Торговые боты K-Bot; Sniper-Bot; Smart-Bot

[skrn2]

Друг мой он не скрыт=) Js не скроешь=) А пых ты сам гитхабе выложил.

Ну во первых ты сейвиш в куку секретку.  Т.е переходим на http://www.funnymay.com/jbot21/jbot_wex.html. Запускаем скрипт, на обработчике сохранения данных ты устанавливаешь куку wex_set_1. Теперь закрываем все, ребутим комп, успешно забываем.  А в настройках браузера, у нас осталась твоя кука. А уж спереть куки это далеко не самое хитрое дело.

Можешь в хроме посмотреть в настройки->дополнительно->настройки контента->файлы куки->все файлы... и там грепом wex_set_1 получаем наши секретки. Это если на вскидку.

Сам браузер это большая уязвимость. Не продвинутые пользователи свои ключи потерять могут.

У себя я сделал config.yml для предварительной настройки (можно json). Ключи берутся из переменных окружения контейнера, которые устанавливаются через setup.sh. Т.е в явном виде ты их не хранишь но поднимаешь контейнер через установщик на лету их подхватываешь (можно проще сделать, тут я заигрался).  docker inspect ecceсно ток из под рута.

Суперглобальные переменные вообще как табу. Причины можешь сам почитать.

Ну незнаю-незнаю.
0 В пхп истины я вам не открою, там все стандартно, хай-лоу за сутки и все. Каждый профан напишет такой код.
1 По мне, так лучше ключи и секретки хранить у себя на локальном хосте в куках, чем в бд на чужом сайте.
2 Если привязать к этой страничке файлы и бд, установка для рядового пользователя превратится в пытку
3 Ключи можно в любой момент удалить с биржи и создать новые, тут каждый в ответе за свои средства. Не стоит ставить все разрешения на ключи. чисто trade и info
4 Какая разница в каких переменных хранить данные, суперглобалы или нет. Я не вижу смысла в каждой функции извращаться и вписывать массив торгуемых пар.
5 Большинство пользователей (95%) предпочитают не ковыряться в коде. им по-барабану, как написан код, сколько раз там встречается дебаг или xhr. Для них код - это клинская письменность. Главное для них - работоспособность.
Или я не прав.

[FoxyCrypsy]

Друг мой он не скрыт=) Js не скроешь=) А пых ты сам гитхабе выложил.

Ну во первых ты сейвиш в куку секретку.  Т.е переходим на http://www.funnymay.com/jbot21/jbot_wex.html. Запускаем скрипт, на обработчике сохранения данных ты устанавливаешь куку wex_set_1. Теперь закрываем все, ребутим комп, успешно забываем.  А в настройках браузера, у нас осталась твоя кука. А уж спереть куки это далеко не самое хитрое дело.

Можешь в хроме посмотреть в настройки->дополнительно->настройки контента->файлы куки->все файлы... и там грепом wex_set_1 получаем наши секретки. Это если на вскидку.

Сам браузер это большая уязвимость. Не продвинутые пользователи свои ключи потерять могут.

У себя я сделал config.yml для предварительной настройки (можно json). Ключи берутся из переменных окружения контейнера, которые устанавливаются через setup.sh. Т.е в явном виде ты их не хранишь но поднимаешь контейнер через установщик на лету их подхватываешь (можно проще сделать, тут я заигрался).  docker inspect ecceсно ток из под рута.

Суперглобальные переменные вообще как табу. Причины можешь сам почитать.

Ну незнаю-незнаю.
0 В пхп истины я вам не открою, там все стандартно, хай-лоу за сутки и все. Каждый профан напишет такой код.
1 По мне, так лучше ключи и секретки хранить у себя на локальном хосте в куках, чем в бд на чужом сайте.
2 Если привязать к этой страничке файлы и бд, установка для рядового пользователя превратится в пытку
3 Ключи можно в любой момент удалить с биржи и создать новые, тут каждый в ответе за свои средства. Не стоит ставить все разрешения на ключи. чисто trade и info
4 Какая разница в каких переменных хранить данные, суперглобалы или нет. Я не вижу смысла в каждой функции извращаться и вписывать массив торгуемых пар.
5 Большинство пользователей (95%) предпочитают не ковыряться в коде. им по-барабану, как написан код, сколько раз там встречается дебаг или xhr. Для них код - это клинская письменность. Главное для них - работоспособность.
Или я не прав.

