[NUOVO SITO] Genera il tuo indirizzo bitcoin personalizzato (vanity address)

[vanitybitcoin.org]

Purtroppo sul forum, per 10 persone oneste, ci sono 100 scammer che farebbero di tutto pur di fregare anche solo 1 mbt

Si è vero purtroppo, comunque un minimo di sicurezza già l'ho implementato, spiego anche come: il sito utilizza per lo più codice php e javascript, e ci sono degli accorgimenti, anche nei piccoli dettagli, sull'invio di moduli ad esempio, sull'ottenimento e il "trasporto" delle informazioni da pagina a pagina, sul metodo di connessione, scrittura, lettura file con il db, permessi file e permessi htaccess, accessi negati tramite link diretti e via dicendo, piccoli accorgimenti che ho implementato e testato prima di pubblicare il sito. Ho anche fatto molteplici test, tanto per dirne uno, ho provato a scaricare un file zip caricato sul server con un famoso e valido programma di download che è capace di cercare i file all'interno dei server e di scaricarli anche quando il link per il download è nascoto (non so se lo conoscete, si chiama jdownloader), risultato: file offline in poche parole, nonostante il file sia sul server, non riesce a trovarlo e a scaricarlo  durante la costruzione del sito non pensavo di riuscire anche in questo, ma visto l'impresa ho poi finalmente deciso di pubblicare il sito

[picchio]

...
Nel db non viene salvato niente, e neanche da altre parti, perchè sia indirizzo che chiave appena generate vengono stampate su file txt e messe dentro zip, ma non vengono salvate da nessuna parte...
...

Non riesco a capire come possa "stampare su file txt" e poi in uno zip senza salvare da nessuna parte. O in ram (pericolo di perdere tutto il lavoro) o su file temporaneo, da qualche parte sta chiave prende forma sul filesystem.
Cosa mi sfugge?

[TheBomber999]

Si è vero purtroppo, comunque un minimo di sicurezza già l'ho implementato, spiego anche come: il sito utilizza per lo più codice php e javascript, e ci sono degli accorgimenti, anche nei piccoli dettagli, sull'invio di moduli ad esempio, sull'ottenimento e il "trasporto" delle informazioni da pagina a pagina, sul metodo di connessione, scrittura, lettura file con il db, permessi file e permessi htaccess, accessi negati tramite link diretti e via dicendo, piccoli accorgimenti che ho implementato e testato prima di pubblicare il sito. Ho anche fatto molteplici test, tanto per dirne uno, ho provato a scaricare un file zip caricato sul server con un famoso e valido programma di download che è capace di cercare i file all'interno dei server e di scaricarli anche quando il link per il download è nascoto (non so se lo conoscete, si chiama jdownloader), risultato: file offline in poche parole, nonostante il file sia sul server, non riesce a trovarlo e a scaricarlo  durante la costruzione del sito non pensavo di riuscire anche in questo, ma visto l'impresa ho poi finalmente deciso di pubblicare il sito

Ma non è solo questione di sicurezza del server, qui tu chiedi un atto di fede.

O porti prove inconfutabili che tu non sia a conoscenza delle chiavi private che generi, oppure persone con un minimo (ma proprio minimo minimo (ma proprio minimo minimo minimo)) di cervello non utilizzeranno mai address generati sul tuo sito

[vanitybitcoin.org]

Non riesco a capire come possa "stampare su file txt" e poi in uno zip senza salvare da nessuna parte. O in ram (pericolo di perdere tutto il lavoro) o su file temporaneo, da qualche parte sta chiave prende forma sul filesystem.
Cosa mi sfugge?

Ciao picchio, grazie per il tuo intervento  in fondo non è niente di complicato, forse è meglio scrivere i vari passaggi:

- Se è un pattern gratuito:

1. Inoltro della richiesta dall'utente
2. Generazione automatica della chiave da un computer e stampa su file txt
3. Creazione file zip con file txt all'interno
4. Upload file zip su server (file zip non raggiungibile direttamente da browser)
5. Creazione link monouso per il download del file zip
6. Email automatica all'utente con link per il download
7. A download avvenuto, distruzione automatica del link e del file zip sul server.

Se è un pattern a pagamento:

1. Inoltro della richiesta dall'utente
2. Email automatica con indirizzo bitcoin per il pagamento
3. Dopo 3 conferme sulla transizione del pagamento, stessa procedura per un pattern gratuito.

A proposito, volevo chiedervi anche, come vi sembrano 3 conferme? Sono poche? O troppe?

[TheBomber999]

A proposito, volevo chiedervi anche, come vi sembrano 3 conferme? Sono poche? O troppe?

Bravo, continua a ignorare il vero nocciolo della questione 

[picchio]

Non riesco a capire come possa "stampare su file txt" e poi in uno zip senza salvare da nessuna parte. O in ram (pericolo di perdere tutto il lavoro) o su file temporaneo, da qualche parte sta chiave prende forma sul filesystem.
Cosa mi sfugge?

