Belres
|
|
March 02, 2011, 09:11:05 PM |
|
Пароль украдут при вводе. Почему такая безусловная уверенность в этом?! Я понять не могу. За мой интернетовский 8 летний стаж я использовал вагон и малую тележку паролей и ни один не украден.Извините, но я не школьник, что только вчера пришел в Сеть. Я знаю, как уберечь логины и пароли и пока мои методы меня не подвели, если у Вас крали пароли, то это Ваши проблемы, а не мои. И грести всех под одну гребенку глупо. Вот уж это -- полная чушь, не несущая ничего кроме неудобств пользователю и лишнего риска взлома. Ключевые слова для начала -- NAT и . Про услугу статического реальный IP-адрес знаем? Реальный IP выделается клиенту на его WAN порт. Если вдруг провайдер зафиксирует конфликт IP он примет меры для выяснения причин. Кстати привязка аккунта к IP усиливает безопасность. Простейший вариант мошенничества: Спасибо за Багамы. Клиент спокойно засудит банк т.к. его физически не могло быть в банке и предоставит док-ва: авиабилет, свидетельские показания. И суд будет на его стороне. Банку такие инциденты не нужны и СБ банка сразу такое пресекает. Про такие случаи в Беларуси не слышал. Если происходили, то ссылкой киньте. Как Вы все живете в таком злом мире. "Пароль украдут при вводе.", "Пароли это признак дилетанта и не доверие к системе." У Вас у всех входная дверь на замках? Ее вскроют! Зачем она, смысл!? Бытовую технику прибейте к полу, картины прибейте к стенам, люстру к потолку.
|
|
|
|
LZ
Legendary
Offline
Activity: 1722
Merit: 1072
P2P Cryptocurrency
|
|
March 02, 2011, 10:07:40 PM |
|
Пароль украдут при вводе. Почему такая безусловная уверенность в этом?! Я понять не могу. Потому что мы знаем, как это делается. Это не уверенность, это знание факта. За мой интернетовский 8 летний стаж я использовал вагон и малую тележку паролей и ни один не украден. Если взломщик пропалился на краже пароля - это плохой взломщик. Мое мнение. Извините, но я не школьник, что только вчера пришел в Сеть. А мы дети, которые пишут на ЯВУ и АСМе. Вообще ничего не понимаем и не хотим. Кстати привязка аккунта к IP усиливает безопасность. Я бы сказал, что создает иллюзию безопасности. Никакого усиления не происходит.
|
My OpenPGP fingerprint: 5099EB8C0F2E68C63B4ECBB9A9D0993E04143362
|
|
|
Belres
|
|
March 02, 2011, 11:32:57 PM |
|
Раз пароль однозначно украдут, как вы утверждаете! То как можно гарантировать, что не украдут контейнер Трукрипта и пароль, ключевой файл(ы) к нему, а? Это не уверенность, это знание факта. Да, живите Вы сознанием факта. Я живу в реальности. А в реальности есть люди которые ответственно подходят к защите своего компьтера, а есть люди которые наплевательски относятся к этому. Вот у них частенько и крадут пароли, номера банковских карт и т.п. Самолеты падают это факт. И от этого их не перестали собирать. Собирают и занимается усовершенствованием их систем. Слабое звено это человек! Во всех сферах его деятельности. Человеческий фактор он везде! Человеку свойственно ошибаться и поэтому системы должны страховать человека везде и всюду. Я бы сказал, что создает иллюзию безопасности. Никакого усиления не происходит. Возможно для хакеров и не происходит. Для гуру хакинга задание ниже должно быть простым: Вот вам IP 80.94.228.80. Установите у себя на компьтере веб сервак, в корень поместите хмтлку с текстом «Привет от lzsaver. Для Belres’a.» Постучите в бубен, что бы в результате я зайдя по адресу http://80.94.228.80/ увидил Ваше сообщение. И еще набрав tracert 80.94.228.80 я по хопам увидел, что сервак находится где-то в России. Если Вы это сделаете, то я с Вами соглашусь. Но, пока опыт показывает обратное. Организация сменила внешний IPшник. И в один прекрасный день бухгалтер попыталась воспользоваться клиент-банком, как через пару секунд позвонил товарищ с СБ банка, с уведомлением, что кто-то пытается зайти под вашим логином /паролем в систему. Эффективность на лицо! мы дети, которые пишут на ЯВУ и АСМе. Вообще ничего не понимаем и не хотим. Молодцы что знаете ASM, Java. Но, Вы не хотите понять простых юзеров которые хотят парольную защиту кошелька. Пускай, как Вы считаете, это иллюзия безопасности. Вора-домушник тоже самое может сказать про наши двери/окна в квартиры. Иллюзия безопасности и только. Если вора заинтересовала квартира он все равно залезет в нее.
|
|
|
|
m0Ray
|
|
March 03, 2011, 12:10:17 AM |
|
Раз пароль однозначно украдут, как вы утверждаете! То как можно гарантировать, что не украдут контейнер Трукрипта и пароль, ключевой файл(ы) к нему, а?