Ну, а если понадобится подладить? Или  на доработку отдать или изменить стратегию? ну что не для всех это необходимо это верно подмечено. А на счет читаемости кода- то всегда приятнее смотреть где все по полочкам разложено, нежели ковыряться по буйрагам кода, где черт ногу сломит!

[lyuq]

Интересная задумка! На днях попробую!

Но dr00t правильно говорит, вопрос касательно безопасности весьма важен.
Что с безопасностью передаваемых по сети данных? Могут ли быть перехвачены секретки?

[dr00t]

Ну незнаю-незнаю.
0 В пхп истины я вам не открою, там все стандартно, хай-лоу за сутки и все. Каждый профан напишет такой код.
1 По мне, так лучше ключи и секретки хранить у себя на локальном хосте в куках, чем в бд на чужом сайте.
2 Если привязать к этой страничке файлы и бд, установка для рядового пользователя превратится в пытку
3 Ключи можно в любой момент удалить с биржи и создать новые, тут каждый в ответе за свои средства. Не стоит ставить все разрешения на ключи. чисто trade и info
4 Какая разница в каких переменных хранить данные, суперглобалы или нет. Я не вижу смысла в каждой функции извращаться и вписывать массив торгуемых пар.
5 Большинство пользователей (95%) предпочитают не ковыряться в коде. им по-барабану, как написан код, сколько раз там встречается дебаг или xhr. Для них код - это клинская письменность. Главное для них - работоспособность.
Или я не прав.

2,3 всмысле хранить?! Не надо их хранить блин. Я тебе выше описал как это можно сделать без сохранения.
3. И что trade мало?
4. Эм ты хоть пробовал читать про то что можно через них делать и чем черевато их использование, ты там как бы имя хомячка передаешь?... я тебе писал как это сделать без суперглобалов.
5. Т.е ты предлагаешь людям вводить в какие то формочки свои секретки и говоришь что не важно как там код написан? Т.е предлагаешь поверить на слово, что там нет запроса к некой апишке которые пересылает их данный на какой то сервер, где их можно спокойно складировать. Очень просто в подобном коде спрятать какой-нибудь пут контет и base_decode который какую нибудь кракозябру преобразует в вполне работоспособный код. И из сложности его чтения это можно пропустить. Про фронт я вообще молчу.

Вот так люди себе ставят на говносайтики нуленные плагины и темы вордпреса или джинджи, а потом удивляемся откуда ботнет развивается.

Людям по барабану как написан код, когда он не делает ничего полезного.

Впрочем, не смею более тебя разубеждать

[dr00t]

Что с безопасностью передаваемых по сети данных? Могут ли быть перехвачены секретки?

Перейди на демо сайт введи данные в форму.  Открой консоль  (ctrl-shift-i) в хроме и фф.  Выбери вкладку Network (сеть) поставь xhr.  Смотри, делай выводы.  Запрос к самой бирже даже если перехватить особо ничего с ним не сделаешь, там шифруются данные необратимым методом... а вот запросы к апи лично меня напрягают.

[lyuq]

Перейди на демо сайт введи данные в форму.  Открой консоль  (ctrl-shift-i) в хроме и фф.  Выбери вкладку Network (сеть) поставь xhr.  Смотри, делай выводы.  Запрос к самой бирже даже если перехватить особо ничего с ним не сделаешь, там шифруются данные необратимым методом... а вот запросы к апи лично меня напрягают.

Правильно я понимаю, что данные запросов из апи можно перехватить из соседней вкладки браузера?

[dr00t]

Перейди на демо сайт введи данные в форму.  Открой консоль  (ctrl-shift-i) в хроме и фф.  Выбери вкладку Network (сеть) поставь xhr.  Смотри, делай выводы.  Запрос к самой бирже даже если перехватить особо ничего с ним не сделаешь, там шифруются данные необратимым методом... а вот запросы к апи лично меня напрягают.

Правильно я понимаю, что данные запросов из апи можно перехватить из соседней вкладки браузера?

Эм нет.

Но запросы к апи тем не менее можно перехватить.  Как сам автор пишет. На https://github.com/savinkirillnick/JBOT

Для работы кода, вам необходим сервер с настроенным php и в частности обязательным расширением curl_php

PHP интерпретируемый язык. Т.е для того что бы код на нем отрабатывал должна быть программа которая как бы объяснить что надо делать. Т.е обращаясь к php файлику, вы обращаетесь к  интерпретору (через fastcgi на пример если используете Nginx как сервер).

