vanitybitcoin.org (OP)
Newbie
Offline
Activity: 28
Merit: 0
|
|
December 16, 2015, 11:49:14 AM |
|
Purtroppo sul forum, per 10 persone oneste, ci sono 100 scammer che farebbero di tutto pur di fregare anche solo 1 mbt
Si è vero purtroppo, comunque un minimo di sicurezza già l'ho implementato, spiego anche come: il sito utilizza per lo più codice php e javascript, e ci sono degli accorgimenti, anche nei piccoli dettagli, sull'invio di moduli ad esempio, sull'ottenimento e il "trasporto" delle informazioni da pagina a pagina, sul metodo di connessione, scrittura, lettura file con il db, permessi file e permessi htaccess, accessi negati tramite link diretti e via dicendo, piccoli accorgimenti che ho implementato e testato prima di pubblicare il sito. Ho anche fatto molteplici test, tanto per dirne uno, ho provato a scaricare un file zip caricato sul server con un famoso e valido programma di download che è capace di cercare i file all'interno dei server e di scaricarli anche quando il link per il download è nascoto (non so se lo conoscete, si chiama jdownloader), risultato: file offline in poche parole, nonostante il file sia sul server, non riesce a trovarlo e a scaricarlo durante la costruzione del sito non pensavo di riuscire anche in questo, ma visto l'impresa ho poi finalmente deciso di pubblicare il sito
|
|
|
|
picchio
Legendary
Offline
Activity: 2506
Merit: 1120
|
|
December 16, 2015, 12:04:14 PM |
|
... Nel db non viene salvato niente, e neanche da altre parti, perchè sia indirizzo che chiave appena generate vengono stampate su file txt e messe dentro zip, ma non vengono salvate da nessuna parte... ...
Non riesco a capire come possa "stampare su file txt" e poi in uno zip senza salvare da nessuna parte. O in ram (pericolo di perdere tutto il lavoro) o su file temporaneo, da qualche parte sta chiave prende forma sul filesystem. Cosa mi sfugge?
|
Waves mi piaceva ora non più.
|
|
|
TheBomber999
Legendary
Offline
Activity: 1274
Merit: 1001
"shh, he's coding..."
|
|
December 16, 2015, 01:32:27 PM |
|
Si è vero purtroppo, comunque un minimo di sicurezza già l'ho implementato, spiego anche come: il sito utilizza per lo più codice php e javascript, e ci sono degli accorgimenti, anche nei piccoli dettagli, sull'invio di moduli ad esempio, sull'ottenimento e il "trasporto" delle informazioni da pagina a pagina, sul metodo di connessione, scrittura, lettura file con il db, permessi file e permessi htaccess, accessi negati tramite link diretti e via dicendo, piccoli accorgimenti che ho implementato e testato prima di pubblicare il sito. Ho anche fatto molteplici test, tanto per dirne uno, ho provato a scaricare un file zip caricato sul server con un famoso e valido programma di download che è capace di cercare i file all'interno dei server e di scaricarli anche quando il link per il download è nascoto (non so se lo conoscete, si chiama jdownloader), risultato: file offline in poche parole, nonostante il file sia sul server, non riesce a trovarlo e a scaricarlo durante la costruzione del sito non pensavo di riuscire anche in questo, ma visto l'impresa ho poi finalmente deciso di pubblicare il sito Ma non è solo questione di sicurezza del server, qui tu chiedi un atto di fede. O porti prove inconfutabili che tu non sia a conoscenza delle chiavi private che generi, oppure persone con un minimo (ma proprio minimo minimo (ma proprio minimo minimo minimo)) di cervello non utilizzeranno mai address generati sul tuo sito
|
You either die a developer, or live long enough to see yourself become the scammer. O muori da programmatore, o vivi tanto a lungo da diventare uno scammer.
|
|
|
vanitybitcoin.org (OP)
Newbie
Offline
Activity: 28
Merit: 0
|
|
December 16, 2015, 02:03:34 PM |
|
Non riesco a capire come possa "stampare su file txt" e poi in uno zip senza salvare da nessuna parte. O in ram (pericolo di perdere tutto il lavoro) o su file temporaneo, da qualche parte sta chiave prende forma sul filesystem. Cosa mi sfugge?