Чтобы угнать, например, мой криптоконтейнер, надо: 1) Угнать сам носитель (не один гигабайт, потому только физически). 2) Угнать рутовский пароль (чтобы внедрить трояна, а также узнать, какой софт шифрования я использую). 3) Угнать приватный ключ и пароль от приватного ключа (собственно трояном). Причём сделать это одномоментно, ибо, обнаружив пропажу или вторжение, я немедля уничтожу или перешифрую что-нибудь. В том случае, который вы предлагаете, достаточно угнать небольшой файлик wallet.dat и пароль. При вводе, перехватив клавиатурный ввод трояном или на физическом уровне (я такой девайс чуть ли не на bitcoingadgets видел). Очень хорошее сравнение с воздушными шариками вместо подушки безопасности. Я бы пошёл дальше в аналогиях: это напоминает встраивание автосигнализации в замок зажигания. Нормальная сигналка анализирует множество параметров автомобиля, включая различные вибрации корпуса и т.п. Сигналка в замке зажигания способна разве что начать орать при вставлении неправильного ключа. Когда в салон проникли, она бесполезна. Чтобы не угнали wallet.dat и не внедрили трояна, придуманы и отлажены различные системы безопасности, задача которых - именно что противостоять угонам. В том числе криптоконтейнеры и многопользовательские (по-настоящему, а не как винда) ОС. Вводить парольную защиту в биткойн - это две вещи: 1) Делать "свою с блэкджеком и шлюхами", сырую и неэффективную защиту, тем самым 2) Утяжеляя и усложняя код, вводя дополнительные потенциальные уязвимости. Я не знаю уже как ещё объяснять. Уж сколько раз твердили миру: не плодите лишних сущностей. Не надо просто так отбрасывать опыт людей, которые долго работали над этими вопросами и считать, что "уж я-то точно знаю, что надо сделать". Гениальные идеи возникают весьма редко. Так было в древности, и сейчас мало что изменилось. Объёмы разума и глупости на планете - величины постоянные и от количества населения не зависят.
|
|
|
|
bitcoinex
|
|
March 03, 2011, 04:53:50 AM |
|
Пароль украдут при вводе. Почему такая безусловная уверенность в этом?! Я понять не могу. Потому что сложность кражи некриптованного кошелька и перехвата пароля одинаковая. За мой интернетовский 8 летний стаж я использовал вагон и малую тележку паролей и ни один не украден.
Невозможно определить что какой-либо пароль не был украден. Извините, но я не школьник, что только вчера пришел в Сеть. Я знаю, как уберечь логины и пароли и пока мои методы меня не подвели, если у Вас крали пароли, то это Ваши проблемы, а не мои. И грести всех под одну гребенку глупо.
Зачем тогда этот шум? Криптуйте директорию с кошельком средствами ОС - оно уже есть и работает, ничего писать не надо. Вот уж это -- полная чушь, не несущая ничего кроме неудобств пользователю и лишнего риска взлома. Ключевые слова для начала -- NAT и . Про услугу статического реальный IP-адрес знаем? Реальный IP выделается клиенту на его WAN порт. Если вдруг провайдер зафиксирует конфликт IP он примет меры для выяснения причин. Кстати привязка аккунта к IP усиливает безопасность. Без комментариев
|
New bitcoin lottery: probiwon.com- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
|
|
|
ArsenShnurkov
Legendary
Offline
Activity: 1386
Merit: 1000
|
|
March 03, 2011, 07:40:47 AM |
|
Криптуйте директорию с кошельком средствами ОС - оно уже есть и работает, ничего писать не надо.
