Bitcoin Forum
October 21, 2017, 02:46:39 PM *
News: Latest stable version of Bitcoin Core: 0.15.0.1  [Torrent]. (New!)
 
   Home   Help Search Donate Login Register  
Pages: [1] 2 »  All
  Print  
Author Topic: olha ai galera, vamos abrir o olho![SECURITY]  (Read 2217 times)
juca
Full Member
***
Offline Offline

Activity: 154



View Profile
August 19, 2013, 03:57:42 AM
 #1

quem disse que uma exchange tem que so fazer "cold wallets" para oferecer seguranca?nao, nao, tem muito mais...quero aproveitar esse link que achei para falar um pouco mais sobre seguranca nas nossas exchanges, acho que ninguem quer ver o filme Mercado Bitcoin-parte 2.
http://idgnow.uol.com.br/internet/2013/05/23/cibercriminosos-brasileiros-investem-em-golpes-para-roubar-bitcoins/
e muito melhor falar sobre a nossa seguranca abertamente do que ter Segurança por obscurantismo, gostaria muito de escutar o que os donos das exchanges aqui do brasil tem a dizer, seria muito interessante escutar o que cada um pensa e faz a respeito.
1508597199
Hero Member
*
Offline Offline

Posts: 1508597199

View Profile Personal Message (Offline)

Ignore
1508597199
Reply with quote  #2

1508597199
Report to moderator
1508597199
Hero Member
*
Offline Offline

Posts: 1508597199

View Profile Personal Message (Offline)

Ignore
1508597199
Reply with quote  #2

1508597199
Report to moderator
1508597199
Hero Member
*
Offline Offline

Posts: 1508597199

View Profile Personal Message (Offline)

Ignore
1508597199
Reply with quote  #2

1508597199
Report to moderator
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
1508597199
Hero Member
*
Offline Offline

Posts: 1508597199

View Profile Personal Message (Offline)

Ignore
1508597199
Reply with quote  #2

1508597199
Report to moderator
1508597199
Hero Member
*
Offline Offline

Posts: 1508597199

View Profile Personal Message (Offline)

Ignore
1508597199
Reply with quote  #2

1508597199
Report to moderator
1508597199
Hero Member
*
Offline Offline

Posts: 1508597199

View Profile Personal Message (Offline)

Ignore
1508597199
Reply with quote  #2

1508597199
Report to moderator
rudrigorc2
Legendary
*
Offline Offline

Activity: 1064



View Profile
August 19, 2013, 11:42:02 AM
 #2

hahah boa Juca...

ninguem quer ver o o filme mercadobitcoin parte2 mesmo alguem limpou todos os bitcoins dos brasileiros  e um pouco mais dos gringos

mercadobitcoin quando perguntado sobre a segurança, poucos dias antes do ocorrido:

https://bitcointalk.org/index.php?topic=152832.0

falando em segurança apos o ocorrido o operador disse que por segurança juntou as carteiras do grupo de investimento bitcoin Rain e da empresa mercado bitcoin numa só, e advinha o que disse que aconteceu ?

[20:47] <Mercado> para viajar coloquei todos os valores do rain em uma conta do Mercado
na integra
pra que colocar em risco moedas de terceiros num sistema online? uma paper wallet nao serviria? pura negligência que até hoje nao foi explicada. colocar nao sei qts mil bitcoins online sem razao aparente? será que uma conta tao gorda era necessaria para ter acesso remoto as coins dos terceiros? vamos abrir o olho pessoal...
andrehorta
Legendary
*
Offline Offline

Activity: 1246


View Profile WWW
August 19, 2013, 01:12:55 PM
 #3

hahah boa Juca...

ninguem quer ver o o filme mercadobitcoin parte2 mesmo alguem limpou todos os bitcoins dos brasileiros  e um pouco mais dos gringos

mercadobitcoin quando perguntado sobre a segurança, poucos dias antes do ocorrido:

https://bitcointalk.org/index.php?topic=152832.0

falando em segurança apos o ocorrido o operador disse que por segurança juntou as carteiras do grupo de investimento bitcoin Rain e da empresa mercado bitcoin numa só, e advinha o que disse que aconteceu ?

