-

[abrkn]

-

[1715146484]

1715146484

[1715146484]

1715146484

[1715146484]

1715146484

[1715146484]

1715146484

[karsy]

hvordan vil man motta Norske kroner fra tjenesten?

[Embret]

Flott initiativ!
Vi trenger tjenester som dette for å gjøre det enklere for den gjennomsnittlige nordmann å bli med på krypto-revolusjonen 

[Malawi]

Spennende.

Kommer til å følge litt med, selv om jeg ikke har registrert meg foreløbig.
Det er jo litt slit å gå inn/ut av BTC slik det er nå, så dette kan være et veldig kjærkomment tilskudd.

Har dere noen arbitreringsplaner? Antar det kan bli veldig små volum ihvertfall til å begynne med.

[karsy]

personlig kan jeg fort finne på å smelle opp 10 laken på det her hvis det viser seg å fungere bra.

[Kupsi]

Hvor stor andel av bitcoina vil bli oppbevart i "cold storage"?

Ingen mulighet for "two factor authentication"?

[Malawi]

Spennende.

Kommer til å følge litt med, selv om jeg ikke har registrert meg foreløbig.
Det er jo litt slit å gå inn/ut av BTC slik det er nå, så dette kan være et veldig kjærkomment tilskudd.

Har dere noen arbitreringsplaner? Antar det kan bli veldig små volum ihvertfall til å begynne med.

Hva mener du med arbitreringsplaner? Mitt håp er at dere kommer til å gå inn med så mye likviditet at jeg slipper å handle på egen børs for å dra oss i gang. Jeg gir dere alle API's dere måtte trenge og kan t.o.m. hjelpe dere med å lage programmer som kan drive arbitrasje gjennom andre exchanges. (Dette har jeg faktisk laget allerede!)

Hupp. Tenkte at det gjerne er lite volum i begynnelsen. Men den løsningen du beskriver høres veldig bra ut, siden det vil redusere risikoen til Justcoin. :-) Vi vil jo at dere skal lykkes, slik at vi kan bruke dere i lang tid fremmover.

Må ta en titt på det programmet på github i løpet av helgen ellerno.

[Kupsi]

Hvor stor andel av bitcoina vil bli oppbevart i "cold storage"?

Ingen mulighet for "two factor authentication"?

Dette er definitivt mulig og jeg har allerede utforsket noen av mulighetene. Hvilket leverandør ønsker du?

Vi har ikke bestemt hvor mye som skal være i "cold storage" ennå, men jeg ser for meg at det skal være slik at vi til enhver tid kan betale tilbake det vi skylder uten å gå konkurs. Jeg tok i litt hardt da jeg designet systemet, slik at vi i prinsippet kan gi dere, kundene våre, deposit-adresser som ikke er i vår wallet. Dette er nok overdrevet. Det bør holde at vi overførerer Bitcoin til papir når vi føler det er for mye i hot-wallet.

Google authenticator er vel open source og mest utbredt. Jeg tror det er fornuftig å benytte den.

Godt dere har tenkt på "cold storage" og ønsker å ha nok der til å betale tilbake alle bitcoins. Da er jeg happy

[MayDee]

Endelig en norsk børs for kryptovaluta! Håper virkelig at dere lykkes. Hadde vært fint om dere også hadde støttet PPCoin på litt sikt

[Herodes]

Lykke til.

Håper dere tar høgde for regulatoriske risikoer, og at dere allerede har avklart alt ifht. mva-problematikk og hvitvaskingsproblematikk. Samtidig er sikkerhet også viktig, så håper dere ser seriøst på det også, gjerne få en profesjonell sikkerhetskonsulent til å gå gjennom systemoppsettet deres. Det er veldig mange smarte hackere som er ute etter å få tak i bitcoins fra bitcoinbørser.

