Bitcoin Forum
June 19, 2024, 05:12:32 PM *
News: Voting for pizza day contest
 
   Home   Help Search Login Register More  
Pages: « 1 2 [3] 4 5 6 »  All
  Print  
Author Topic: Торговые боты K-Bot; Sniper-Bot; Smart-Bot  (Read 1912 times)
skrn2 (OP)
Member
**
Offline Offline

Activity: 87
Merit: 11


View Profile WWW
January 15, 2018, 04:51:23 PM
 #41


Друг мой он не скрыт=) Js не скроешь=) А пых ты сам гитхабе выложил.

Ну во первых ты сейвиш в куку секретку.  Т.е переходим на http://www.funnymay.com/jbot21/jbot_wex.html. Запускаем скрипт, на обработчике сохранения данных ты устанавливаешь куку wex_set_1. Теперь закрываем все, ребутим комп, успешно забываем.  А в настройках браузера, у нас осталась твоя кука. А уж спереть куки это далеко не самое хитрое дело.

Можешь в хроме посмотреть в настройки->дополнительно->настройки контента->файлы куки->все файлы... и там грепом wex_set_1 получаем наши секретки. Это если на вскидку.

Сам браузер это большая уязвимость. Не продвинутые пользователи свои ключи потерять могут.

У себя я сделал config.yml для предварительной настройки (можно json). Ключи берутся из переменных окружения контейнера, которые устанавливаются через setup.sh. Т.е в явном виде ты их не хранишь но поднимаешь контейнер через установщик на лету их подхватываешь (можно проще сделать, тут я заигрался).  docker inspect ecceсно ток из под рута.

Суперглобальные переменные вообще как табу. Причины можешь сам почитать.


Ну незнаю-незнаю.
0 В пхп истины я вам не открою, там все стандартно, хай-лоу за сутки и все. Каждый профан напишет такой код.
1 По мне, так лучше ключи и секретки хранить у себя на локальном хосте в куках, чем в бд на чужом сайте.
2 Если привязать к этой страничке файлы и бд, установка для рядового пользователя превратится в пытку
3 Ключи можно в любой момент удалить с биржи и создать новые, тут каждый в ответе за свои средства. Не стоит ставить все разрешения на ключи. чисто trade и info
4 Какая разница в каких переменных хранить данные, суперглобалы или нет. Я не вижу смысла в каждой функции извращаться и вписывать массив торгуемых пар.
5 Большинство пользователей (95%) предпочитают не ковыряться в коде. им по-барабану, как написан код, сколько раз там встречается дебаг или xhr. Для них код - это клинская письменность. Главное для них - работоспособность.
Или я не прав.

Разработка автоматических торговых систем - http://funnymay.com
FoxyCrypsy
Newbie
*
Offline Offline

Activity: 84
Merit: 0


View Profile
January 15, 2018, 06:25:23 PM
 #42


Друг мой он не скрыт=) Js не скроешь=) А пых ты сам гитхабе выложил.

Ну во первых ты сейвиш в куку секретку.  Т.е переходим на http://www.funnymay.com/jbot21/jbot_wex.html. Запускаем скрипт, на обработчике сохранения данных ты устанавливаешь куку wex_set_1. Теперь закрываем все, ребутим комп, успешно забываем.  А в настройках браузера, у нас осталась твоя кука. А уж спереть куки это далеко не самое хитрое дело.

Можешь в хроме посмотреть в настройки->дополнительно->настройки контента->файлы куки->все файлы... и там грепом wex_set_1 получаем наши секретки. Это если на вскидку.

Сам браузер это большая уязвимость. Не продвинутые пользователи свои ключи потерять могут.

У себя я сделал config.yml для предварительной настройки (можно json). Ключи берутся из переменных окружения контейнера, которые устанавливаются через setup.sh. Т.е в явном виде ты их не хранишь но поднимаешь контейнер через установщик на лету их подхватываешь (можно проще сделать, тут я заигрался).  docker inspect ecceсно ток из под рута.

Суперглобальные переменные вообще как табу. Причины можешь сам почитать.