я предлагаю автоматизировать эту задачу и сделать вызов этих средств ОС из интерфейса bitcoin. потому что в разных OS это делается по-разному - наличие единого интерфейса облегчило бы использование программы автоматизация всего - основная задача IT сократятся трудозатраты пользователей на обучение, так как интерфейс будет специализированный и более простой, чем у OS (а ведь в некоторых OS это командная строка) так же, пропадет вопрос пользователей "а где безопасность" (т.к. она будет там, где ее ожидают увидеть) сплошные плюсы. какой я сегодня позитивный.
|
|
|
|
Belres
|
|
March 03, 2011, 09:35:48 AM |
|
Чтобы угнать, например, мой криптоконтейнер, надо: Все Ваши контейнеры легко взламываются «терморектальным криптоанализом». Если хранящееся информация на Ваших дисках заинтересует воров, то они все равно получат к ней доступ. Слабое место это человек. Сломать человека гораздо проще. Все зависит от степени важности и ценности информации. Криптуйте директорию с кошельком средствами ОС - оно уже есть и работает, ничего писать не надо. Окей! Где FAQ как это сделать? Чтобы любая кухарка прочла этот FAQ и зашифровала свою папку с кулинарными рецептами.
|
|
|
|
checker
|
|
March 03, 2011, 09:49:18 AM |
|
http://tinyurl.com/6eqxqlnЭто общая информация. А конкретно к каждой операционной системе в нашей вике появится позже. Мог бы и сам подыскать, перевести и добавить в вику.... прежде чем притензии заявлять
|
Хочешь отблагодарить - кинь биткоинов, сколько не жалко- буду рад! (If u want to say me thanx - give me some bitcoins ) 1NXsbppu1B2exLUY8i5cYbQxbc2zWtiTAY
|
|
|
Belres
|
|
March 03, 2011, 09:52:33 AM |
|
я предлагаю автоматизировать эту задачу и сделать вызов этих средств ОС из интерфейса bitcoin. потому что в разных OS это делается по-разному - наличие единого интерфейса облегчило бы использование программы Ну, вот же есть люди которые думают о пользователях, а не о том сколько там строчек кода надо дописать. Ах, как много… Лучше придумать нелепые отговорки и не делать! так же, пропадет вопрос пользователей "а где безопасность" (т.к. она будет там, где ее ожидают увидеть) Правильно. Пользователям не важно как это работает или через что. Посмотрите, как сделана WebMoney. На выбор представлены различные способы обезопасить свои деньги от кражи.
|
|
|
|
checker
|
|
March 03, 2011, 09:57:59 AM |
|
Если вам нужен какой то функционал - предлагайте за это деньги. Free - от слова свобода а не от слова халява
|
Хочешь отблагодарить - кинь биткоинов, сколько не жалко- буду рад! (If u want to say me thanx - give me some bitcoins ) 1NXsbppu1B2exLUY8i5cYbQxbc2zWtiTAY
|
|
|
m0Ray
|
|
March 03, 2011, 10:03:43 AM |
|
Чтобы угнать, например, мой криптоконтейнер, надо: Все Ваши контейнеры легко взламываются «терморектальным криптоанализом». Если хранящееся информация на Ваших дисках заинтересует воров, то они все равно получат к ней доступ. Слабое место это человек. Сломать человека гораздо проще. Все зависит от степени важности и ценности информации. В таком случае пароль на кошельке тем более бесполезен. Что касается терморектального - есть в том же трукрипте hidden volume.
|
|
|
|
Belres
|
|
March 03, 2011, 10:52:26 AM |
|
В таком случае пароль на кошельке тем более бесполезен. Согласен. Любое шифрование абсолютно бесполезно. Могут докопаться до hidden volume. Все зависит от степени важности и ценности информации. Почему Вы считаете, что привязка аккаунта к реальному IP создает иллюзию безопасности? Расскажите более подробно. Покажите на примере. Да, я согласен, что это создает некоторые не удобства самому пользователю. Сам не раз попадал так. Но, эти не удобства меня убедили в их эффективности. Если посторонний человек каким-либо способом получит мой логин и пароль. Как он узнает к какому IP адресу привязан аккаунт? Как назначит этот IP своему компьютеру?
|
|
|
|
checker
|
|
March 03, 2011, 12:39:11 PM |
|
узнать ip проще простого достаточно чтобы вы открыли ЛЮБУЮ левую ссылку и ваш ip светится Если вы не через кучи проксей бегаете. ( Но с проксями привязка к ip бессмысленна - согласны? )
|
Хочешь отблагодарить - кинь биткоинов, сколько не жалко- буду рад! (If u want to say me thanx - give me some bitcoins ) 1NXsbppu1B2exLUY8i5cYbQxbc2zWtiTAY
|
|
|
Belres
|
|
March 03, 2011, 01:01:16 PM |
|
Рассмотрим ситуацию. Посторонний человек находит клочок бумажки, на котором написано название банка, логии и пароль. Владелец этого клочка просто обронил (забыл) его. Нашедший пытается войти в Интернет банкинг. Но его не пускает т.к. владелец счета предусмотрительно привязал аккаунт к определенному IP. Как он узнает кто обронил этот клочок? Это был мужчина или женщина? Как этот «любопытный» посторонний узнает к какому IP адресу привязан аккаунт? Но с проксями привязка к ip бессмысленна - согласны? С этим согласен полностью.