[20:47] <Mercado> para viajar coloquei todos os valores do rain em uma conta do Mercado
na integra
pra que colocar em risco moedas de terceiros num sistema online? uma paper wallet nao serviria? pura negligência que até hoje nao foi explicada. colocar nao sei qts mil bitcoins online sem razao aparente? será que uma conta tao gorda era necessaria para ter acesso remoto as coins dos terceiros? vamos abrir o olho pessoal...

Ótimo post!

O post recomenda duas ações que a nossa exchange bitcointoyou já possui:

"Assolini recomenda aos usuários desse tipo de serviço que ativem a autenticação de dois fatores disponível no próprio site do serviço, para evitar cair em um golpe como esse. " - Já temos autenticação de dois fatores via SMS, conforme o banco santander faz também.

"Vale lembrar que o site legitimo apresenta um certificado de autenticação, que aparece do lado esquerdo da barra de endereços do navegador, como mostra a imagem:" - Nosso site também, possui cadeado e certificado.

Sugestões são sempre bem vindas!
DarkHyudrA
Legendary
*
Offline Offline

Activity: 1386


English <-> Portuguese translations


View Profile
August 19, 2013, 02:43:02 PM
 #4

Vocês chegaram a ver isso?
http://www.informationweek.com/security/attacks/https-hackable-in-30-seconds-dhs-alert/240159435

Será que essa tal "brecha" afeta o ecosistema de exchanges do BTC?

English <-> Brazilian Portuguese translations
Adriano
Moderator
Legendary
*
Offline Offline

Activity: 1058



View Profile
August 19, 2013, 08:27:40 PM
 #5

Vocês chegaram a ver isso?
http://www.informationweek.com/security/attacks/https-hackable-in-30-seconds-dhs-alert/240159435

Será que essa tal "brecha" afeta o ecosistema de exchanges do BTC?

Opa, eu não tinha visto ainda.

Aparentemente se aplica apenas aos servidores web que estão com compactação dos dados transmitidos ativa. Outro ponto é que para utilizar da brecha é necessário estar no "meio do caminho" para capturar os dados entre o cliente e o servidor (o famoso men-in-the-middle). Por via das dúvidas o melhor a fazer é desabilitar a compressão de dados até que uma melhor solução seja apresentada.

Adriano

juca
Full Member
***
Offline Offline

Activity: 154



View Profile
August 19, 2013, 10:30:56 PM
 #6

hahah boa Juca...

ninguem quer ver o o filme mercadobitcoin parte2 mesmo alguem limpou todos os bitcoins dos brasileiros  e um pouco mais dos gringos

mercadobitcoin quando perguntado sobre a segurança, poucos dias antes do ocorrido:

https://bitcointalk.org/index.php?topic=152832.0

falando em segurança apos o ocorrido o operador disse que por segurança juntou as carteiras do grupo de investimento bitcoin Rain e da empresa mercado bitcoin numa só, e advinha o que disse que aconteceu ?

[20:47] <Mercado> para viajar coloquei todos os valores do rain em uma conta do Mercado
na integra
pra que colocar em risco moedas de terceiros num sistema online? uma paper wallet nao serviria? pura negligência que até hoje nao foi explicada. colocar nao sei qts mil bitcoins online sem razao aparente? será que uma conta tao gorda era necessaria para ter acesso remoto as coins dos terceiros? vamos abrir o olho pessoal...
aiai, meu deus, e a mesma coisa que dizer:"pera ai, pera ai, vou viajar, deixa eu deixar a janela dos fundos aberta, so por seguranca" Grin

hahah boa Juca...

ninguem quer ver o o filme mercadobitcoin parte2 mesmo alguem limpou todos os bitcoins dos brasileiros  e um pouco mais dos gringos

mercadobitcoin quando perguntado sobre a segurança, poucos dias antes do ocorrido:

https://bitcointalk.org/index.php?topic=152832.0

falando em segurança apos o ocorrido o operador disse que por segurança juntou as carteiras do grupo de investimento bitcoin Rain e da empresa mercado bitcoin numa só, e advinha o que disse que aconteceu ?