Ну незнаю-незнаю.
0 В пхп истины я вам не открою, там все стандартно, хай-лоу за сутки и все. Каждый профан напишет такой код.
1 По мне, так лучше ключи и секретки хранить у себя на локальном хосте в куках, чем в бд на чужом сайте.
2 Если привязать к этой страничке файлы и бд, установка для рядового пользователя превратится в пытку
3 Ключи можно в любой момент удалить с биржи и создать новые, тут каждый в ответе за свои средства. Не стоит ставить все разрешения на ключи. чисто trade и info
4 Какая разница в каких переменных хранить данные, суперглобалы или нет. Я не вижу смысла в каждой функции извращаться и вписывать массив торгуемых пар.
5 Большинство пользователей (95%) предпочитают не ковыряться в коде. им по-барабану, как написан код, сколько раз там встречается дебаг или xhr. Для них код - это клинская письменность. Главное для них - работоспособность.
Или я не прав.
Ну, а если понадобится подладить? Или  на доработку отдать или изменить стратегию? ну что не для всех это необходимо это верно подмечено. А на счет читаемости кода- то всегда приятнее смотреть где все по полочкам разложено, нежели ковыряться по буйрагам кода, где черт ногу сломит!
lyuq
Newbie
*
Offline Offline

Activity: 47
Merit: 0


View Profile
January 15, 2018, 07:35:11 PM
 #43

Интересная задумка! На днях попробую!

Но dr00t правильно говорит, вопрос касательно безопасности весьма важен.
Что с безопасностью передаваемых по сети данных? Могут ли быть перехвачены секретки?
dr00t
Newbie
*
Offline Offline

Activity: 14
Merit: 0


View Profile
January 15, 2018, 08:52:38 PM
 #44


Ну незнаю-незнаю.
0 В пхп истины я вам не открою, там все стандартно, хай-лоу за сутки и все. Каждый профан напишет такой код.
1 По мне, так лучше ключи и секретки хранить у себя на локальном хосте в куках, чем в бд на чужом сайте.
2 Если привязать к этой страничке файлы и бд, установка для рядового пользователя превратится в пытку
3 Ключи можно в любой момент удалить с биржи и создать новые, тут каждый в ответе за свои средства. Не стоит ставить все разрешения на ключи. чисто trade и info
4 Какая разница в каких переменных хранить данные, суперглобалы или нет. Я не вижу смысла в каждой функции извращаться и вписывать массив торгуемых пар.
5 Большинство пользователей (95%) предпочитают не ковыряться в коде. им по-барабану, как написан код, сколько раз там встречается дебаг или xhr. Для них код - это клинская письменность. Главное для них - работоспособность.
Или я не прав.

2,3 всмысле хранить?! Не надо их хранить блин. Я тебе выше описал как это можно сделать без сохранения.
3. И что trade мало?
4. Эм ты хоть пробовал читать про то что можно через них делать и чем черевато их использование, ты там как бы имя хомячка передаешь?... я тебе писал как это сделать без суперглобалов.
5. Т.е ты предлагаешь людям вводить в какие то формочки свои секретки и говоришь что не важно как там код написан? Т.е предлагаешь поверить на слово, что там нет запроса к некой апишке которые пересылает их данный на какой то сервер, где их можно спокойно складировать. Очень просто в подобном коде спрятать какой-нибудь пут контет и base_decode который какую нибудь кракозябру преобразует в вполне работоспособный код. И из сложности его чтения это можно пропустить. Про фронт я вообще молчу.

Вот так люди себе ставят на говносайтики нуленные плагины и темы вордпреса или джинджи, а потом удивляемся откуда ботнет развивается.

Людям по барабану как написан код, когда он не делает ничего полезного.

Впрочем, не смею более тебя разубеждать
dr00t
Newbie
*
Offline Offline

Activity: 14
Merit: 0


View Profile
January 15, 2018, 09:05:52 PM
 #45

Что с безопасностью передаваемых по сети данных? Могут ли быть перехвачены секретки?

Перейди на демо сайт введи данные в форму.  Открой консоль  (ctrl-shift-i) в хроме и фф.  Выбери вкладку Network (сеть) поставь xhr.  Смотри, делай выводы.  Запрос к самой бирже даже если перехватить особо ничего с ним не сделаешь, там шифруются данные необратимым методом... а вот запросы к апи лично меня напрягают.
lyuq
Newbie
*
Offline Offline

Activity: 47
Merit: 0


View Profile
January 15, 2018, 09:24:20 PM
 #46

Перейди на демо сайт введи данные в форму.  Открой консоль  (ctrl-shift-i) в хроме и фф.  Выбери вкладку Network (сеть) поставь xhr.  Смотри, делай выводы.  Запрос к самой бирже даже если перехватить особо ничего с ним не сделаешь, там шифруются данные необратимым методом... а вот запросы к апи лично меня напрягают.