|
|
|
|
CODERsp
|
|
March 03, 2011, 01:58:36 PM |
|
Знаете, я вот читаю Вашу дискуссию и понимаю, что спорить бесполезно, потому что человек, который всеми силами хочет защитить любимую систему, придумает массу несуществующих аргументов и недостатков других систем. Ну ясно же, что в биткоин-клиенте защиты нет никакой вообще и ничего в этом хорошего нет. Для гиков может это и не стоит проблемой, т.к. они сами умеют защищать свой комп, но вы то хотите, чтобы система стала массово популярной. Так какого хрена тогда гоните на вебмани, что она такая капец сложная и ей невыносимо пользоваться, если в будущем биткоин придет к тому же и к тому времени вы будете говорить, что это уже преимущество? Неужели нельзя признаться, что система не идеальна и еще предстоит немало работы, чтобы сделать ее совершенной? Это же вполне очевидно, что всему свое время. Ведете себя как дети, честное слово.
|
|
|
|
bitcoinex
|
|
March 03, 2011, 02:08:02 PM |
|
|
New bitcoin lottery: probiwon.com- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
|
|
|
Qtiger
|
|
March 03, 2011, 02:13:44 PM |
|
Знаете, я вот читаю Вашу дискуссию и понимаю, что спорить бесполезно, потому что человек, который всеми силами хочет защитить любимую систему, придумает массу несуществующих аргументов и недостатков других систем. Ну ясно же, что в биткоин-клиенте защиты нет никакой вообще и ничего в этом хорошего нет. Для гиков может это и не стоит проблемой, т.к. они сами умеют защищать свой комп, но вы то хотите, чтобы система стала массово популярной. Так какого хрена тогда гоните на вебмани, что она такая капец сложная и ей невыносимо пользоваться, если в будущем биткоин придет к тому же и к тому времени вы будете говорить, что это уже преимущество? Неужели нельзя признаться, что система не идеальна и еще предстоит немало работы, чтобы сделать ее совершенной? Это же вполне очевидно, что всему свое время. Ведете себя как дети, честное слово. Вы просто не понимаете технической стороны вопроса. Разница между централизованной системой типа вебмани и децентрализованной очень большая. Любой файл который находиться на удалённом сервере защитить значительно проще, чем файл который лежит на вашем компьютере. Например просто грандиозное количество программ взломано (для них пишутся кряки), даже такие серьёзные, как фотошоп, корел, да тот же виндовс. А всё почему, потому что он в вашем распоряжении, хотите ковыряете его сколько влезет пока не взломаете, ни кто вам не помешает. И другая сторона медали онлайн-игры, там всё находиться на удалённом серевере и доступ к ним практически ни ломают, потому что это очень затруднительно. Собственно в этом и проблема, какую бы защиту ни делать для локального файла кошелька, её может легко снять квалифицированный программист и выложить кряк в сеть, разработчики пока занимаются более насущными проблемами по написанию ядра, защиты можно будет потом сделать, но только как надстройку. так как строить тонны заграждений, который можно будет легко взломать, бесполезный труд.
|
|
|
|
Belres
|
|
March 03, 2011, 02:36:30 PM |
|
CODERsp, Я с Вами согласен. Все их аргументы можно списать на проблему роста. Версия программы только 0.3.20. К версии 1.0 выйдет то, что хотят пользователи.
|
|
|
|
checker
|
|
March 03, 2011, 03:16:04 PM |
|
Нет защиты по паролю- напишите её! Не умеете - заплатите тому, кто умеет. Не хотите платить ? Ну на нет и суда нет.
|
Хочешь отблагодарить - кинь биткоинов, сколько не жалко- буду рад! (If u want to say me thanx - give me some bitcoins ) 1NXsbppu1B2exLUY8i5cYbQxbc2zWtiTAY
|
|
|
ArsenShnurkov
Legendary
Offline
Activity: 1386
Merit: 1000
|
|
March 03, 2011, 03:26:00 PM |
|
заплатите тому, кто умеет Готов написать альтернативный клиент с защитой кошелька (на базе существующего клиента) за 5000 BTC, из которых 2000 BTC - за доработку UI и разработку документации, 3000 BTC за интеграцию с операционной системой (и еще по столько же за каждую следующую систему). Кто хочет - пусть пишет дешевле.
|
|
|
|
|