дает это сделать. Хоть на том же блокчейнинфо.

Если суммы небольшие, то можно и без оффлайновых заморочек обойтись, но тогда да - нужно доверять владельцу сайта и его компетентности в вопросах безопасности.

OpenTrade - Open Source Cryptocurrency Exchange
Pages: « 1 2 [3]  All
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!