Что получается дальше. как видно из xhr запроса, секретки в явном виде передаются, что как бы говорит серверу, вот тебе параметры, выполни как мне с ними вон тот скрипт. Сервер проверяет что есть ли вообще разрешение трогать файл, передает данные через транспорт интерпретатору, то честно выполняет свою задачу, отдаёт данные обратно серверу, а тот запросившему (ну или ошибку).

Вроде все просто. Вот только ваш запрос может быть залогирован. Т.е у вас есть файлик с вашем запросом с ключом в открытом виде. А вот спереть лог уже просто.  

Кстати те кто юзал демо сайт вполне могли оставить свои ключи в логах сервера автора.

Это пример до ужаса высосаный из пальца.

Про куку хранящуюсь в браузере я уже писал выше.  Запрос не просто передается в открытом виде... он еще и сохраняется в куках браузера, которые тоже не являются самым надежным хранилищем.

[cryptostein]

ТС молодец, если хочет сделать хорошего бота для людей, но труд неблагодарный.
Доверить доступ для торговли сторонней программе незнакомого разработчика, такое себе дело.
Удачи в начинаниях!

[skrn2]

Что получается дальше. как видно из xhr запроса, секретки в явном виде передаются, что как бы говорит серверу, вот тебе параметры, выполни как мне с ними вон тот скрипт. Сервер проверяет что есть ли вообще разрешение трогать файл, передает данные через транспорт интерпретатору, то честно выполняет свою задачу, отдаёт данные обратно серверу, а тот запросившему (ну или ошибку).

Вроде все просто. Вот только ваш запрос может быть залогирован. Т.е у вас есть файлик с вашем запросом с ключом в открытом виде. А вот спереть лог уже просто.  

Кстати те кто юзал демо сайт вполне могли оставить свои ключи в логах сервера автора.

Это пример до ужаса высосаный из пальца.

Про куку хранящуюсь в браузере я уже писал выше.  Запрос не просто передается в открытом виде... он еще и сохраняется в куках браузера, которые тоже не являются самым надежным хранилищем.

Тут придраться можно к чему угодно, когда дело касается безопасности.
Напиши я программу на С++, все стали бы обвинять, что моя программа тайно передает данные на сервак в сети. Установили бы сниффер и отслеживали, в какой-же момент она передает данные, а если не удалось отследить, то предположили, что она работает от лунного календаря, и когда сниффер выключен, происходит отсылка секретки.

Вот как можно спереть данные с моего локалхоста? вы собираетесь прийти ко мне с флешкой и скопировать логи, или куки?
Или будете меня вычислять по айпи. Присылать письма с фейками? А попробуйте спереть куки у моего знакомого. Вы даже не знаете как его зовут.

По мне, это излишняя предосторожность.

[lyuq]

Вот как можно спереть данные с моего локалхоста? вы собираетесь прийти ко мне с флешкой и скопировать логи, или куки?
Или будете меня вычислять по айпи. Присылать письма с фейками? А попробуйте спереть куки у моего знакомого. Вы даже не знаете как его зовут.

По мне, это излишняя предосторожность.

Пока ботом пользуется только "пара" человека, то да, предосторожность излишняя. А на будущее стоит задуматься о безопасности.

[dr00t]

Друг мой мы ходим по кругу. Я тебе уже отвечал на все замечания.

Тут придраться можно к чему угодно, когда дело касается безопасности.

Кончено речь идет о деньгах

Напиши я программу на С++, все стали бы обвинять, что моя программа тайно передает данные на сервак в сети.

На чем угодно, лишь бы код хорошо читался и там будет видно что она делает, в твоем коде разбираться сложно.

Установили бы сниффер и отслеживали, в какой-же момент она передает данные, а если не удалось отследить, то предположили, что она работает от лунного календаря, и когда сниффер выключен, происходит отсылка секретки.

Нет. Если бы ты не предавал данные в апи в открытом виде, то сниффер бы максимум что бы стырил это необратимо зашифрованые данные ибо перед передачей в апи биржи они шифруются.

Вот как можно спереть данные с моего локалхоста? вы собираетесь прийти ко мне с флешкой и скопировать логи, или куки?
Или будете меня вычислять по айпи. Присылать письма с фейками? А попробуйте спереть куки у моего знакомого. Вы даже не знаете как его зовут.

Куку вы и сами можете отдать перейдя по ссылки с говноскриптом. И пофигу localhost или нет. По остальному вы в сети работаете, этим все сказано, вокруг вас гарантированно ненадежное окружение. А защита решается докером.

