Bitcoin Forum
September 29, 2016, 06:40:06 PM *
News: Latest stable version of Bitcoin Core: 0.13.0 (New!) [Torrent]. Make sure you verify it.
 
   Home   Help Search Donate Login Register  
Pages: « 1 2 3 4 5 6 7 8 9 10 11 12 13 [14] 15 16 »  All
  Print  
Author Topic: btcex.com: биржа BTC <-> RUB  (Read 32229 times)
ArsenShnurkov
Legendary
*
Offline Offline

Activity: 1386



View Profile
February 04, 2011, 12:51:01 AM
 #261

Ход вашей мысли поясните?

Все очень просто. Я разрабатываю свой сайт, и уже заапгредил postgres до версии 9.0.3 (нуязвимой - Buffer overflow in the intarray array module in PostgreSQL 9.0.x before 9.0.3)
А вы - закрыты, значит вам что-то мешает.

Апгрейд прошел без прерывания сервиса (т.е. сайт не надо было закрывать), точнее с прерыванием на рестарт postgres/apache, что заняло ~10 секунд.
Такие как вы очень пугают пользователей отказом в обслуживании.

> Почему кошелек bitcoin и постгрес находятся на одной виртуальной машине?

если бы они находились на разных, не было бы страшно за биткоины

> почему postgres находится на виртуальной машине доступной из интернет?

вы остановили - так как боитесь атаки. если postgres стоит за кодом вашего сайта и недоступен из интернета - атака невозможна и не было необходимости прерывать сервис

> где ответственный за файрволлы?)

есть подозрение, что он у вас отстутствует
1475174406
Hero Member
*
Offline Offline

Posts: 1475174406

View Profile Personal Message (Offline)

Ignore
1475174406
Reply with quote  #2

1475174406
Report to moderator
1475174406
Hero Member
*
Offline Offline

Posts: 1475174406

View Profile Personal Message (Offline)

Ignore
1475174406
Reply with quote  #2

1475174406
Report to moderator
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
1475174406
Hero Member
*
Offline Offline

Posts: 1475174406

View Profile Personal Message (Offline)

Ignore
1475174406
Reply with quote  #2

1475174406
Report to moderator
1475174406
Hero Member
*
Offline Offline

Posts: 1475174406

View Profile Personal Message (Offline)

Ignore
1475174406
Reply with quote  #2

1475174406
Report to moderator
bitcoinex
Sr. Member
****
Offline Offline

Activity: 350


probiwon.com


View Profile WWW
February 04, 2011, 01:12:11 AM
 #262

Ход вашей мысли поясните?

Все очень просто. Я разрабатываю свой сайт, и уже заапгредил postgres до версии 9.0.3 (нуязвимой - Buffer overflow in the intarray array module in PostgreSQL 9.0.x before 9.0.3)
А вы - закрыты, значит вам что-то мешает.

Читайте внимательно сообщения же! Вы тоже поставили бажную версию.
И в старой версии 9.0 баг и в новой тоже.

Quote
Апгрейд прошел без прерывания сервиса (т.е. сайт не надо было закрывать), точнее с прерыванием на рестарт postgres/apache, что заняло ~10 секунд.
Такие как вы очень пугают пользователей отказом в обслуживании.



Quote
> Почему кошелек bitcoin и постгрес находятся на одной виртуальной машине?

если бы они находились на разных, не было бы страшно за биткоины

Вам внезапно стало страшно и это автоматически значит что у нас кошелёк биткоин и постгрес находятся на одной виртуальной машине?

Quote
> почему postgres находится на виртуальной машине доступной из интернет?

вы остановили - так как боитесь атаки. если postgres стоит за кодом вашего сайта и недоступен из интернета - атака невозможна и не было необходимости прерывать сервис

Я считаю что доступный в интернете сервер базы данных это нормально.

"Атака" в случае этой уязвимости возможна сквозь код сайта. Читайте (и понимайте) отчет внимательно.

Quote
> где ответственный за файрволлы?)