Ciao picchio, grazie per il tuo intervento  in fondo non è niente di complicato, forse è meglio scrivere i vari passaggi:

- Se è un pattern gratuito:

1. Inoltro della richiesta dall'utente
2. Generazione automatica della chiave da un computer e stampa su file txt
3. Creazione file zip con file txt all'interno
4. Upload file zip su server (file zip non raggiungibile direttamente da browser)
5. Creazione link monouso per il download del file zip
6. Email automatica all'utente con link per il download
7. A download avvenuto, distruzione automatica del link e del file zip sul server.

Se è un pattern a pagamento:

1. Inoltro della richiesta dall'utente
2. Email automatica con indirizzo bitcoin per il pagamento
3. Dopo 3 conferme sulla transizione del pagamento, stessa procedura per un pattern gratuito.

A proposito, volevo chiedervi anche, come vi sembrano 3 conferme? Sono poche? O troppe?

Sto fiie viene salvato. Almeno fai mettere una password al .zip, in ftp lo prelevo o in sftp? peche' ftp passa in chiaro.

A questo punto direi:
per la *tua* tranquillità non pubblicare e non offrire un servizio che potrebbe metterti a rischio di eventuali hack.
Il protocollo deve essere sicuro prima di tutto per la tua tranquillità non per quella dell'utilizzatore.
Con un servizio del genere avresti solo utenti sprovveduti che tanto rischierebbero di perdere tutto in altro modo ... qualche scammer lo trovano prima o poi.

[gbianchi]

Non riesco a capire come possa "stampare su file txt" e poi in uno zip senza salvare da nessuna parte. O in ram (pericolo di perdere tutto il lavoro) o su file temporaneo, da qualche parte sta chiave prende forma sul filesystem.
Cosa mi sfugge?

Ciao picchio, grazie per il tuo intervento   in fondo non è niente di complicato, forse è meglio scrivere i vari passaggi:

- Se è un pattern gratuito:

1. Inoltro della richiesta dall'utente
2. Generazione automatica della chiave da un computer e stampa su file txt
3. Creazione file zip con file txt all'interno
4. Upload file zip su server (file zip non raggiungibile direttamente da browser)
5. Creazione link monouso per il download del file zip
6. Email automatica all'utente con link per il download
7. A download avvenuto, distruzione automatica del link e del file zip sul server.

Se è un pattern a pagamento:

1. Inoltro della richiesta dall'utente
2. Email automatica con indirizzo bitcoin per il pagamento
3. Dopo 3 conferme sulla transizione del pagamento, stessa procedura per un pattern gratuito.

A proposito, volevo chiedervi anche, come vi sembrano 3 conferme? Sono poche? O troppe?

per questa strada non arrivi da nessuna parte.

e ci tengo anche a dirti che se non sei un scammer ( e non credo che tu lo sia) per questa strada ti esponi TU PER PRIMO
a grossissimi rischi.

[Anon39]

C'è un modo sicuro per generare vanity address per conto di altri che non richiede fiducia, ti consiglio di implementarlo:
Link1
Link2

Come ho già detto un modo per generare vanity in modo sicuro per l'utente c'è, quindi è inutile parlare di altro, prima va implementato questo, poi potrai pensare a tutte le altre cose che vuoi.

[vanitybitcoin.org]

Sto fiie viene salvato. Almeno fai mettere una password al .zip, in ftp lo prelevo o in sftp? peche' ftp passa in chiaro.

E la password? Sempre tramite email?

[vanitybitcoin.org]

per questa strada non arrivi da nessuna parte.

e ci tengo anche a dirti che se non sei un scammer ( e non credo che tu lo sia) per questa strada ti esponi TU PER PRIMO
a grossissimi rischi.

Sono qui proprio per questo, ho voluto presentare il mio progetto prima di tutto per migliorarlo, per sentire altre idee, soluzioni, io voglio finirlo questo progetto, come ripeto lo faccio per hobby, ma questo non vuol dire che io non ci metta serietà, anzi

[gbianchi]

per questa strada non arrivi da nessuna parte.

e ci tengo anche a dirti che se non sei un scammer ( e non credo che tu lo sia) per questa strada ti esponi TU PER PRIMO
a grossissimi rischi.

Sono qui proprio per questo, ho voluto presentare il mio progetto prima di tutto per migliorarlo, per sentire altre idee, soluzioni, io voglio finirlo questo progetto, come ripeto lo faccio per hobby, ma questo non vuol dire che io non ci metta serietà, anzi

ecco bravo allora ascolta i suggerimenti.... i suggerimenti sono che stai trovando soluzioni tampone
che non affrontano il nocciolo del problema.

Il nocciolo e' una soluzione "che stia in piedi" da un punto di vista crittografico, come quella indicata da anon.

altrimenti perdi tempo.

il problema della soluzione indicata da anon e' che vedo dura rendere l'utente in grado di "lavorare" i dati senza fornirgli un sw di gestione
o delle api apposite dentro il wallet (intendo per generare la chiave privata e pubblica, passare quest'ultima al server remoto, ricevere chiave privata e pubblica
 generata dal server remoto  e poi  fare le operazioni  sulla curve allittica e per avere chiave privata e indirizzo utilizzabili)

[picchio]

Sto fiie viene salvato. Almeno fai mettere una password al .zip, in ftp lo prelevo o in sftp? peche' ftp passa in chiaro.