Правильно я понимаю, что данные запросов из апи можно перехватить из соседней вкладки браузера?
dr00t
Newbie
*
Offline Offline

Activity: 14
Merit: 0


View Profile
January 15, 2018, 10:07:15 PM
 #47

Перейди на демо сайт введи данные в форму.  Открой консоль  (ctrl-shift-i) в хроме и фф.  Выбери вкладку Network (сеть) поставь xhr.  Смотри, делай выводы.  Запрос к самой бирже даже если перехватить особо ничего с ним не сделаешь, там шифруются данные необратимым методом... а вот запросы к апи лично меня напрягают.

Правильно я понимаю, что данные запросов из апи можно перехватить из соседней вкладки браузера?

Эм нет.

Но запросы к апи тем не менее можно перехватить.  Как сам автор пишет. На https://github.com/savinkirillnick/JBOT

Quote
Для работы кода, вам необходим сервер с настроенным php и в частности обязательным расширением curl_php

PHP интерпретируемый язык. Т.е для того что бы код на нем отрабатывал должна быть программа которая как бы объяснить что надо делать. Т.е обращаясь к php файлику, вы обращаетесь к  интерпретору (через fastcgi на пример если используете Nginx как сервер).

Что получается дальше. как видно из xhr запроса, секретки в явном виде передаются, что как бы говорит серверу, вот тебе параметры, выполни как мне с ними вон тот скрипт. Сервер проверяет что есть ли вообще разрешение трогать файл, передает данные через транспорт интерпретатору, то честно выполняет свою задачу, отдаёт данные обратно серверу, а тот запросившему (ну или ошибку).

Вроде все просто. Вот только ваш запрос может быть залогирован. Т.е у вас есть файлик с вашем запросом с ключом в открытом виде. А вот спереть лог уже просто.  

Кстати те кто юзал демо сайт вполне могли оставить свои ключи в логах сервера автора.

Это пример до ужаса высосаный из пальца.

Про куку хранящуюсь в браузере я уже писал выше.  Запрос не просто передается в открытом виде... он еще и сохраняется в куках браузера, которые тоже не являются самым надежным хранилищем.
cryptostein
Newbie
*
Offline Offline

Activity: 12
Merit: 0


View Profile
January 15, 2018, 11:32:30 PM
 #48

ТС молодец, если хочет сделать хорошего бота для людей, но труд неблагодарный.
Доверить доступ для торговли сторонней программе незнакомого разработчика, такое себе дело.
Удачи в начинаниях!
skrn2 (OP)
Member
**
Offline Offline

Activity: 87
Merit: 11


View Profile WWW
January 15, 2018, 11:53:47 PM
 #49


Что получается дальше. как видно из xhr запроса, секретки в явном виде передаются, что как бы говорит серверу, вот тебе параметры, выполни как мне с ними вон тот скрипт. Сервер проверяет что есть ли вообще разрешение трогать файл, передает данные через транспорт интерпретатору, то честно выполняет свою задачу, отдаёт данные обратно серверу, а тот запросившему (ну или ошибку).

Вроде все просто. Вот только ваш запрос может быть залогирован. Т.е у вас есть файлик с вашем запросом с ключом в открытом виде. А вот спереть лог уже просто.  

Кстати те кто юзал демо сайт вполне могли оставить свои ключи в логах сервера автора.

Это пример до ужаса высосаный из пальца.

Про куку хранящуюсь в браузере я уже писал выше.  Запрос не просто передается в открытом виде... он еще и сохраняется в куках браузера, которые тоже не являются самым надежным хранилищем.

Тут придраться можно к чему угодно, когда дело касается безопасности.
Напиши я программу на С++, все стали бы обвинять, что моя программа тайно передает данные на сервак в сети. Установили бы сниффер и отслеживали, в какой-же момент она передает данные, а если не удалось отследить, то предположили, что она работает от лунного календаря, и когда сниффер выключен, происходит отсылка секретки.