есть подозрение, что он у вас отстутствует

Да, у нас он отсутствует.

New bitcoin lottery: probiwon.com
- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
bitcoinex
Sr. Member
****
Offline Offline

Activity: 350


probiwon.com


View Profile WWW
February 04, 2011, 01:12:46 AM
 #263

Сайт биржи работает в обычном режиме

New bitcoin lottery: probiwon.com
- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
m0Ray
Sr. Member
****
Offline Offline

Activity: 364



View Profile
February 04, 2011, 01:13:31 AM
 #264

Госссподи, неужели кто-то ещё пользует это жуткое монстроглюкалище...  Undecided

IT-услуги широкого профиля за биткойн.
V for Vendetta, not for «vvhite ribbon»
bitcoinex
Sr. Member
****
Offline Offline

Activity: 350


probiwon.com


View Profile WWW
February 04, 2011, 01:14:45 AM
 #265

Госссподи, неужели кто-то ещё пользует это жуткое монстроглюкалище...  Undecided

Ты, конечно, про опач? Smiley

New bitcoin lottery: probiwon.com
- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
m0Ray
Sr. Member
****
Offline Offline

Activity: 364



View Profile
February 04, 2011, 01:18:29 AM
 #266

Госссподи, неужели кто-то ещё пользует это жуткое монстроглюкалище...  Undecided
Ты, конечно, про опач? Smiley
Ну апач иногда есть резон использовать... Но постгреHuh Я понимаю ещё, когда упоротые подоконники вроде 1С на него западают - у них мозгов как не было, так и нет. Но вам-то он чем и в какое место?

IT-услуги широкого профиля за биткойн.
V for Vendetta, not for «vvhite ribbon»
ArsenShnurkov
Legendary
*
Offline Offline

Activity: 1386



View Profile
February 04, 2011, 01:20:52 AM
 #267

Но вам-то он чем и в какое место?

Postgres секьюрнее mysql потому что умеет Kerberos-аутентификацию
m0Ray
Sr. Member
****
Offline Offline

Activity: 364



View Profile
February 04, 2011, 01:26:26 AM
 #268

Я вижу, как он секурнее.  Grin Дыра на дыре которое десятилетие, а уж в коде чёрт ногу сломит.
И какая у вас надобность именно в Kerberos?
Просто интересно. Я за многолетнюю практику админства и программерства нашёл ей применение только один раз, и то лишь для того, чтобы увязать postfix с Active Directory.

IT-услуги широкого профиля за биткойн.
V for Vendetta, not for «vvhite ribbon»
bitcoinex
Sr. Member
****
Offline Offline

Activity: 350


probiwon.com


View Profile WWW
February 04, 2011, 01:28:31 AM
 #269

Госссподи, неужели кто-то ещё пользует это жуткое монстроглюкалище...  Undecided
Ты, конечно, про опач? Smiley
Ну апач иногда есть резон использовать... Но постгреHuh Я понимаю ещё, когда упоротые подоконники вроде 1С на него западают - у них мозгов как не было, так и нет. Но вам-то он чем и в какое место?

Дык оракл денег стоит и проприетарный а потому не Ъ

Наша сегодняшняя проблема была связана с тем что только в постгресе 9.0 есть некоторые возможности, которые нужны для написания правильного кода, а он ещё как бы в тестинге.

New bitcoin lottery: probiwon.com
- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
bitcoinex
Sr. Member
****
Offline Offline

Activity: 350


probiwon.com


View Profile WWW
February 04, 2011, 01:29:53 AM
 #270

Я вижу, как он секурнее.  Grin Дыра на дыре которое десятилетие, а уж в коде чёрт ногу сломит.
И какая у вас надобность именно в Kerberos?

А какие ещё есть способы?
Пароль? Я не могу помнить больше 3-4 паролей.
PKI в случае взлома основного компьютера уязвим. Да и для ssh, вроде, не может быть много пар ключей, хотя может уже и можно.