E la password? Sempre tramite email?

No, la sceglierebbe l'utente insieme al vanity via https (ho notato che usi http e non https).
Non ha pero' senso quello che stai facendo in quanto è troppo rischioso per il cliente e per te.
Spiace dirlo ...

[picchio]

Aggiungo altro consiglio ...
non generare un indirizzo del valore di 2.2 BTC senza prima avere la certezza che poi ti paghino ... uno potrebbe commissionare l'ordine e poi non pagare.
EDIT: NB, questo non esclude il fatto che non dovresti offrire un servizio in queste modalità.

[vanitybitcoin.org]

Ok ragazzi, grazie per i vostri consigli, adesso "mi siedo a tavolino" come si suol dire e ci ragiono un po', cerco altre strade, solitamente ci riesco.

Aggiungo altro consiglio ...
non generare un indirizzo del valore di 2.2 BTC senza prima avere la certezza che poi ti paghino ... uno potrebbe commissionare l'ordine e poi non pagare.
EDIT: NB, questo non esclude il fatto che non dovresti offrire un servizio in queste modalità.

L'indirizzo verrebbe generato solamente dopo aver ricevuto il pagamento, dopo 3 conferme, tranquillo

[picchio]

Ok ragazzi, grazie per i vostri consigli, adesso "mi siedo a tavolino" come si suol dire e ci ragiono un po', cerco altre strade, solitamente ci riesco.

Aggiungo altro consiglio ...
non generare un indirizzo del valore di 2.2 BTC senza prima avere la certezza che poi ti paghino ... uno potrebbe commissionare l'ordine e poi non pagare.
EDIT: NB, questo non esclude il fatto che non dovresti offrire un servizio in queste modalità.

L'indirizzo verrebbe generato solamente dopo aver ricevuto il pagamento, dopo 3 conferme, tranquillo

Cioe' uno dovrebbe pagarti 2.2 btc per avere un indirizzo del tipo 123456789K2E5cK3n9d8xwRa2GsURSrPgFwsd5 e poi tu inizi a generarlo ma quanto credi di metterci?
Poi: che hw useresti per generare gli indirizzi?

[vanitybitcoin.org]

Cioe' uno dovrebbe pagarti 2.2 btc per avere un indirizzo del tipo 123456789K2E5cK3n9d8xwRa2GsURSrPgFwsd5 e poi tu inizi a generarlo ma quanto credi di metterci?

Il tempo per generare l'indirizzo varia da pattern a pattern, e ancora di più cambia a secondo della difficoltà (o difficulty), poi dipende anche da quanti indirizzi ci sono in coda, che è possibile controllare direttamente in fondo alla home del sito.. Così "su due piedi" non è possibile calcolare un tempo per generare, anche volendo si otterrebbero tempi approssimativi..

[Anon39]

Cioe' uno dovrebbe pagarti 2.2 btc per avere un indirizzo del tipo 123456789K2E5cK3n9d8xwRa2GsURSrPgFwsd5 e poi tu inizi a generarlo ma quanto credi di metterci?

Il tempo per generare l'indirizzo varia da pattern a pattern, e ancora di più cambia a secondo della difficoltà (o difficulty), poi dipende anche da quanti indirizzi ci sono in coda, che è possibile controllare direttamente in fondo alla home del sito.. Così "su due piedi" non è possibile calcolare un tempo per generare, anche volendo si otterrebbero tempi approssimativi..

è stimabile in modo preciso il tempo necessario ad avere il 50% di probabilità di trovarlo però. E' possibile sapere che hardware avete o almeno quante Mkey/s fa il vostro hardware?

[vanitybitcoin.org]

è stimabile in modo preciso il tempo necessario ad avere il 50% di probabilità di trovarlo però. E' possibile sapere che hardware avete o almeno quante Mkey/s fa il vostro hardware?

Io sapevo che i tempi, anche per il 50%, sono comunque approssimativi, non precisi. Se tu mi dici che si possono calcolare in modo preciso, potrei sapere come? Comunque per adesso, intorno a 9 Mkey/s, vorrei comprare un asic, anche piccolo, anche solo per pura curiosità. 

[Zazzu]

Comunque qui stiamo tutti dicendo che così com'è strutturata non funzionerà mai, nessuno si fiderà, ecc ecc... Ma non scordiamoci che il buon casascius ha fatto i milioni...

[vanitybitcoin.org]

Comunque qui stiamo tutti dicendo che così com'è strutturata non funzionerà mai, nessuno si fiderà, ecc ecc... Ma non scordiamoci che il buon casascius ha fatto i milioni...

Ne ho sentito parlare.. ma chi è precisamente? cosa ha fatto?