Вот как можно спереть данные с моего локалхоста? вы собираетесь прийти ко мне с флешкой и скопировать логи, или куки?
Или будете меня вычислять по айпи. Присылать письма с фейками? А попробуйте спереть куки у моего знакомого. Вы даже не знаете как его зовут.

По мне, это излишняя предосторожность.

Разработка автоматических торговых систем - http://funnymay.com
lyuq
Newbie
*
Offline Offline

Activity: 47
Merit: 0


View Profile
January 16, 2018, 08:27:25 AM
 #50

Вот как можно спереть данные с моего локалхоста? вы собираетесь прийти ко мне с флешкой и скопировать логи, или куки?
Или будете меня вычислять по айпи. Присылать письма с фейками? А попробуйте спереть куки у моего знакомого. Вы даже не знаете как его зовут.

По мне, это излишняя предосторожность.

Пока ботом пользуется только "пара" человека, то да, предосторожность излишняя. А на будущее стоит задуматься о безопасности.
dr00t
Newbie
*
Offline Offline

Activity: 14
Merit: 0


View Profile
January 16, 2018, 08:42:04 AM
 #51

Друг мой мы ходим по кругу. Я тебе уже отвечал на все замечания.
Quote
Тут придраться можно к чему угодно, когда дело касается безопасности.

Кончено речь идет о деньгах
Quote
Напиши я программу на С++, все стали бы обвинять, что моя программа тайно передает данные на сервак в сети.

На чем угодно, лишь бы код хорошо читался и там будет видно что она делает, в твоем коде разбираться сложно.

Quote
Установили бы сниффер и отслеживали, в какой-же момент она передает данные, а если не удалось отследить, то предположили, что она работает от лунного календаря, и когда сниффер выключен, происходит отсылка секретки.

Нет. Если бы ты не предавал данные в апи в открытом виде, то сниффер бы максимум что бы стырил это необратимо зашифрованые данные ибо перед передачей в апи биржи они шифруются.


Quote
Вот как можно спереть данные с моего локалхоста? вы собираетесь прийти ко мне с флешкой и скопировать логи, или куки?
Или будете меня вычислять по айпи. Присылать письма с фейками? А попробуйте спереть куки у моего знакомого. Вы даже не знаете как его зовут.

Куку вы и сами можете отдать перейдя по ссылки с говноскриптом. И пофигу localhost или нет. По остальному вы в сети работаете, этим все сказано, вокруг вас гарантированно ненадежное окружение. А защита решается докером.
lyuq
Newbie
*
Offline Offline

Activity: 47
Merit: 0


View Profile
January 16, 2018, 08:55:13 AM
 #52

Напиши я программу на С++, все стали бы обвинять, что моя программа тайно передает данные на сервак в сети. Установили бы сниффер и отслеживали, в какой-же момент она передает данные, а если не удалось отследить, то предположили, что она работает от лунного календаря, и когда сниффер выключен, происходит отсылка секретки.

Да, если прога написана на сиплюсе, ни кто не запрещает выложить исходники так же на гитхабе. Чтобы ни кто не говорил, что она передает что-то левое куда-то. А вся передача данных осуществляется в зашифрованном виде для защиты от перехвата.
Max876
Newbie
*
Offline Offline

Activity: 3
Merit: 0


View Profile
January 16, 2018, 01:45:38 PM
 #53

Тут проекты ботов от победителей конкурса для бинанс https://github.com/binance-exchange
skrn2 (OP)
Member
**
Offline Offline

Activity: 87
Merit: 11


View Profile WWW
January 16, 2018, 02:14:36 PM
 #54


Куку вы и сами можете отдать перейдя по ссылки с говноскриптом. И пофигу localhost или нет. По остальному вы в сети работаете, этим все сказано, вокруг вас гарантированно ненадежное окружение. А защита решается докером.


Может я что-то не понимаю, но как перейдя по ссылке можно получить куку с локалхоста или другого сайта? Неужели браузер допустит такое и поделится ей?
Как вариант можно просто отключить сохранение ключа и секретки в куках.

И прочитал про докер. Довольно сомнительная технология. Я бы никогда на такое не подписался.
Проще из php создавать архив наподобие rar и паролировать его ключом.

