paul2000
|
|
April 08, 2014, 03:09:16 PM |
|
1. Nur, wenn man RPC via SSL enabled hat, anderen Rechnern (neben Localhost) einen Zugriff erlaubt und die entsprechenden RPC-Ports zugänglich sind von außen (was wohl bei keinem "normalen User" der Fall sein sollte). 2. Das spielt dann keine Rolle. Nur interessehalber: "Das spielt dann keine Rolle" heißt, daß meine Coins in Gefahr wären, obwohl die Wallet encrypted ist? Wie soll der Angreifer denn die Wallet ensperren? Edit: Wie und wo würde mann denn RPC via SSL einschalten? Wo kann ich nachschauen, ob es bei mir aus ist? Danke!!!
|
|
|
|
twbt
Legendary
Offline
Activity: 994
Merit: 1098
An AA rated Bandoneonista
|
|
April 08, 2014, 03:11:34 PM |
|
1. Nur, wenn man RPC via SSL enabled hat, anderen Rechnern (neben Localhost) einen Zugriff erlaubt und die entsprechenden RPC-Ports zugänglich sind von außen (was wohl bei keinem "normalen User" der Fall sein sollte). 2. Das spielt dann keine Rolle. Nur interessehalber: "Das spielt dann keine Rolle" heißt, daß meine Coins in Gefahr wären, obwohl die Wallet encrypted ist? Wie soll der Angreifer denn die Wallet ensperren? Naja, wenn Du RPC SSL nutzt, um mit bitcoind zu sprechen, dann wird das Passwort verschlüsselt übertragen. Durch den Bug ist das dann auslesbar.
|
|
|
|
paul2000
|
|
April 08, 2014, 03:17:29 PM |
|
1. Nur, wenn man RPC via SSL enabled hat, anderen Rechnern (neben Localhost) einen Zugriff erlaubt und die entsprechenden RPC-Ports zugänglich sind von außen (was wohl bei keinem "normalen User" der Fall sein sollte). 2. Das spielt dann keine Rolle. Nur interessehalber: "Das spielt dann keine Rolle" heißt, daß meine Coins in Gefahr wären, obwohl die Wallet encrypted ist? Wie soll der Angreifer denn die Wallet ensperren? Naja, wenn Du RPC SSL nutzt, um mit bitcoind zu sprechen, dann wird das Passwort verschlüsselt übertragen. Durch den Bug ist das dann auslesbar. Tut mir leid, leider bin ich da komplett auf Noob-Niveau, keine Ahnung was Bitcoind ist :-( Mich würde einfach interessieren, ob ich mir auf einem System (Mac OS 10.6.) auf dem ausschließlich der Bitcoin Core 0.9 läuft jetzt Sorgen machen muss, oder nicht.
|
|
|
|
420moviez
|
|
April 08, 2014, 03:33:53 PM |
|
Nein, soweit ich das verstehe betrifft das Problem die Nutzer, die von einem anderen Computer per SSL RPC Zugriffe annehmen. Wenn in deiner bitcoin.conf der Eintrag "rpcssl = 1" gesetzt ist, dann ist rpc ssl aktiv. Dann müssen aber noch "rpcallowip x.x.x.x" gesetzt sein, damit der Bug genutzt werden kann. Quelle: https://en.bitcoin.it/wiki/Enabling_SSL_on_original_client_daemon
|
|
|
|
twbt
Legendary
Offline
Activity: 994
Merit: 1098
An AA rated Bandoneonista
|
|
April 08, 2014, 03:41:09 PM |
|
Nein, soweit ich das verstehe betrifft das Problem die Nutzer, die von einem anderen Computer per SSL RPC Zugriffe annehmen. Wenn in deiner bitcoin.conf der Eintrag "rpcssl = 1" gesetzt ist, dann ist rpc ssl aktiv. Dann müssen aber noch "rpcallowip x.x.x.x" gesetzt sein, damit der Bug genutzt werden kann. Quelle: https://en.bitcoin.it/wiki/Enabling_SSL_on_original_client_daemonGenau. Und die Ports müssen natürlich nach außen offen sein (wenn man z.B. hinter einem Router hängt). Von daher: Das sollte für keinen "normalen Nutzer" ein Problem sein. Man müsste das bewusst wie oben beschrieben konfiguriert haben.