[capsqrl]

Ønskeliste: "glemt passord"-funksjon. Har rotet bort mitt :-)

[sturle]

Ønskeliste: "glemt passord"-funksjon. Har rotet bort mitt :-)

Dersom Justcoin har lagra API-nøkkelen din, og du hugsar e-postadressa di, skulle det vere ein smal sak å finne passordet. Hashen, som og vert sendt som ein del av URLen som parameter til GET, er sha256 av e-postadresse+passord.  Usalta.  I Bitcoin-miljøet reknar vi farten på rekneutstyret vårt i Gahsh/s.  Det er 1 000 000 000 slike hashar kvar sekund.  Ei stor ordliste har ca 100 000 ord.  Dvs at du kan teste 100 000 variantar av alle vanlege ord i eit språk kvart sekund med 1 Ghash/s.  Dersom du har basert passordet på eit ord (til dømes "0nOM4toP03t1k0n6367"), kan nokon med 1 Ghash/s finne det på sekundet.  Legg til eit par sekund for innskotne teikn som ikkje berre er omskrivingar av bokstavar.

Tryggleiken til Justcoin baserer seg på at alle komponentar fungerer 100% utan feil i noko ledd, og at all programvare er feilfri.  (Samstundes brukar dei sjølve programvare med kjende bugs.)  Det er etter mi meining veldig naivt.  Eg ventar med Justcoin til dei har gjort ein grundig gjennomgang av tryggleiken i systemet.  Lagrar du store kontantsummar i huset, legg du dei ikkje på golvet innanfor ei vanleg låst dør.  Du kjøper alarm til huset og eit pengeskåp til pengane.  Fleire lag med tryggleik.

[sturle]

Dersom Justcoin har lagra API-nøkkelen din, og du hugsar e-postadressa di, skulle det vere ein smal sak å finne passordet. Hashen, som og vert sendt som ein del av URLen som parameter til GET, er sha256 av e-postadresse+passord.  Usalta.  I Bitcoin-miljøet reknar vi farten på rekneutstyret vårt i Gahsh/s.  Det er 1 000 000 000 slike hashar kvar sekund.  Ei stor ordliste har ca 100 000 ord.  Dvs at du kan teste 100 000 variantar av alle vanlege ord i eit språk kvart sekund med 1 Ghash/s.

Nei, vi lar deg ikke teste passord særlig ofte. https://github.com/justcoin/snow/blob/master/api/v1/auth.js#L20

Kva meinte du med det?  Du testar sjølvsagt ikkje alle mogelege passord mot APIet når du har hashen!  Då sjekkar du om hashen stemmer, og gjer ikkje eit einaste kall mot Justcoin før du veit passordet.

Tryggleiken til Justcoin baserer seg på at alle komponentar fungerer 100% utan feil i noko ledd, og at all programvare er feilfri.  (Samstundes brukar dei sjølve programvare med kjende bugs.)  Det er etter mi meining veldig naivt.  Eg ventar med Justcoin til dei har gjort ein grundig gjennomgang av tryggleiken i systemet.  Lagrar du store kontantsummar i huset, legg du dei ikkje på golvet innanfor ei vanleg låst dør.  Du kjøper alarm til huset og eit pengeskåp til pengane.  Fleire lag med tryggleik.

Vi er en exchange, ikke et hus.

Ein børs som lagrar verdiar for kundane bør ha tryggleik som in bank, ikkje som leikehytta til ungane.

[Grinder]

Dersom Justcoin har lagra API-nøkkelen din, og du hugsar e-postadressa di, skulle det vere ein smal sak å finne passordet. Hashen, som og vert sendt som ein del av URLen som parameter til GET, er sha256 av e-postadresse+passord.  Usalta.  I Bitcoin-miljøet reknar vi farten på rekneutstyret vårt i Gahsh/s.  Det er 1 000 000 000 slike hashar kvar sekund.  Ei stor ordliste har ca 100 000 ord.  Dvs at du kan teste 100 000 variantar av alle vanlege ord i eit språk kvart sekund med 1 Ghash/s.  Dersom du har basert passordet på eit ord (til dømes "0nOM4toP03t1k0n6367"), kan nokon med 1 Ghash/s finne det på sekundet.  Legg til eit par sekund for innskotne teikn som ikkje berre er omskrivingar av bokstavar.

Kompleksiteten vil bli veldig mye større enn det. Bare i den norske ordlisten er det ca 500 000 ord, inkludert alle bøyinger. Jeg klarer ikke se hva du baserer passordet over på, men om det er et 19 tegn langt vanlig ord blir det 2^19 flere permutasjoner bare med små og store bokstaver. Bruker man tall noen steder og noen få ekstra tegn går antallet permutasjoner i været.

