theta1 (OP)
Newbie
Offline
Activity: 21
Merit: 0
|
|
November 23, 2017, 09:14:45 PM |
|
Καλησπέρα. Νωρίτερα κάποιος κατάφερε και άλλαξε την email address του account μου (theta, ο ίδιος που είμαι και στο slack) και αμέσως μετά το password. Έλαβα email messages με τη μόνη επιλογή να κλειδώσω το account. Οι οδηγίες για ξεκλείδωμα είναι εδώ: https://bitcointalk.org/index.php?topic=497545.0Το θέμα είναι ότι δεν έχω δημοσιεύσει πουθενά κάποια διεύθυνση bitcoin μου για να την υπογράψω τώρα. Χάνω το account μου λοιπόν; Αυτό που δεν καταλαβαίνω είναι: 1) πώς επιτρέπει το site να αλλάξει κάποιος το email address χωρίς επιβεβαίωση από το original email address (ή έστω κάποιο time lock) 2) γιατί δε γίνεται να επιστρέψει η ιδιοκτησία στην αρχική email address; Τι μπορώ να κάνω τώρα;
|
|
|
|
mitzie
Legendary
Offline
Activity: 975
Merit: 1003
|
|
November 24, 2017, 05:20:30 PM |
|
Πρώτα είδα το PM που μου έστειλες και μετά είδα αυτό το ποστ. Σου απάντησα στο μηνυμα. Ουσιαστικά αν δεν μπορεις να κάνεις αυτο το verification με μια bitcoin address που ποσταρες κάπου πι οπαλία δεν έχεις ελπίδες. Είναι πολύ κακά σχεδιασμένο το SMF και δεν υπάρχει κάποιο 2FA.
|
|
|
|
amphibious
|
|
November 25, 2017, 11:28:57 PM Last edit: November 26, 2017, 12:10:27 AM by amphibious |
|
Δυστυχώς δεν μπορώ να βοηθήσω τον @theta, αλλά για μελλοντική πρόληψη υπάρχει ειδικό topic στο forum: Stake your Bitcoin address hereΔεν αρκεί απλά να δημοσιεύσεις μια διεύθυνση bitcoin κάπου. Όποιος αποκτήσει τον έλεγχο του λογαριασμού μπορεί να κάνει edit και να αλλάξει την διεύθυνση. Πρέπει κάποιος να κάνει quote μια δημοσίευση που περιέχει ένα υπογεγραμμένο μήνυμα (διεύθυνση – μήνυμα – υπογραφή) και να επιβεβαιώσει ότι είναι verified. Τότε ο κλέφτης θα πρέπει να διαρρήξει και τον λογαριασμό του ατόμου που επιβεβαίωσε την υπογραφή και να τροποποιήσει και την δική του δημοσίευση. Δημιούργησα μια υπογραφή και αμέσως από κάτω κάποιος την επιβεβαίωσε: https://bitcointalk.org/index.php?topic=996318.msg25218708#msg25218708
|
|
|
|
dukektm
|
|
November 26, 2017, 11:22:31 PM |
|
Δυστυχώς δεν μπορώ να βοηθήσω τον @theta, αλλά για μελλοντική πρόληψη υπάρχει ειδικό topic στο forum: Stake your Bitcoin address hereΔεν αρκεί απλά να δημοσιεύσεις μια διεύθυνση bitcoin κάπου. Όποιος αποκτήσει τον έλεγχο του λογαριασμού μπορεί να κάνει edit και να αλλάξει την διεύθυνση. Πρέπει κάποιος να κάνει quote μια δημοσίευση που περιέχει ένα υπογεγραμμένο μήνυμα (διεύθυνση – μήνυμα – υπογραφή) και να επιβεβαιώσει ότι είναι verified. Τότε ο κλέφτης θα πρέπει να διαρρήξει και τον λογαριασμό του ατόμου που επιβεβαίωσε την υπογραφή και να τροποποιήσει και την δική του δημοσίευση. Δημιούργησα μια υπογραφή και αμέσως από κάτω κάποιος την επιβεβαίωσε: https://bitcointalk.org/index.php?topic=996318.msg25218708#msg25218708Ωραιο αυτο.. -Λοιπον βαζεις διευθυνση πορτοφολιου. -Ονομα προφιλ και ημερομηνια. Και αυτο που το βρισκω? Signature-υπογραφή. την δημιουργεις με καποιον τροπο?