Quote
Просто интересно. Я за многолетнюю практику админства и программерства нашёл ей применение только один раз, и то лишь для того, чтобы увязать postfix с Active Directory.

Я хожу по керберосу на стопицот своих серверов по совсем разным протоколам. И на постгрес не в последнюю очередь.

New bitcoin lottery: probiwon.com
- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
ArsenShnurkov
Legendary
*
Offline Offline

Activity: 1386



View Profile
February 04, 2011, 01:30:52 AM
 #271

Читайте внимательно сообщения же! Вы тоже поставили бажную версию.
И в старой версии 9.0 баг и в новой тоже.

Почему вы думаете, что в моей 9.0.3 есть этот баг?

Если из-за этой фразы:

For the unstable distribution (sid), this problem has been fixed in
version 8.4.7-1 of the postgresql-8.4 package and version 9.0.3-1 of
the postgresql-9.0 package.

то у меня другой дистрибутив и в нем в номере пакета нет приписки "-1".

Quote from: m0Ray
И какая у вас надобность именно в Kerberos?

У меня есть несколько сервисов, кроме сервиса приема биткоинов и я не хочу заставлять пользователя логинится по нескольку раз. А способ передать security-токен через несколько машин только один - это Kerberos. Если же использовать какой-нибудь там https то прийдется для доступа к внутренним сервисам использовать специального юзера, что снизит возможности по точной раздаче прав.
bitcoinex
Sr. Member
****
Offline Offline

Activity: 350


probiwon.com


View Profile WWW
February 04, 2011, 01:35:05 AM
 #272

Читайте внимательно сообщения же! Вы тоже поставили бажную версию.
И в старой версии 9.0 баг и в новой тоже.

Почему вы думаете, что в моей 9.0.3 есть этот баг?

Потому что я думаю что он привнесён с новой версией а я его первооткрыватель.

Quote
Если из-за этой фразы:

For the unstable distribution (sid), this problem has been fixed in
version 8.4.7-1 of the postgresql-8.4 package and version 9.0.3-1 of
the postgresql-9.0 package.

то у меня другой дистрибутив и в нем в номере пакета нет приписки "-1".

Quote from: m0Ray
И какая у вас надобность именно в Kerberos?

У меня есть несколько сервисов, кроме сервиса приема биткоинов и я не хочу заставлять пользователя логинится по нескольку раз. А способ передать security-токен через несколько машин только один - это Kerberos. Если же использовать какой-нибудь там https то прийдется для доступа к внутренним сервисам использовать специального юзера, что снизит возможности по точной раздаче прав.

Kerberos не работает в браузерах без предварительной настройки realm'а (можно сделать через DNS) и включения керберос в браузере (это требует ввода ручками магических команд, вряд ли некорпоративные юзеры на это пойдут)

Так что, PKI для наружных юзеров таки правильнее.

New bitcoin lottery: probiwon.com
- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
m0Ray
Sr. Member
****
Offline Offline

Activity: 364



View Profile
February 04, 2011, 01:41:35 AM
 #273

Что-то у вас какие-то заморочки, слабо понятные простому админу и программеру.
Всю жизнь без Kerberos-а обходился, и проблем не возникало. Особенно с запоминанием паролей. Wink

У Пейсателя, если не ошибаюсь, в каком-то из "произведений" есть хороший намёк на способ генерации и запоминания сложных паролей. Был такой в примере: 40tovgsb Wink

Может, придумаете задачку, в которой без Kerberos-а никак, тогда я пойму, зачем он нужен?
Нам в институте таким образом предлагали доказать необходимость goto. Если студент мог придумать пример, который не решался без goto, ему разрешали этот оператор использовать. Не разрешили на моей памяти никому. Wink

IT-услуги широкого профиля за биткойн.
V for Vendetta, not for «vvhite ribbon»
ArsenShnurkov
Legendary
*
Offline Offline

Activity: 1386



View Profile
February 04, 2011, 01:43:49 AM
 #274

Потому что я думаю что он привнесён с новой версией а я его первооткрыватель.