[sturle]

Kompleksiteten vil bli veldig mye større enn det. Bare i den norske ordlisten er det ca 500 000 ord, inkludert alle bøyinger. Jeg klarer ikke se hva du baserer passordet over på, men om det er et 19 tegn langt vanlig ord blir det 2^19 flere permutasjoner bare med små og store bokstaver. Bruker man tall noen steder og noen få ekstra tegn går antallet permutasjoner i været.

Vissomatte og dersomatte og brukaren må sjølvsagt forstå.  Det er nettopp denne haldninga til tryggleik som gjer at eg ikkje kjem til å bruke Justcoin.

Kva med å heller fikse Justcoin slik at det vert sikkert med passord som er sikre alle andre stader?  Når eg knekk passord pleier eg å køyre ordlister på relevante språk med eit hundretals reglar + tal lagt til.  Om det feilar går eg over til å bruke teiknfrekvensar generert frå kjende passord.  Det tek dei aller fleste brukargenererte passord, og det er brukarane som lagar passord på Justcoin òg.  De kan sjølvsagt leggje ei åtvaring på registreringssida om at de handterer passord på ein uansvarleg måte, og at dei difor bør genererast tilfeldig og vere ekstra lange.

[grass]

Jag är svensk, kan jag sälja BTC och ta ut NOK till min svenska bank?

EDIT: Äh, jag testar så får vi se!

[Grinder]

De kan sjølvsagt leggje ei åtvaring på registreringssida om at de handterer passord på ein uansvarleg måte, og at dei difor bør genererast tilfeldig og vere ekstra lange.

Jeg er enig i at det er amatørmessig, men ser man på historien til Bitcoin-tjenester må man bare gå ut fra at de ikke er spesielt sikre og derfor i det minste sørge for å bruke gode passord. Gjør man ikke det er sjansen stor for at man vil tape penger.

[capsqrl]

Jeg er enig i at det er amatørmessig, men ser man på historien til Bitcoin-tjenester må man bare gå ut fra at de ikke er spesielt sikre og derfor i det minste sørge for å bruke gode passord. Gjør man ikke det er sjansen stor for at man vil tape penger.

Synes det nå etterhvert er på tide å prøve å sikte litt høyere enn dette, spesielt for helt nye tjenester.

[Malawi]

Kva med å heller fikse Justcoin slik at det vert sikkert med passord som er sikre alle andre stader?  Når eg knekk passord pleier eg å køyre ordlister på relevante språk med eit hundretals reglar + tal lagt til.  Om det feilar går eg over til å bruke teiknfrekvensar generert frå kjende passord.  Det tek dei aller fleste brukargenererte passord, og det er brukarane som lagar passord på Justcoin òg.  De kan sjølvsagt leggje ei åtvaring på registreringssida om at de handterer passord på ein uansvarleg måte, og at dei difor bør genererast tilfeldig og vere ekstra lange.

Din antagelse om brute force går ut på at noen får tak i hele databasen vår og prøver å dictionary attack'e hver eneste API-nøkkel. Vi vet ikke passordet til brukeren, vi vet bare hva som er sha256(epost+passord). For å få tak i databasen, trenger du:

Nei, han sier at dersom han har API-nøkkelen og epost-adressen til brukeren, kan han knekke passordet om det ikke er et altfor vanskelig ett. Og det hele uten å være i nærheten av justcoin.no
Eller med andre ord - passordet ligger kryptert i API-nøkkelen.

BTW - det var snakk om en bruker og 'en API-nøkkel, ikke hele databasen.

Mulig Sturle er litt paranoid, men det er viktig å forsøke å forstå hva man svarer på før man svarer.

[sturle]

Nei, han sier at dersom han har API-nøkkelen og epost-adressen til brukeren, kan han knekke passordet om det ikke er et altfor vanskelig ett. Og det hele uten å være i nærheten av justcoin.no
Eller med andre ord - passordet ligger kryptert i API-nøkkelen.