|
|
|
|
Aegean Skipper
|
|
November 26, 2017, 11:42:02 PM |
|
θα ηθελα και εγω μια αναλυση για να το εφαρμοσω
απο το πορτοφολι μας το κανουμε; μονο btc address or και ETH?
|
|
|
|
dukektm
|
|
November 27, 2017, 12:22:11 AM |
|
Απο οτι βλεπω απο τα παιδια btc addres εχουν δωσει..Αλλα καλυτερα περιμενε να μας πουν .
|
|
|
|
amphibious
|
|
November 27, 2017, 03:04:59 AM |
|
Υπογραφή μηνύματος και έλεγχος υπογραφής μπορεί να γίνει με τα περισσότερα wallets. Οδηγίες εδώ. Online έλεγχος υπογραφής: https://brainwalletx.github.io/#verify, http://www.coinig.com/. Το πρώτο δέχεται τόσο ξεχωριστά τμήματα (διεύθυνση, μήνυμα, υπογραφή), όσο και μονοκόμματη μορφή (-----BEGIN BITCOIN SIGNED MESSAGE----- ...). Στο προαναφερόμενο νήμα γίνονται δεκτές μόνο οι bitcoin υπογραφές. Η διεύθυνση δεν χρειάζεται να έχει UTXO's. Μπορεί (και καλό είναι) να είναι άδεια. Το μήνυμα να περιλαμβάνει το username και την τρέχουσα ημερομηνία.
|
|
|
|
bomberb17
|
|
November 27, 2017, 04:00:02 AM |
|
Πολύ χρήσιμες πληροφορίες, όντως αν το account γίνει hacked τότε δύσκολα τα πράγματα και ο μόνος τρόπος είναι αυτός, αν και απότι λένε μπορεί να τους πάρει 2 βδομάδες για να στον επαναφέρουν! Αν θέλετε για ακόμα περισσότερη σιγουριά να κάνουμε και εδώ ένα αντίστοιχο quote thread. Δε χρειάζεται νομίζω να κάνουμε verify το signature (αφού έτσι κι αλλιώς σε περίπτωση hack χρειάζεται να γίνει άλλο μήνυμα verify) αλλά απλά μόνο τη διεύθυνση. This is bomberb17 from bitcointalk and this is my staked address 12zKdZy9bg9nHzfXbdNnXCEJcC5x4P6JLp
|
|
|
|
amphibious
|
|
November 27, 2017, 04:18:55 AM |
|
Πολύ χρήσιμες πληροφορίες, όντως αν το account γίνει hacked τότε δύσκολα τα πράγματα και ο μόνος τρόπος είναι αυτός, αν και απότι λένε μπορεί να τους πάρει 2 βδομάδες για να στον επαναφέρουν! Αν θέλετε για ακόμα περισσότερη σιγουριά να κάνουμε και εδώ ένα αντίστοιχο quote thread. Δε χρειάζεται νομίζω να κάνουμε verify το signature (αφού έτσι κι αλλιώς σε περίπτωση hack χρειάζεται να γίνει άλλο μήνυμα verify) αλλά απλά μόνο τη διεύθυνση. This is bomberb17 from bitcointalk and this is my staked address 12zKdZy9bg9nHzfXbdNnXCEJcC5x4P6JLp
Δεν υπάρχει λόγος να το κάνουμε και εδώ, αφού υπάρχει ένα κεντρικό νήμα γι' αυτή τη δουλειά. Επίσης, οδηγίες για ανάκτηση κλεμμένου λογαριασμού είναι εδώ: Recovering hacked accounts or accounts with lost passwords.