[lyuq]

Напиши я программу на С++, все стали бы обвинять, что моя программа тайно передает данные на сервак в сети. Установили бы сниффер и отслеживали, в какой-же момент она передает данные, а если не удалось отследить, то предположили, что она работает от лунного календаря, и когда сниффер выключен, происходит отсылка секретки.

Да, если прога написана на сиплюсе, ни кто не запрещает выложить исходники так же на гитхабе. Чтобы ни кто не говорил, что она передает что-то левое куда-то. А вся передача данных осуществляется в зашифрованном виде для защиты от перехвата.

[Max876]

Тут проекты ботов от победителей конкурса для бинанс https://github.com/binance-exchange

[skrn2]

Куку вы и сами можете отдать перейдя по ссылки с говноскриптом. И пофигу localhost или нет. По остальному вы в сети работаете, этим все сказано, вокруг вас гарантированно ненадежное окружение. А защита решается докером.

Может я что-то не понимаю, но как перейдя по ссылке можно получить куку с локалхоста или другого сайта? Неужели браузер допустит такое и поделится ей?
Как вариант можно просто отключить сохранение ключа и секретки в куках.

И прочитал про докер. Довольно сомнительная технология. Я бы никогда на такое не подписался.
Проще из php создавать архив наподобие rar и паролировать его ключом.

Скажем сделать пароль на куку. В куки будут сохраняться все параметры в виде json-строки, сжатой методом rar с паролем. Но все равно можно выдернуть куку в виде непонятных символов и проводить подбор пароля, это уже сложнее, особенно если сделать пароль 30-значным.

Тут проекты ботов от победителей конкурса для бинанс https://github.com/binance-exchange

Под API бинанса бота уже переделал. Пока не запустят регистрацию, проверить его работу не смогу.

[QUANTOR]

Добрый день.
Мы тестируем платформу Gekko https://gekko.wizb.it/  связанную с криптобиржами, в частности poloniex, bitfinex.
Можем ли мы протестировать ваш алгоритм на этой платформе и биржах (poloniex)?
Или адаптировать его для этой платформы. Проверка будет в том числе на реальном счете.
Код робота должен быть на js.
Есть ли у вас хоть какие-нибудь результаты на демо, бэктестах?
https://gekko.wizb.it/docs/introduction/about_gekko.html  документация платформы.
Можете ответ дать на tmbveka[at]yandex[.]ru
Заранее спасибо за ответ.

[lyuq]

Поставил бота. Вроде бы работает. По результатам куда лучше отписываться сюда или в личку?

[reddish111]

Поставил бота. Вроде бы работает. По результатам куда лучше отписываться сюда или в личку?

пиши тут   автор не прав в важности качества кода, по этому учить его надо тут, и всем остальным тоже интересно и полезно будет!
А посыл хороший   это я так понимаю сказывается действие Нового Года нанаселение   все становятся добрыми и раздают подарки  

PS: ключи если и хранить на лакалке то в файле  для параноиков шифрованном

[skrn2]

Добрый день.
Мы тестируем платформу Gekko https://gekko.wizb.it/  связанную с криптобиржами, в частности poloniex, bitfinex.
Можем ли мы протестировать ваш алгоритм на этой платформе и биржах (poloniex)?
Или адаптировать его для этой платформы. Проверка будет в том числе на реальном счете.

Добрый день. К сожалению, у меня нет времени вникать в работы других платформ, но вы можете прочитать логику работы скрипта из файла api_wex.php и адаптировать под вашу платформу.

Поставил бота. Вроде бы работает. По результатам куда лучше отписываться сюда или в личку?

Пишите сюда. Будем обсуждать вместе.

PS: ключи если и хранить на лакалке то в файле  для параноиков шифрованном

Обновил версию до 2.3:
Добавлено хранение ключeй и всех настроек в зашифрованном виде в куках. Шифрование AES с ключом(Password)
Переписаны пара стратегий. До этой версии были замечания к стратегии OUTER, переписана.
Удален debug mode

[skrn2]

Сейчас JS отправляет ключ, секретку, и прочие параметры в PHP, а PHP шифрует подписывает и отправляет на биржу, получает ответ и возвращает в JS.
Есть смысл переписывать JS и PHP таким образом, чтобы JS сам шифровал, подписывал и отправлял послание на PHP, а PHP только переправлял подписанный и зашифрованный через JS запрос на биржу, получал ответ и передавал обратно в JS?

[lyuq]

Есть кривые ссылки на файлы в последней версии. Ссылки на файлы из версии 2.2.