Скажем сделать пароль на куку. В куки будут сохраняться все параметры в виде json-строки, сжатой методом rar с паролем. Но все равно можно выдернуть куку в виде непонятных символов и проводить подбор пароля, это уже сложнее, особенно если сделать пароль 30-значным.

Тут проекты ботов от победителей конкурса для бинанс https://github.com/binance-exchange

Под API бинанса бота уже переделал. Пока не запустят регистрацию, проверить его работу не смогу.

Разработка автоматических торговых систем - http://funnymay.com
QUANTOR
Newbie
*
Offline Offline

Activity: 169
Merit: 0


View Profile WWW
January 17, 2018, 11:45:49 AM
 #55

Добрый день.
Мы тестируем платформу Gekko https://gekko.wizb.it/  связанную с криптобиржами, в частности poloniex, bitfinex.
Можем ли мы протестировать ваш алгоритм на этой платформе и биржах (poloniex)?
Или адаптировать его для этой платформы. Проверка будет в том числе на реальном счете.
Код робота должен быть на js.
Есть ли у вас хоть какие-нибудь результаты на демо, бэктестах?
https://gekko.wizb.it/docs/introduction/about_gekko.html  документация платформы.
Можете ответ дать на tmbveka[at]yandex[.]ru
Заранее спасибо за ответ.
lyuq
Newbie
*
Offline Offline

Activity: 47
Merit: 0


View Profile
January 17, 2018, 02:23:51 PM
 #56

Поставил бота. Вроде бы работает. По результатам куда лучше отписываться сюда или в личку?
reddish111
Sr. Member
****
Offline Offline

Activity: 1932
Merit: 349



View Profile
January 17, 2018, 08:46:36 PM
 #57

Поставил бота. Вроде бы работает. По результатам куда лучше отписываться сюда или в личку?

пиши тут  Grin автор не прав в важности качества кода, по этому учить его надо тут, и всем остальным тоже интересно и полезно будет!
А посыл хороший  Wink это я так понимаю сказывается действие Нового Года нанаселение  Shocked все становятся добрыми и раздают подарки  Grin

PS: ключи если и хранить на лакалке то в файле  Grin для параноиков шифрованном

skrn2 (OP)
Member
**
Offline Offline

Activity: 87
Merit: 11


View Profile WWW
January 17, 2018, 11:55:47 PM
 #58

Добрый день.
Мы тестируем платформу Gekko https://gekko.wizb.it/  связанную с криптобиржами, в частности poloniex, bitfinex.
Можем ли мы протестировать ваш алгоритм на этой платформе и биржах (poloniex)?
Или адаптировать его для этой платформы. Проверка будет в том числе на реальном счете.

Добрый день. К сожалению, у меня нет времени вникать в работы других платформ, но вы можете прочитать логику работы скрипта из файла api_wex.php и адаптировать под вашу платформу.

Поставил бота. Вроде бы работает. По результатам куда лучше отписываться сюда или в личку?

Пишите сюда. Будем обсуждать вместе.

PS: ключи если и хранить на лакалке то в файле  Grin для параноиков шифрованном

Обновил версию до 2.3:
Добавлено хранение ключeй и всех настроек в зашифрованном виде в куках. Шифрование AES с ключом(Password)
Переписаны пара стратегий. До этой версии были замечания к стратегии OUTER, переписана.
Удален debug mode

Разработка автоматических торговых систем - http://funnymay.com
skrn2 (OP)
Member
**
Offline Offline

Activity: 87
Merit: 11


View Profile WWW
January 19, 2018, 01:30:37 PM
 #59

Сейчас JS отправляет ключ, секретку, и прочие параметры в PHP, а PHP шифрует подписывает и отправляет на биржу, получает ответ и возвращает в JS.
Есть смысл переписывать JS и PHP таким образом, чтобы JS сам шифровал, подписывал и отправлял послание на PHP, а PHP только переправлял подписанный и зашифрованный через JS запрос на биржу, получал ответ и передавал обратно в JS?

Разработка автоматических торговых систем - http://funnymay.com
lyuq
Newbie
*
Offline Offline

Activity: 47
Merit: 0


View Profile
January 20, 2018, 11:03:24 AM
 #60

Есть кривые ссылки на файлы в последней версии. Ссылки на файлы из версии 2.2.
Pages: « 1 2 [3] 4 5 6 »  All
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!