|
|
|
|
bomberb17
|
|
November 27, 2017, 05:25:09 AM |
|
Ναι απλά λέμε τώρα αν υπάρχει μια πιθανότητα P(A) να χακαριστεί εκτός από τον δικό μας λογαριασμό και ο λογαριασμός αυτού που πας έκανε quote (οπότε ο χακερ θα αλλαξει και το quoted post), η πιθανότητα να χακαριστεί και ένας ακόμα είναι P(A)^2 ->0. (εκτός αν μιλάμε για mass leak)
|
|
|
|
chek2fire
Legendary
Offline
Activity: 3430
Merit: 1142
Ιntergalactic Conciliator
|
|
November 27, 2017, 06:19:05 PM |
|
Ναι απλά λέμε τώρα αν υπάρχει μια πιθανότητα P(A) να χακαριστεί εκτός από τον δικό μας λογαριασμό και ο λογαριασμός αυτού που πας έκανε quote (οπότε ο χακερ θα αλλαξει και το quoted post), η πιθανότητα να χακαριστεί και ένας ακόμα είναι P(A)^2 ->0. (εκτός αν μιλάμε για mass leak)
αφού έχεις το hash του μηνύματος που έχεις υπογράψει με τα private key σου τότε κανείς δεν μπορεί να σε χακάρει. Απλά θα του ζητήσουν του υποτιθέμενου hacker να υπογράψει ένα νέο μήνυμα με την ίδια διεύθυνση για να αποδείξει ότι συνεχίζει να είναι ο διαχειριστής αυτής της bitcoin διεύθυνσης.
|
|
|
|
bomberb17
|
|
November 28, 2017, 01:21:47 AM |
|
Ναι απλά λέμε τώρα αν υπάρχει μια πιθανότητα P(A) να χακαριστεί εκτός από τον δικό μας λογαριασμό και ο λογαριασμός αυτού που πας έκανε quote (οπότε ο χακερ θα αλλαξει και το quoted post), η πιθανότητα να χακαριστεί και ένας ακόμα είναι P(A)^2 ->0. (εκτός αν μιλάμε για mass leak)
αφού έχεις το hash του μηνύματος που έχεις υπογράψει με τα private key σου τότε κανείς δεν μπορεί να σε χακάρει. Απλά θα του ζητήσουν του υποτιθέμενου hacker να υπογράψει ένα νέο μήνυμα με την ίδια διεύθυνση για να αποδείξει ότι συνεχίζει να είναι ο διαχειριστής αυτής της bitcoin διεύθυνσης. Ο υποτιθέμενος hacker που πήρε τον έλεγχο του λογαριασμού σου μπορεί να αλλάξει οποιοδήποτε post σου. Άρα αν εσύ έχεις ποστάρει απλά κάπου μια διεύθυνση τότε είναι απλό για αυτόν απλά να την αλλάξει ή να τη σβήσει, και η υπογραφή που έχεις θα είναι ένα πατσαβουρόχαρτο. Άλλωστε στην παρούσα φάση δε μετράει η υπογραφή αλλά η διεύθυνση η ίδια (η υπογραφή θα χρειαστεί για να υπογράψεις το μήνυμα προς τον admin ότι ο λογαριασμός σου έχει χακαριστεί, κάνοντας referral κάποιο post σου όπου φαίνειται η διεύθυνση με την οποία υπογράφεις, σύμφωνα με το link παραπάνω) Αν τώρα σου έχουν κάνει quote το post τότε για τον hacker θεωρητικά είναι πολύ δύσκολο το έργο του μια και θα πρέπει να χακάρει και τον λογαριασμό αυτού που σου έκανε quote το post σου. Αν έχεις και 2ο quote από κάποιον επιπλέον ακόμα ξεχωριστό λογαριασμό τότε πλέον η πιθανότητα (θεωρητικά πάντα) να πετύχει την αλλαγή παντού είναι μηδαμινή. Και λέω θεωρητικά γιατί σε περίπτωση κάποιου mass password ή hash leak (έργο το οποίο έχουμε δει πολλές φορές) τα πράγματα αλλάζουν.