[20:47] <Mercado> para viajar coloquei todos os valores do rain em uma conta do Mercado
na integra
pra que colocar em risco moedas de terceiros num sistema online? uma paper wallet nao serviria? pura negligência que até hoje nao foi explicada. colocar nao sei qts mil bitcoins online sem razao aparente? será que uma conta tao gorda era necessaria para ter acesso remoto as coins dos terceiros? vamos abrir o olho pessoal...

Ótimo post!

O post recomenda duas ações que a nossa exchange bitcointoyou já possui:

"Assolini recomenda aos usuários desse tipo de serviço que ativem a autenticação de dois fatores disponível no próprio site do serviço, para evitar cair em um golpe como esse. " - Já temos autenticação de dois fatores via SMS, conforme o banco santander faz também.

"Vale lembrar que o site legitimo apresenta um certificado de autenticação, que aparece do lado esquerdo da barra de endereços do navegador, como mostra a imagem:" - Nosso site também, possui cadeado e certificado.

Sugestões são sempre bem vindas!
bom saber que vc gostou do post! obrigado pela presenca. vamos discutir mais e mais esse assunto.

Vocês chegaram a ver isso?
http://www.informationweek.com/security/attacks/https-hackable-in-30-seconds-dhs-alert/240159435

Será que essa tal "brecha" afeta o ecosistema de exchanges do BTC?
obrigado pela informacao, nao sabia.

Vocês chegaram a ver isso?
http://www.informationweek.com/security/attacks/https-hackable-in-30-seconds-dhs-alert/240159435

Será que essa tal "brecha" afeta o ecosistema de exchanges do BTC?

Opa, eu não tinha visto ainda.

Aparentemente se aplica apenas aos servidores web que estão com compactação dos dados transmitidos ativa. Outro ponto é que para utilizar da brecha é necessário estar no "meio do caminho" para capturar os dados entre o cliente e o servidor (o famoso men-in-the-middle). Por via das dúvidas o melhor a fazer é desabilitar a compressão de dados até que uma melhor solução seja apresentada.

Adriano
oi Adriano, bom saber que vc ta por dentro do assunto,
girino
Legendary
*
Offline Offline

Activity: 1428



View Profile
August 19, 2013, 11:12:01 PM
 #7

Vocês chegaram a ver isso?
http://www.informationweek.com/security/attacks/https-hackable-in-30-seconds-dhs-alert/240159435

Será que essa tal "brecha" afeta o ecosistema de exchanges do BTC?

Opa, eu não tinha visto ainda.

Aparentemente se aplica apenas aos servidores web que estão com compactação dos dados transmitidos ativa. Outro ponto é que para utilizar da brecha é necessário estar no "meio do caminho" para capturar os dados entre o cliente e o servidor (o famoso men-in-the-middle). Por via das dúvidas o melhor a fazer é desabilitar a compressão de dados até que uma melhor solução seja apresentada.

Adriano

Ele fala que precisa de total acesso ao volume de dados do servidor, o que implica que ou ele está na mesma rede (um ataque interno) ou ele está no provedor que hospeda o serviço. Aos sites brasileiros de Bitcoin, estejam atentos com seus provedores/planos de hospedagem, pois com essa falha, eles tem muito poder sobre vocês.