|
|
|
|
paul2000
|
|
April 08, 2014, 03:49:25 PM |
|
Wie soll der Bitcoin Mainstream werden, wenn selbst mir (eigentlich alles andere als ein Computer-Noob) der Arsch auf Grundeis geht, weil ich nix mehr verstehe???
Es sollte doch eine einigermassen verstehbare Antwort für all die Nicht-Netzwerk Experten geben, ob sie bei "0815" Nutzung des Hauptamtlichen Bitcoin-Clienten um ihre Coins fürchten müssen?
|
|
|
|
Mikellev
|
|
April 08, 2014, 03:51:08 PM |
|
Wie soll der Bitcoin Mainstream werden, wenn selbst mir (eigentlich alles andere als ein Computer-Noob) der Arsch auf Grundeis geht, weil ich nix mehr verstehe???
Es sollte doch eine einigermassen verstehbare Antwort für all die Nicht-Netzwerk Experten geben, ob sie bei "0815" Nutzung des Hauptamtlichen Bitcoin-Clienten um ihre Coins fürchten müssen?
Nein musst du nicht. Es sei denn du benutzt open ssl und ne datenbank oder oder. Ist wirklich nur für Seitenbetreiber interessant. Oder halt in diesem Falle z.b. Börsen wie bitstamp, cryptsy und co.
|
|
|
|
|
Evil-Knievel
Legendary
Offline
Activity: 1260
Merit: 1168
|
|
April 08, 2014, 03:53:44 PM Last edit: April 17, 2016, 09:54:36 PM by Evil-Knievel |
|
This message was too old and has been purged
|
|
|
|
paul2000
|
|
April 08, 2014, 04:33:57 PM |
|
Danke an alle für die Antworten!
|
|
|
|
paul2000
|
|
April 08, 2014, 05:41:22 PM |
|
Okay, eine Frage habe ich noch:
Angenommen es liegt in einem Bitcoin Core Client eine wallet.dat, die noch niemals auf dem betreffenden System entsperrt wurde, und auch dort nicht erstellt wurde, dann kann das System doch noch so compromised sein, die coins sind safe, richtig? (Eine extrem starke passphrase natürlich vorausgesetzt)
|
|
|
|
kneim
Legendary
Offline
Activity: 1666
Merit: 1000
|
|
April 08, 2014, 05:47:32 PM |
|
Okay, eine Frage habe ich noch:
Angenommen es liegt in einem Bitcoin Core Client eine wallet.dat, die noch niemals auf dem betreffenden System entsperrt wurde, und auch dort nicht erstellt wurde, dann kann das System doch noch so compromised sein, die coins sind safe, richtig? (Eine extrem starke passphrase natürlich vorausgesetzt)
Ja, das stimmt. Worst case ist ein Keylogger, der beim erstmaligen Entschlüsseln das Passwort mitliest. Solange das nicht passiert, ist die Wallet mit einem sicheren Schlüssel geschützt.
|
|
|
|
hartvercoint
|
|
April 08, 2014, 06:12:57 PM |
|
Der Bug ist bekannt seit gut 2 Jahren, wurde aber wohl als unwichtig bzw. als "FUD" abgegolten. Schade eigentlich. Immer wenn ich mal auf eine Sicherheitsproblematik hinweisen wollte, wurde ich in diesem Forum beschimpft und mit schlechten Bewertungen überrannt. Das sagt doch schon alles, oder? Du erzählst auch nen Schwachsinn... Der Bug ist seit gestern öffentlich und einen Fix gab es auch direkt. Er hat lediglich seit 2012 bestanden ohne dass es jemandem aufgefallen wäre (bzw. ohne dass die Entdeckung jemand veröffentlicht hätte). Als ob irgendjemand einen Bug, der nicht nur die Verschlüsselung komplett hinfällig macht, sondern zusätzlich das Auslesen des kompletten Speichers der kontaktierten Serviceanwendung ermöglicht, als "unwichtig" einstufen würde. Du hast Vorstellungen...