|
|
|
|
theta1 (OP)
Newbie
Offline
Activity: 21
Merit: 0
|
|
December 14, 2017, 09:10:30 PM |
|
Καλησπέρα. Μόλις είδα όλες τις απαντήσεις. Συμφωνώ με τον bomber ότι κάποιος μπορείς να αλλάξει το post σου. Αυτό που δε μπορώ να καταλάβω είναι γιατί επιτρέπουν σε κάποιον να αλλάξει το email address ενός account χωρίς απαίτηση για επιβεβαίωση (ή έστω δικαίωμα άρνησης εντός ενός χρονικού ορίου) από τον ιδιοκτήτη του αρχικού email. Αυτό έγινε στη δική μου περίπτωση. Εντός ολίγων λεπτών έλαβα 2 email, ένα άλλαξε το email address και στο καπάκι το password (είδα και τα δύο email την ίδια στιγμή χωρίς φυσικά να προλάβω να μπω ενδιάμεσα, το μόνο που μπορούσα να κάνω είναι να κλειδώσω το λογαριασμό). Θα μπορούσε κάλλιστα να σε ενημερώνει ότι ζήτησες αλλαγή email address. Αν θες την επιβεβαιώνεις αμέσως, ή την ακυρώνεις, και αν δεν κάνεις τίποτα από τα δύο εντός Χ χρόνου (1 μέρα ή 1 βδομάδα π.χ.) τότε αυτόματα προχωράει η αλλαγή. Αυτό επιτρέπει αποτροπή hacking και επίσης recover account όπου έχεις χάσει την πρόσβαση στο email σου.
|
|
|
|
chek2fire
Legendary
Offline
Activity: 3430
Merit: 1142
Ιntergalactic Conciliator
|
|
December 14, 2017, 11:11:14 PM |
|
Ναι απλά λέμε τώρα αν υπάρχει μια πιθανότητα P(A) να χακαριστεί εκτός από τον δικό μας λογαριασμό και ο λογαριασμός αυτού που πας έκανε quote (οπότε ο χακερ θα αλλαξει και το quoted post), η πιθανότητα να χακαριστεί και ένας ακόμα είναι P(A)^2 ->0. (εκτός αν μιλάμε για mass leak)
αφού έχεις το hash του μηνύματος που έχεις υπογράψει με τα private key σου τότε κανείς δεν μπορεί να σε χακάρει. Απλά θα του ζητήσουν του υποτιθέμενου hacker να υπογράψει ένα νέο μήνυμα με την ίδια διεύθυνση για να αποδείξει ότι συνεχίζει να είναι ο διαχειριστής αυτής της bitcoin διεύθυνσης. Ο υποτιθέμενος hacker που πήρε τον έλεγχο του λογαριασμού σου μπορεί να αλλάξει οποιοδήποτε post σου. Άρα αν εσύ έχεις ποστάρει απλά κάπου μια διεύθυνση τότε είναι απλό για αυτόν απλά να την αλλάξει ή να τη σβήσει, και η υπογραφή που έχεις θα είναι ένα πατσαβουρόχαρτο. Άλλωστε στην παρούσα φάση δε μετράει η υπογραφή αλλά η διεύθυνση η ίδια (η υπογραφή θα χρειαστεί για να υπογράψεις το μήνυμα προς τον admin ότι ο λογαριασμός σου έχει χακαριστεί, κάνοντας referral κάποιο post σου όπου φαίνειται η διεύθυνση με την οποία υπογράφεις, σύμφωνα με το link παραπάνω) Αν τώρα σου έχουν κάνει quote το post τότε για τον hacker θεωρητικά είναι πολύ δύσκολο το έργο του μια και θα πρέπει να χακάρει και τον λογαριασμό αυτού που σου έκανε quote το post σου. Αν έχεις και 2ο quote από κάποιον επιπλέον ακόμα ξεχωριστό λογαριασμό τότε πλέον η πιθανότητα (θεωρητικά πάντα) να πετύχει την αλλαγή παντού είναι μηδαμινή. Και λέω θεωρητικά γιατί σε περίπτωση κάποιου mass password ή hash leak (έργο το οποίο έχουμε δει πολλές φορές) τα πράγματα αλλάζουν. το quote δεν μπορεί να αλλάξει συν το hash της διεύθυνσης δεν μπορεί να το αναπαράγει κάποιος που δεν έχει στην διαχειρισή του την συγκεκριμένη διεύθυνση
|
|
|
|
bomberb17
|
|
December 15, 2017, 01:31:38 AM |
|
Απλά η ασφάλεια που παρέχει το SMF είναι για τα μπάζα, και εμείς οι χρήστες καθόμαστε και εφευρίσκουμε τρόπους για να αποδείξουμε μετά ότι δεν είμαστε ελέφαντες... Νομίζω ότι τα έτη που αναφέρονται αν κάνετε scroll κάτω κάτω τέρμα τα λενε όλα..
|
|
|
|
|