Ciao picchio, grazie per il tuo intervento in fondo non è niente di complicato, forse è meglio scrivere i vari passaggi: - Se è un pattern gratuito: 1. Inoltro della richiesta dall'utente 2. Generazione automatica della chiave da un computer e stampa su file txt 3. Creazione file zip con file txt all'interno 4. Upload file zip su server (file zip non raggiungibile direttamente da browser) 5. Creazione link monouso per il download del file zip 6. Email automatica all'utente con link per il download 7. A download avvenuto, distruzione automatica del link e del file zip sul server. Se è un pattern a pagamento: 1. Inoltro della richiesta dall'utente 2. Email automatica con indirizzo bitcoin per il pagamento 3. Dopo 3 conferme sulla transizione del pagamento, stessa procedura per un pattern gratuito. A proposito, volevo chiedervi anche, come vi sembrano 3 conferme? Sono poche? O troppe?
|
|
|
|
TheBomber999
Legendary
Offline
Activity: 1274
Merit: 1001
"shh, he's coding..."
|
|
December 16, 2015, 02:15:10 PM |
|
A proposito, volevo chiedervi anche, come vi sembrano 3 conferme? Sono poche? O troppe?
Bravo, continua a ignorare il vero nocciolo della questione
|
You either die a developer, or live long enough to see yourself become the scammer. O muori da programmatore, o vivi tanto a lungo da diventare uno scammer.
|
|
|
picchio
Legendary
Offline
Activity: 2506
Merit: 1120
|
|
December 16, 2015, 02:35:27 PM |
|
Non riesco a capire come possa "stampare su file txt" e poi in uno zip senza salvare da nessuna parte. O in ram (pericolo di perdere tutto il lavoro) o su file temporaneo, da qualche parte sta chiave prende forma sul filesystem. Cosa mi sfugge?
Ciao picchio, grazie per il tuo intervento in fondo non è niente di complicato, forse è meglio scrivere i vari passaggi: - Se è un pattern gratuito: 1. Inoltro della richiesta dall'utente 2. Generazione automatica della chiave da un computer e stampa su file txt 3. Creazione file zip con file txt all'interno 4. Upload file zip su server (file zip non raggiungibile direttamente da browser) 5. Creazione link monouso per il download del file zip 6. Email automatica all'utente con link per il download 7. A download avvenuto, distruzione automatica del link e del file zip sul server. Se è un pattern a pagamento: 1. Inoltro della richiesta dall'utente 2. Email automatica con indirizzo bitcoin per il pagamento 3. Dopo 3 conferme sulla transizione del pagamento, stessa procedura per un pattern gratuito. A proposito, volevo chiedervi anche, come vi sembrano 3 conferme? Sono poche? O troppe? Sto fiie viene salvato. Almeno fai mettere una password al .zip, in ftp lo prelevo o in sftp? peche' ftp passa in chiaro. A questo punto direi: per la *tua* tranquillità non pubblicare e non offrire un servizio che potrebbe metterti a rischio di eventuali hack. Il protocollo deve essere sicuro prima di tutto per la tua tranquillità non per quella dell'utilizzatore. Con un servizio del genere avresti solo utenti sprovveduti che tanto rischierebbero di perdere tutto in altro modo ... qualche scammer lo trovano prima o poi.
|
Waves mi piaceva ora non più.
|
|
|
gbianchi
Legendary
Online
Activity: 3220
Merit: 2756
|
|
December 16, 2015, 03:17:22 PM |
|
Non riesco a capire come possa "stampare su file txt" e poi in uno zip senza salvare da nessuna parte. O in ram (pericolo di perdere tutto il lavoro) o su file temporaneo, da qualche parte sta chiave prende forma sul filesystem. Cosa mi sfugge?
Ciao picchio, grazie per il tuo intervento in fondo non è niente di complicato, forse è meglio scrivere i vari passaggi: - Se è un pattern gratuito: 1. Inoltro della richiesta dall'utente 2. Generazione automatica della chiave da un computer e stampa su file txt 3. Creazione file zip con file txt all'interno 4. Upload file zip su server (file zip non raggiungibile direttamente da browser) 5. Creazione link monouso per il download del file zip 6. Email automatica all'utente con link per il download 7. A download avvenuto, distruzione automatica del link e del file zip sul server. Se è un pattern a pagamento: 1. Inoltro della richiesta dall'utente 2. Email automatica con indirizzo bitcoin per il pagamento 3. Dopo 3 conferme sulla transizione del pagamento, stessa procedura per un pattern gratuito. A proposito, volevo chiedervi anche, come vi sembrano 3 conferme? Sono poche? O troppe? per questa strada non arrivi da nessuna parte. e ci tengo anche a dirti che se non sei un scammer ( e non credo che tu lo sia) per questa strada ti esponi TU PER PRIMO a grossissimi rischi.