Imagino que se houver mais de um serviço rodando no mesmo servidor, com certificados distintos, isso deva dificultar o ataque (mas não necessáriamente impedir), mas ainda precisaria de mais detalhes técnicos sobre como o ataque é feito pra saber se é suficiente. Por enquanto, o mais seguro mesmo é desabilitar a compressão de paginas do lado do servidor.

juca
Full Member
***
Offline Offline

Activity: 154



View Profile
August 20, 2013, 11:21:04 AM
 #8

"Vale lembrar que o site legitimo apresenta um certificado de autenticação, que aparece do lado esquerdo da barra de endereços do navegador, como mostra a imagem:" - Nosso site também, possui cadeado e certificado.

Sugestões são sempre bem vindas!
vc tem cadeado, mas nao aparece o nome da sua empresa, em verde, como aparece na mtgox. Isso pode causar confusao no usuario.
ele pode ver o cadeado de um "phishing" site, e pensar que e o seu, e ser roubado.
andrehorta
Legendary
*
Offline Offline

Activity: 1246


View Profile WWW
August 20, 2013, 12:38:21 PM
 #9

"Vale lembrar que o site legitimo apresenta um certificado de autenticação, que aparece do lado esquerdo da barra de endereços do navegador, como mostra a imagem:" - Nosso site também, possui cadeado e certificado.

Sugestões são sempre bem vindas!
vc tem cadeado, mas nao aparece o nome da sua empresa, em verde, como aparece na mtgox. Isso pode causar confusao no usuario.
ele pode ver o cadeado de um "phishing" site, e pensar que e o seu, e ser roubado.


Basta clicar no cadeado e o nome da empresa estará lá! Mas é uma boa sugestão para ajudar os usuários mais novatos...
juca
Full Member
***
Offline Offline

Activity: 154



View Profile
August 20, 2013, 12:49:43 PM
 #10


 Aos sites brasileiros de Bitcoin, estejam atentos com seus provedores/planos de hospedagem, pois com essa falha, eles tem muito poder sobre vocês.


acho que todos tem servidores privados. um dia desses o andre tava querendo comprar filme, para essas cameras de seguranca; e o thiago, lembro haver mencionado que tmb tinha os servidores em casa, ou algo assim. nao sei sobre o mb, mas acredito que seja o mesmo cenario.
juca
Full Member
***
Offline Offline

Activity: 154



View Profile
August 20, 2013, 12:54:51 PM
 #11

"Vale lembrar que o site legitimo apresenta um certificado de autenticação, que aparece do lado esquerdo da barra de endereços do navegador, como mostra a imagem:" - Nosso site também, possui cadeado e certificado.

Sugestões são sempre bem vindas!
vc tem cadeado, mas nao aparece o nome da sua empresa, em verde, como aparece na mtgox. Isso pode causar confusao no usuario.
ele pode ver o cadeado de um "phishing" site, e pensar que e o seu, e ser roubado.


Basta clicar no cadeado e o nome da empresa estará lá! Mas é uma boa sugestão para ajudar os usuários mais novatos...
ta la, nunca falei que nao estava. o problema, e que quando vc vai muitas vezes no mesmo site(e vc o considera seguro), vc uma horinha acaba se esquecendo de verificar. pronto, vc ja tem um "security hole".
no entanto, se o nome aparece  em verde, e muito mais facil de identificar.
recomendo vc modificar isso o mais rapido possivel. vc e responsavel por estar movimentando dinheiro de terceiros. com seguranca, nao se brinca. Isso nao tem nada a ver com ser novato ou nao. se vc prestar bem atencao, quando vc vai login no mtgox, uma mensagem "pop-up", e fala exatamente sobre isso.

aproveitando a oportunidade, gostaria de lhe perguntar quem e o responsavel microsoft/asp.net programmer q fez b2u. foi vc ou um empregado? se nao fosse pedir demais, adoraria escutar ele falar um pouquinho o que ele pensa sobre seguranca, etc, etc. "custom software" as vezes tem buracos, e sempre bom a opiniao de terceiros, vc nao concorda?

o thiago da bitfication, como todos ja sabem, fez um "fork" da ROR exchange distribuido pela bitcoin-central
https://github.com/davout/bitcoin-central
andrehorta
Legendary
*
Offline Offline

Activity: 1246


View Profile WWW
August 20, 2013, 10:01:38 PM
 #12

"Vale lembrar que o site legitimo apresenta um certificado de autenticação, que aparece do lado esquerdo da barra de endereços do navegador, como mostra a imagem:" - Nosso site também, possui cadeado e certificado.