Тогда описание  на http://www.postgresql.org/support/security некорректно.
там написано, что этот баг fixed in 9.0.3

Тем более, что там написано, что этот баг из Contrib Modules,
Contrib modules are not installed by default when PostgreSQL is installed from source.

а у меня гента.
bitcoinex
Sr. Member
****
Offline Offline

Activity: 350


probiwon.com


View Profile WWW
February 04, 2011, 01:46:46 AM
 #275

Потому что я думаю что он привнесён с новой версией а я его первооткрыватель.

Тогда описание  на http://www.postgresql.org/support/security некорректно.
там написано, что этот баг fixed in 9.0.3

Да другой же баг, он ещё даже не воспроизведён никем пока что.

New bitcoin lottery: probiwon.com
- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
ArsenShnurkov
Legendary
*
Offline Offline

Activity: 1386



View Profile
February 04, 2011, 01:47:32 AM
 #276

у вас какие-то заморочки, слабо понятные простому админу и программеру.

Непонятки простых программеров - аналитиков и архитекторов не интересуют.
ArsenShnurkov
Legendary
*
Offline Offline

Activity: 1386



View Profile
February 04, 2011, 01:48:57 AM
 #277

Да другой же баг

Ну как же другой, когда написано CVE-2010-4015 ?
m0Ray
Sr. Member
****
Offline Offline

Activity: 364



View Profile
February 04, 2011, 01:51:24 AM
 #278

у вас какие-то заморочки, слабо понятные простому админу и программеру.
Непонятки простых программеров шерифов-архитекторов не интересуют.
Ну хорошо, объясните простому архитектору, негогда разработавшему, в частности, биллинговую систему.

IT-услуги широкого профиля за биткойн.
V for Vendetta, not for «vvhite ribbon»
ArsenShnurkov
Legendary
*
Offline Offline

Activity: 1386



View Profile
February 04, 2011, 01:55:38 AM
 #279

объясните простому архитектору

Выше уже bitcoinex объяснял. Внешние пользователи идут через https. Можно каждому пользователю - сертификат. Дальше внешние пользователи меппятся на внутренние аккаунты.
приходят пользователи на один логический сервер, тот логический сервер может обращаться к другим логическим серверам, запрашивая различные сервисы. Обращаться он может либо имперсонировавшись пользователем, либо из под специального аккаунта. Во втором случае нельзя настроить права на внутренних серверах так же детально как в первом.

в частности, биллинговую систему.

значит это была плохо (недостаточно детально) засекьюренная система, либо не было требований по интеграции с другими серверами
bitcoinex
Sr. Member
****
Offline Offline

Activity: 350


probiwon.com


View Profile WWW
February 04, 2011, 01:57:30 AM
 #280

Что-то у вас какие-то заморочки, слабо понятные простому админу и программеру.
Всю жизнь без Kerberos-а обходился, и проблем не возникало. Особенно с запоминанием паролей. Wink

У Пейсателя, если не ошибаюсь, в каком-то из "произведений" есть хороший намёк на способ генерации и запоминания сложных паролей. Был такой в примере: 40tovgsb Wink

Любая схема генерации в голове уязвима:
https://www.bitcoin.org/smf/index.php?topic=1852.msg23294#msg23294

Quote
Может, придумаете задачку, в которой без Kerberos-а никак, тогда я пойму, зачем он нужен?

Администрирование 100 компьютеров, разбросанных по офисам корпорации при условии что админы устраиваются, увольняются, теряют ноуты с секретными ключами, забывают пароли и т.д.

Quote
Нам в институте таким образом предлагали доказать необходимость goto. Если студент мог придумать пример, который не решался без goto, ему разрешали этот оператор использовать. Не разрешили на моей памяти никому. Wink

goto используется не для решения неразрешимых проблем а для редкого но меткого улучшения читаемости кода

New bitcoin lottery: probiwon.com
- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
Pages: « 1 2 3 4 5 6 7 8 9 10 11 12 13 [14] 15 16 »  All
  Print  
 
Jump to:  

Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!