|
|
|
|
Anon39
Legendary
Offline
Activity: 1526
Merit: 1010
▇ ▅ ▃ ▇ ▅ █
|
|
December 16, 2015, 03:28:59 PM |
|
C'è un modo sicuro per generare vanity address per conto di altri che non richiede fiducia, ti consiglio di implementarlo: Link1Link2Come ho già detto un modo per generare vanity in modo sicuro per l'utente c'è, quindi è inutile parlare di altro, prima va implementato questo, poi potrai pensare a tutte le altre cose che vuoi.
|
|
|
|
vanitybitcoin.org (OP)
Newbie
Offline
Activity: 28
Merit: 0
|
|
December 16, 2015, 03:31:01 PM |
|
Sto fiie viene salvato. Almeno fai mettere una password al .zip, in ftp lo prelevo o in sftp? peche' ftp passa in chiaro.
E la password? Sempre tramite email?
|
|
|
|
vanitybitcoin.org (OP)
Newbie
Offline
Activity: 28
Merit: 0
|
|
December 16, 2015, 03:41:45 PM |
|
per questa strada non arrivi da nessuna parte.
e ci tengo anche a dirti che se non sei un scammer ( e non credo che tu lo sia) per questa strada ti esponi TU PER PRIMO a grossissimi rischi.
Sono qui proprio per questo, ho voluto presentare il mio progetto prima di tutto per migliorarlo, per sentire altre idee, soluzioni, io voglio finirlo questo progetto, come ripeto lo faccio per hobby, ma questo non vuol dire che io non ci metta serietà, anzi
|
|
|
|
gbianchi
Legendary
Online
Activity: 3220
Merit: 2756
|
|
December 16, 2015, 03:53:54 PM Last edit: December 16, 2015, 04:52:09 PM by gbianchi |
|
per questa strada non arrivi da nessuna parte.
e ci tengo anche a dirti che se non sei un scammer ( e non credo che tu lo sia) per questa strada ti esponi TU PER PRIMO a grossissimi rischi.
Sono qui proprio per questo, ho voluto presentare il mio progetto prima di tutto per migliorarlo, per sentire altre idee, soluzioni, io voglio finirlo questo progetto, come ripeto lo faccio per hobby, ma questo non vuol dire che io non ci metta serietà, anzi ecco bravo allora ascolta i suggerimenti.... i suggerimenti sono che stai trovando soluzioni tampone che non affrontano il nocciolo del problema. Il nocciolo e' una soluzione "che stia in piedi" da un punto di vista crittografico, come quella indicata da anon. altrimenti perdi tempo. il problema della soluzione indicata da anon e' che vedo dura rendere l'utente in grado di "lavorare" i dati senza fornirgli un sw di gestione o delle api apposite dentro il wallet (intendo per generare la chiave privata e pubblica, passare quest'ultima al server remoto, ricevere chiave privata e pubblica generata dal server remoto e poi fare le operazioni sulla curve allittica e per avere chiave privata e indirizzo utilizzabili)
|
|
|
|
picchio
Legendary
Offline
Activity: 2506
Merit: 1120
|
|
December 16, 2015, 04:08:05 PM |
|
Sto fiie viene salvato. Almeno fai mettere una password al .zip, in ftp lo prelevo o in sftp? peche' ftp passa in chiaro.
E la password? Sempre tramite email? No, la sceglierebbe l'utente insieme al vanity via https (ho notato che usi http e non https). Non ha pero' senso quello che stai facendo in quanto è troppo rischioso per il cliente e per te. Spiace dirlo ...
|
Waves mi piaceva ora non più.
|
|
|
picchio
Legendary
Offline
Activity: 2506
Merit: 1120
|
|
December 16, 2015, 05:00:46 PM |
|
Aggiungo altro consiglio ... non generare un indirizzo del valore di 2.2 BTC senza prima avere la certezza che poi ti paghino ... uno potrebbe commissionare l'ordine e poi non pagare. EDIT: NB, questo non esclude il fatto che non dovresti offrire un servizio in queste modalità.
|
Waves mi piaceva ora non più.