Sugestões são sempre bem vindas!
vc tem cadeado, mas nao aparece o nome da sua empresa, em verde, como aparece na mtgox. Isso pode causar confusao no usuario.
ele pode ver o cadeado de um "phishing" site, e pensar que e o seu, e ser roubado.


Basta clicar no cadeado e o nome da empresa estará lá! Mas é uma boa sugestão para ajudar os usuários mais novatos...
ta la, nunca falei que nao estava. o problema, e que quando vc vai muitas vezes no mesmo site(e vc o considera seguro), vc uma horinha acaba se esquecendo de verificar. pronto, vc ja tem um "security hole".
no entanto, se o nome aparece  em verde, e muito mais facil de identificar.
recomendo vc modificar isso o mais rapido possivel. vc e responsavel por estar movimentando dinheiro de terceiros. com seguranca, nao se brinca. Isso nao tem nada a ver com ser novato ou nao. se vc prestar bem atencao, quando vc vai login no mtgox, uma mensagem "pop-up", e fala exatamente sobre isso.

aproveitando a oportunidade, gostaria de lhe perguntar quem e o responsavel microsoft/asp.net programmer q fez b2u. foi vc ou um empregado? se nao fosse pedir demais, adoraria escutar ele falar um pouquinho o que ele pensa sobre seguranca, etc, etc. "custom software" as vezes tem buracos, e sempre bom a opiniao de terceiros, vc nao concorda?

o thiago da bitfication, como todos ja sabem, fez um "fork" da ROR exchange distribuido pela bitcoin-central
https://github.com/davout/bitcoin-central

Nossa empresa trabalha com desenvolvimento .net a 3 anos, para grandes indústrias, aonde uma parada de produção de segundas, acarreta prejuízo de milhões! Além disso, somente contrato profissionais experientes. Por motivos de segurança não posso nem pensar em detalhar nada soabre o código, somente que o banco de dados não é free, é criptografado e líder de mercado corporativo.

Lembrando que somos uma empresa registrada, com endereço e transparente, não vivemos só de bitcoin, temos outros clientes e serviços, sendo assim, temos condição de reaver 100% dos nossos clientes caso algum desastre ocorra.

Vc ta certo! Vou verificar como colocar o nome na frente, vlw pela dica!
juca
Full Member
***
Offline Offline

Activity: 154



View Profile
August 21, 2013, 01:14:20 AM
 #13

"Vale lembrar que o site legitimo apresenta um certificado de autenticação, que aparece do lado esquerdo da barra de endereços do navegador, como mostra a imagem:" - Nosso site também, possui cadeado e certificado.

Sugestões são sempre bem vindas!
vc tem cadeado, mas nao aparece o nome da sua empresa, em verde, como aparece na mtgox. Isso pode causar confusao no usuario.
ele pode ver o cadeado de um "phishing" site, e pensar que e o seu, e ser roubado.


Basta clicar no cadeado e o nome da empresa estará lá! Mas é uma boa sugestão para ajudar os usuários mais novatos...
ta la, nunca falei que nao estava. o problema, e que quando vc vai muitas vezes no mesmo site(e vc o considera seguro), vc uma horinha acaba se esquecendo de verificar. pronto, vc ja tem um "security hole".
no entanto, se o nome aparece  em verde, e muito mais facil de identificar.
recomendo vc modificar isso o mais rapido possivel. vc e responsavel por estar movimentando dinheiro de terceiros. com seguranca, nao se brinca. Isso nao tem nada a ver com ser novato ou nao. se vc prestar bem atencao, quando vc vai login no mtgox, uma mensagem "pop-up", e fala exatamente sobre isso.