|
|
|
|
Lord F(r)og
Donator
Sr. Member
Offline
Activity: 477
Merit: 250
|
|
April 08, 2014, 06:54:40 PM |
|
Das Problem ist eher die arrogant-hochnäsige, sich selbst als "intelligent" betitelnde open source szene. Der Bug ist bekannt seit gut 2 Jahren, wurde aber wohl als unwichtig bzw. als "FUD" abgegolten. Schade eigentlich. Immer wenn ich mal auf eine Sicherheitsproblematik hinweisen wollte, wurde ich in diesem Forum beschimpft und mit schlechten Bewertungen überrannt. Das sagt doch schon alles, oder? Was hast du schon vorzuweisen? Du hast einen von den NXT Devs mit Absicht platzierten Testbug gefunden, sonst nichts. Aber vollmundig prahlen unbegrenzt NXT hacken zu können und sich hinterher wundern woher der Gegenwind kommt. Den Beweis bist du uns bis heute schuldig. Aber der Sache nicht genug wiederholst du das Trauerspiel mit deinem Transaction Malleability Reloaded-Thread: wieder nur heisse Luft und kindisches Gehabe. Tja, da bleiben nur zwei Schubladen für dich übrig. Entweder lügst du uns hier die Hucke voll weil dein Ego billigst auf Aufmerksamkeit aus ist oder du behältst die Bugs für dich, um andere zu bescheißen. Beides nicht sehr schmeichelhaft, oder? Was zum Henker glaubst du was passiert wenn du die gesamte Community über einen Kamm scherst und beleidigst, obwohl die meisten Ohren für deine Belange offen waren? Nicht sorry, klassischer Fall von Selbstdemontage.
|
|
|
|
Evil-Knievel
Legendary
Offline
Activity: 1260
Merit: 1168
|
|
April 08, 2014, 07:05:36 PM Last edit: April 17, 2016, 09:54:24 PM by Evil-Knievel |
|
This message was too old and has been purged
|
|
|
|
Lord F(r)og
Donator
Sr. Member
Offline
Activity: 477
Merit: 250
|
|
April 08, 2014, 07:15:31 PM |
|
Ich sprach nicht von der NXT Geschichte. tu nicht so oberschlau, du weisst genau was ich meine
|
|
|
|
Evil-Knievel
Legendary
Offline
Activity: 1260
Merit: 1168
|
|
April 08, 2014, 07:22:17 PM Last edit: April 17, 2016, 09:54:18 PM by Evil-Knievel |
|
This message was too old and has been purged
|
|
|
|
Slipknot79
|
|
April 08, 2014, 07:40:49 PM |
|
Wieso gibts trades auf bitstamp wenn der login schon seit Stunden ned funzt?
|
|
|
|
bitcoinminer42
Legendary
Offline
Activity: 1904
Merit: 1185
notorious shrimp!
|
|
April 08, 2014, 07:41:26 PM |
|
Heute mal eine Glaskugel der Kategorie "Wichtigtuer"... Mit Griff... Hau Sie dir gegen die Birne... Und zu Stamp... warum sollte es einen Drop geben? Ist doch noch nix passiert... Fehler entdeckt. Wird geflickt... alles gut.
|
|
|
|
giletto
|
|
April 08, 2014, 07:47:17 PM |
|
Wieso gibts trades auf bitstamp wenn der login schon seit Stunden ned funzt?
Keine Ahnung was du meinst, ich kann mich einwandfrei einloggen.
|
|
|
|
|