|
|
|
vanitybitcoin.org (OP)
Newbie
Offline
Activity: 28
Merit: 0
|
|
December 16, 2015, 05:09:32 PM |
|
Ok ragazzi, grazie per i vostri consigli, adesso "mi siedo a tavolino" come si suol dire e ci ragiono un po', cerco altre strade, solitamente ci riesco. Aggiungo altro consiglio ... non generare un indirizzo del valore di 2.2 BTC senza prima avere la certezza che poi ti paghino ... uno potrebbe commissionare l'ordine e poi non pagare. EDIT: NB, questo non esclude il fatto che non dovresti offrire un servizio in queste modalità. L'indirizzo verrebbe generato solamente dopo aver ricevuto il pagamento, dopo 3 conferme, tranquillo
|
|
|
|
picchio
Legendary
Offline
Activity: 2506
Merit: 1120
|
|
December 16, 2015, 06:37:18 PM |
|
Ok ragazzi, grazie per i vostri consigli, adesso "mi siedo a tavolino" come si suol dire e ci ragiono un po', cerco altre strade, solitamente ci riesco. Aggiungo altro consiglio ... non generare un indirizzo del valore di 2.2 BTC senza prima avere la certezza che poi ti paghino ... uno potrebbe commissionare l'ordine e poi non pagare. EDIT: NB, questo non esclude il fatto che non dovresti offrire un servizio in queste modalità. L'indirizzo verrebbe generato solamente dopo aver ricevuto il pagamento, dopo 3 conferme, tranquillo Cioe' uno dovrebbe pagarti 2.2 btc per avere un indirizzo del tipo 123456789K2E5cK3n9d8xwRa2GsURSrPgFwsd5 e poi tu inizi a generarlo ma quanto credi di metterci? Poi: che hw useresti per generare gli indirizzi?
|
Waves mi piaceva ora non più.
|
|
|
vanitybitcoin.org (OP)
Newbie
Offline
Activity: 28
Merit: 0
|
|
December 16, 2015, 09:06:03 PM |
|
Cioe' uno dovrebbe pagarti 2.2 btc per avere un indirizzo del tipo 123456789K2E5cK3n9d8xwRa2GsURSrPgFwsd5 e poi tu inizi a generarlo ma quanto credi di metterci?
Il tempo per generare l'indirizzo varia da pattern a pattern, e ancora di più cambia a secondo della difficoltà (o difficulty), poi dipende anche da quanti indirizzi ci sono in coda, che è possibile controllare direttamente in fondo alla home del sito.. Così "su due piedi" non è possibile calcolare un tempo per generare, anche volendo si otterrebbero tempi approssimativi..
|
|
|
|
Anon39
Legendary
Offline
Activity: 1526
Merit: 1010
▇ ▅ ▃ ▇ ▅ █
|
|
December 16, 2015, 09:31:49 PM |
|
Cioe' uno dovrebbe pagarti 2.2 btc per avere un indirizzo del tipo 123456789K2E5cK3n9d8xwRa2GsURSrPgFwsd5 e poi tu inizi a generarlo ma quanto credi di metterci?
Il tempo per generare l'indirizzo varia da pattern a pattern, e ancora di più cambia a secondo della difficoltà (o difficulty), poi dipende anche da quanti indirizzi ci sono in coda, che è possibile controllare direttamente in fondo alla home del sito.. Così "su due piedi" non è possibile calcolare un tempo per generare, anche volendo si otterrebbero tempi approssimativi.. è stimabile in modo preciso il tempo necessario ad avere il 50% di probabilità di trovarlo però. E' possibile sapere che hardware avete o almeno quante Mkey/s fa il vostro hardware?
|
|
|
|
vanitybitcoin.org (OP)
Newbie
Offline
Activity: 28
Merit: 0
|
|
December 16, 2015, 10:09:06 PM |
|
è stimabile in modo preciso il tempo necessario ad avere il 50% di probabilità di trovarlo però. E' possibile sapere che hardware avete o almeno quante Mkey/s fa il vostro hardware?
Io sapevo che i tempi, anche per il 50%, sono comunque approssimativi, non precisi. Se tu mi dici che si possono calcolare in modo preciso, potrei sapere come? Comunque per adesso, intorno a 9 Mkey/s, vorrei comprare un asic, anche piccolo, anche solo per pura curiosità.
|
|
|
|
Zazzu
Sr. Member
Offline
Activity: 518
Merit: 256
Living the truth....
|
|
December 16, 2015, 10:14:24 PM |
|
Comunque qui stiamo tutti dicendo che così com'è strutturata non funzionerà mai, nessuno si fiderà, ecc ecc... Ma non scordiamoci che il buon casascius ha fatto i milioni...
|
|
|
|
vanitybitcoin.org (OP)
Newbie
Offline
Activity: 28
Merit: 0
|
|
December 16, 2015, 10:22:55 PM |
|
Comunque qui stiamo tutti dicendo che così com'è strutturata non funzionerà mai, nessuno si fiderà, ecc ecc... Ma non scordiamoci che il buon casascius ha fatto i milioni...
Ne ho sentito parlare.. ma chi è precisamente? cosa ha fatto?
|
|
|
|
|