aproveitando a oportunidade, gostaria de lhe perguntar quem e o responsavel microsoft/asp.net programmer q fez b2u. foi vc ou um empregado? se nao fosse pedir demais, adoraria escutar ele falar um pouquinho o que ele pensa sobre seguranca, etc, etc. "custom software" as vezes tem buracos, e sempre bom a opiniao de terceiros, vc nao concorda?

o thiago da bitfication, como todos ja sabem, fez um "fork" da ROR exchange distribuido pela bitcoin-central
https://github.com/davout/bitcoin-central

Nossa empresa trabalha com desenvolvimento .net a 3 anos, para grandes indústrias, aonde uma parada de produção de segundas, acarreta prejuízo de milhões! Além disso, somente contrato profissionais experientes. Por motivos de segurança não posso nem pensar em detalhar nada soabre o código, somente que o banco de dados não é free, é criptografado e líder de mercado corporativo.

Lembrando que somos uma empresa registrada, com endereço e transparente, não vivemos só de bitcoin, temos outros clientes e serviços, sendo assim, temos condição de reaver 100% dos nossos clientes caso algum desastre ocorra.

Vc ta certo! Vou verificar como colocar o nome na frente, vlw pela dica!

andre, eu so queria ter uma conversinha com o seu developer sobre seguranca, nada mais. ninguem ta querendo te obrigar a mostrar o seu codigo.
apesar, de como ja falei, Segurança por obscurantismo, nao me parece uma solucao
juca
Full Member
***
Offline Offline

Activity: 154



View Profile
August 21, 2013, 02:51:03 AM
 #14

hoje resolvi da uma testada la na b2u, e pra minha surpresa, apareceu um escudo cinza, no lado direito do meu browser(chrome-ubuntu).

se eu clico ali, me leva para essa pagina
https://support.google.com/chrome/answer/1342714?hl=en-GB
girino
Legendary
*
Offline Offline

Activity: 1428



View Profile
August 21, 2013, 03:02:36 AM
 #15

provavelmente se trata desses dois scripts quer são carregados de sites sem https:

    <script src="http://zinoui.com/1.2.3/compiled/zino.svg.min.js"></script>
    <script src="http://zinoui.com/1.2.3/compiled/zino.chart.min.js"></script>

De qualquer forma o chrome não carrega os scripts exatamente porque estão vindo de sites não seguros. Não sei os outros browsers.

juca
Full Member
***
Offline Offline

Activity: 154



View Profile
August 21, 2013, 04:21:22 AM
 #16

provavelmente se trata desses dois scripts quer são carregados de sites sem https:

    <script src="http://zinoui.com/1.2.3/compiled/zino.svg.min.js"></script>
    <script src="http://zinoui.com/1.2.3/compiled/zino.chart.min.js"></script>

De qualquer forma o chrome não carrega os scripts exatamente porque estão vindo de sites não seguros. Não sei os outros browsers.
ah, entendo agora. falando agora um pouco de seguranca no asp.net, encontrei um bom link. me pergunto se o dev do andre acompanha tudo que e sugerido  Roll Eyes
http://msdn.microsoft.com/en-us/security/aa570401.aspx
andrehorta
Legendary
*
Offline Offline

Activity: 1246


View Profile WWW
August 21, 2013, 01:44:52 PM
 #17

Lembrando que não existe em TI sistema 100% seguro! Alguém duvida disso?

Por isso nossa maior segurança, é o seguro em caso de roubo. Por sermos uma empresa séria temos condições de pagar 100% nossos clientes, caso algum roubo ocorra.

juca
Full Member
***
Offline Offline

Activity: 154



View Profile
August 21, 2013, 02:13:14 PM
 #18

Lembrando que não existe em TI sistema 100% seguro! Alguém duvida disso?