Det var det jeg trodde, men om han har API-nøkkelen trenger han ikke passordet? Det er API-nøkkelen og ikke passordet som brukes for å bruke Justcoin. Vi vet ikke passordet ditt. Vi vet bare sha256(epost + passord) Det er selvfølgelig mulig å bli angrepet av man-in-the-middle på https:

1) Du stoler på en corporate proxy (lar den issue'e "falske" rotsertifikater for hvilket som helst domene). Om jobbnettverket ditt krever dette, anbefaler jeg å ikke bruke sensitive tjenester. En utro tjener kan stjele pengene dine og informasjonen din fra enhver tjeneste. Dette kan være satt opp på jobbmaskinen din før du fikk den.

Jobbnettverket mitt er ikkje slik, men det er slik på mange skular og arbeidsplassar i dette landet utan at dei fortel brukarane om det.  Det var nyleg ein tråd om dette problemet på EFN-lista.  Dei har ikkje plikt til å fortelle noko om det til brukarane.  Slike proxyar loggar URLar han hentar, og då litt API-nøkkelen i klårtekst i loggen.  Ei god kjelde for API-nøklar om du har tilgang til ein slik logg.

Nettlesing på standardnettlesaren på ein Nokia-telefon går gjennom ein slik proxy.  Nokia hevdar at dei ikkje loggar noko.  Sikker på at dei ikkje gjer det når det kan liggje raske pengar i det?  Har dei fortalt brukarane om det?

2) Maskinen din er kompromisert pga. virus o.l. Dette fører ikke bare til man-in-the-middle (de bytter ut SSL-sertifikatene med f.eks. en lokal proxy), men at de kan lure deg på tusenvis av måter. Ikke få virus på maskinen du bruker til Justcoin eller noe annet der penger eller personlig informasjon brukes.

Treng ikkje det heller.  Om du har ein iPhone som ikkje er oppgradert på ei stund, eller iPhone 3 og eldre, har du ein SSL-bug.  Med denne kan kven som helst utgi seg for å vere Justcoin, til dømes dersom du surfar på eit ope trådlaust nett.  Med andre ord: Ikkje bruk Justcoin på usikre nett (dvs ikkje via GSM eller trådlaust som er sikra med noko anna enn eit privat brukarnamn og passord) dersom utstyret ditt eig deg, og ikkje omvendt.

Det har vore mange bugs i SSL-implementasjonar gjennom tidene.  Somme svært alvorlege, som at kven som helst kunne lage eit sertifikat for www.google.com\0.sitt.domene, og somme SSL-bibliotek ville tolk det som eit sertifikat for www.google.com.  Det er ikkje rart heller, for i ASN.1, som vert brukt til å kode strengar i X509-sertifikat, er det uendeleg mange måtar å kode akkurat det same på.  For eit par år sidan såg eg eit sertifikat som Firefox, Opera og IE tolka på kvar sin måte.   Dei har kanskje samkøyrt seg no, det veit eg ikkje, men ASN.1 er både tvetydig og skikkeleg vanskeleg å gjere rett.

Moralen er: Ikkje legg alle egga i korga som heiter SSL.  Eg var forresten på eit veldig interessant foredrag om SSL-iverset av EFF på 27C3 i Berlin.  Her er detaljane, og det finst opptak på nettet: https://events.ccc.de/congress/2010/Fahrplan/events/4121.en.html

3) Vår sertifikatautoritet (Thawte) er kompromisert. Dette har skjedd noen ganger før, men mest i svært avanserte angrep mot stater. Slike sertifikater koster ekstremt mye på svartebørsen, mye mer enn vi noen gang kommer til å ha innestående ( http://www.venafi.com/certificate-authority-compromise-ca-compromise/ )

No demonstrerer du manglande forståing av SSL att.  Det er nok at ein av sertifikatautoritetane som nettlesaren din stolar på er kompromittert.  Firefox og Microsoft stolar på mange hundre ulike sertifikatautoritetar i 52 land, og direkte og indirekte mange tusen (over 4000 sist eg sjekka) ulike rotsertifikat.

La nokon ta ein uavhengig gjennomgang av tryggleiken *før* de lanserer tenesta.