Por isso nossa maior segurança, é o seguro em caso de roubo. Por sermos uma empresa séria temos condições de pagar 100% nossos clientes, caso algum roubo ocorra.


meu amigo, vc nao ta entendendo a situacao. SECURITY, e um topico muito amplo. nao e apenas sobre o fato de vc garantir o dinheiro que foi depositado sobre a sua custodia. seguranca, e muito mais que isso.
vc tem que proteger o seu cliente em todos os pontos de vista. examplo, vc nao quer que informacoes pessoais de seus clientes, caiam nas maos erradas. voce nao quer some "nasty javascript" no seu site, contaminando o computador dos seus clients, etc, etc.

falando serio Andre, quero muito falar com quem escreveu o code do seu site se for possivel, isso tudo aqui nao e uma brincadeira. por favor, nao me leve a mal, te respeito como empresario, tal e coisa, tocando a bitcoin no brasil, mas nao penso que vc tem a verdadeira dimensao de como o seu site pode ser atacado, e gerar um monte de problemas, nao so roubar o dinheiro que esta guardado sob a sua responsabilidade.

gostaria de falar com o developer, sobre o link que enviei acima, que fala sobre seguranca do software de asp.net. E  tmb de outra coisa, que ainda nem falamos aqui, que se chama "pen testing", que quer dizer teste de penetracao, que e conduzido por profissionais da area de seguranca.

eu gostaria muuuuito de saber que a b2u e o servidor foi pen tested for alguma firma specializada em asp.net/microsoft security.


andrehorta
Legendary
*
Offline Offline

Activity: 1246


View Profile WWW
August 21, 2013, 05:12:26 PM
 #19

Lembrando que não existe em TI sistema 100% seguro! Alguém duvida disso?

Por isso nossa maior segurança, é o seguro em caso de roubo. Por sermos uma empresa séria temos condições de pagar 100% nossos clientes, caso algum roubo ocorra.


meu amigo, vc nao ta entendendo a situacao. SECURITY, e um topico muito amplo. nao e apenas sobre o fato de vc garantir o dinheiro que foi depositado sobre a sua custodia. seguranca, e muito mais que isso.
vc tem que proteger o seu cliente em todos os pontos de vista. examplo, vc nao quer que informacoes pessoais de seus clientes, caiam nas maos erradas. voce nao quer some "nasty javascript" no seu site, contaminando o computador dos seus clients, etc, etc.

falando serio Andre, quero muito falar com quem escreveu o code do seu site se for possivel, isso tudo aqui nao e uma brincadeira. por favor, nao me leve a mal, te respeito como empresario, tal e coisa, tocando a bitcoin no brasil, mas nao penso que vc tem a verdadeira dimensao de como o seu site pode ser atacado, e gerar um monte de problemas, nao so roubar o dinheiro que esta guardado sob a sua responsabilidade.

gostaria de falar com o developer, sobre o link que enviei acima, que fala sobre seguranca do software de asp.net. E  tmb de outra coisa, que ainda nem falamos aqui, que se chama "pen testing", que quer dizer teste de penetracao, que e conduzido por profissionais da area de seguranca.

eu gostaria muuuuito de saber que a b2u e o servidor foi pen tested for alguma firma specializada em asp.net/microsoft security.


Sinceramente, pergunte ao Itaú ou outro banco se ele aceita conversar com alguém sobre sua arquitetura/código? (seria um método de engenharia social?) Entendo seu lado, mas não posso aceitar isso de forma alguma, é questão de segurança não revelar certas informações. Posso informar que já fizemos testes de segurança no site e estamos sempre investindo em segurança, para a empresa não ter prejuízo, umas vez que não há como nossos usuários/clientes terem prejuízos, já que estão segurados.
juca
Full Member
***
Offline Offline

Activity: 154



View Profile
August 21, 2013, 05:47:49 PM
 #20

Lembrando que não existe em TI sistema 100% seguro! Alguém duvida disso?

Por isso nossa maior segurança, é o seguro em caso de roubo. Por sermos uma empresa séria temos condições de pagar 100% nossos clientes, caso algum roubo ocorra.


meu amigo, vc nao ta entendendo a situacao. SECURITY, e um topico muito amplo. nao e apenas sobre o fato de vc garantir o dinheiro que foi depositado sobre a sua custodia. seguranca, e muito mais que isso.
vc tem que proteger o seu cliente em todos os pontos de vista. examplo, vc nao quer que informacoes pessoais de seus clientes, caiam nas maos erradas. voce nao quer some "nasty javascript" no seu site, contaminando o computador dos seus clients, etc, etc.

falando serio Andre, quero muito falar com quem escreveu o code do seu site se for possivel, isso tudo aqui nao e uma brincadeira. por favor, nao me leve a mal, te respeito como empresario, tal e coisa, tocando a bitcoin no brasil, mas nao penso que vc tem a verdadeira dimensao de como o seu site pode ser atacado, e gerar um monte de problemas, nao so roubar o dinheiro que esta guardado sob a sua responsabilidade.

gostaria de falar com o developer, sobre o link que enviei acima, que fala sobre seguranca do software de asp.net. E  tmb de outra coisa, que ainda nem falamos aqui, que se chama "pen testing", que quer dizer teste de penetracao, que e conduzido por profissionais da area de seguranca.

eu gostaria muuuuito de saber que a b2u e o servidor foi pen tested for alguma firma specializada em asp.net/microsoft security.


Sinceramente, pergunte ao Itaú ou outro banco se ele aceita conversar com alguém sobre sua arquitetura/código? (seria um método de engenharia social?) Entendo seu lado, mas não posso aceitar isso de forma alguma, é questão de segurança não revelar certas informações. Posso informar que já fizemos testes de segurança no site e estamos sempre investindo em segurança, para a empresa não ter prejuízo, umas vez que não há como nossos usuários/clientes terem prejuízos, já que estão segurados.
vc e meio cabeca dura, hein cara? po, depois deu ta te ajudando aqui, vc vem falar de engenharia social? realmente me sinto ofendido com as suas palavras. existem varias exchanges open source por ai a fora, sem falar nos varios outros scripts open source para a comunidade. nao e segredo algum como funciona a sua app. e somente uma CRUD application, que vc movimenta as coins nas wallets. o que estamos falando aqui, e sobre QUEM E O RESPONSAVEL PELO SEU CODE, SENDO QUE VC MESMO DIZ QUE CONTRATA PROFISSIONAIS EXPERIENTES.

provavelmente um banco nao falaria do seu code privado, mas com certeza poderia oferecer certificados de pen-testing conduzidos por uma firma renomada, e acredito, nao hesitaria mencionar o nome dos programadores envolvidos, ou ao mesmo a empresa que trabalham.

repito, nao quero ver o seu code. eu ja sei mais ou menos ele, sem nem mesmo ter acesso ao seu servidor, nao e uma aplicacao complexa. com a minha experiencia de web developer desde 2005, depois aprendendo a programar e usar o linux, te digo que o codigo de uma exchange como vc tem pode ser feito em menos de uma semana. tudo bonitinho, COM UNIT TESTING e tudo incluido.

ja falei e repito. NAO QUERO OLHAR O SEU CODE. quero apenas ter um papinho, ou ao menos referencias de outros trabalhos feitos pelos programadores "experientes" que vc contratou. andre, nada no mundo que nao se resolva com dinheiro. e so contratar uma firma externa, de preferencia do exterior(ou nao) da sua confianca, e fazer um security audit. honestamente, acho que seria necessario.
a pagina da tua empresa ta la, quebrada:
https://bitcointalk.org/index.php?topic=218871.msg2309552#msg2309552

Pages: [1] 2 »  All
  Print  
 
Jump to:  

Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!