Un petit message de soutient à Davout et à l'équipe de bitcoinCentral

[mah87]

Qui doivent essuyer les diffamations et stupidités des abrutis de chez beegcoin.

Leur blog http://www.//////.fr/ m'a bien fait rire au début mais au final c'est assez écœurant à lire.

Beegcoin est un site amateur créé par de jeunes prétentieux complètement imbus d'eux même et étant prêt à diffamer et mentir pour salir la réputation de bitcoin-central.


BeegCoin ne décollera jamais et leurs clients/victimes ne seront jamais satisfaits... Mensonges à tout va (notamment sur les conditions de remboursement paypal), méthodes commerciales qui n'en sont pas, diffamations, agressivité vis à vis des clients...


A EVITER ABSOLUMENT, "entreprise" à la limite de l'arnarque.


Edit: lien du blog de merde retiré

[1713929249]

1713929249

[FTWbitcoinFTW]

Retire le lien pour éviter que google ne l'indexe et ne le fasse remonter dans son ranking alors

[cyberno]

Je soutient également l'équipe B-C

[Casper38]

Je soutiens l'équipe de BC. J'apprécie les conseils de davout et à chaque fois que j'ai sollicité l'équipe support de BC j'ai été très satisfait de leur professionnalisme.

[Hypolite]

Salut tout le monde, 

Je mets également mon grain de sel pour soutenir l’équipe BC, qui fait un excellent boulot !

Trés cordialement.

Hypolite

[jtz]

Autant je suis pour dénoncer la mauvaise foi, autant jeter l'eau avec le bébé me paraît excessif. Et ce qui est excessif est insignifiant.

Code:

Le site principal de paymium est hébergé chez ovh, non pas sur un serveur dédié, mais sur du mutualisé à l’adresse : 213.186.33.19  … En espérant qu’aucun site sur ce serveur ne sera compromis, car avec un simple shell et une petite faille dans un service utilisé, comme lynx ou autre, et c’est la cata pour le site paymium.

whois ip concordant pour 213.186.33.19 chez OVH. Le risque du mutualisé existe, après paymium ne contient peut être pas d'information sensible. A voir.

Code:

Bitcoin-central utilise un serveur qui se nomme nginx [...] pas mis ce logiciel à jour depuis… le 26 Mars 2013.

Code:

$ curl -I bitcoin-central.net
HTTP/1.1 301 Moved Permanently
Server: nginx/1.4.2
Date: Sun, 06 Apr 2014 10:44:28 GMT
Content-Type: text/html
Content-Length: 184
Connection: keep-alive
Location: https://bitcoin-central.net/

Erreur sur la date :
Site de nginx : 2013-07-17   nginx-1.4.2 stable version has been released.

National Vulnerability Database (NIST) : http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4547
nginx 0.8.41 through 1.4.3 and 1.5.x before 1.5.7 allows remote attackers to bypass intended restrictions via an unescaped space character in a URI.

Access Vector: Network exploitable
Access Complexity: Low
Authentication: Not required to exploit
Impact Type:Allows unauthorized disclosure of information; Allows unauthorized modification; Allows disruption of service

[mah87]

Autant je suis pour dénoncer la mauvaise foi, autant jeter l'eau avec le bébé me paraît excessif. Et ce qui est excessif est insignifiant.

Code:

Le site principal de paymium est hébergé chez ovh, non pas sur un serveur dédié, mais sur du mutualisé à l’adresse : 213.186.33.19  … En espérant qu’aucun site sur ce serveur ne sera compromis, car avec un simple shell et une petite faille dans un service utilisé, comme lynx ou autre, et c’est la cata pour le site paymium.

whois ip concordant pour 213.186.33.19 chez OVH. Le risque du mutualisé existe, après paymium ne contient peut être pas d'information sensible. A voir.

Code:

Bitcoin-central utilise un serveur qui se nomme nginx [...] pas mis ce logiciel à jour depuis… le 26 Mars 2013.

Code:

$ curl -I bitcoin-central.net
HTTP/1.1 301 Moved Permanently
Server: nginx/1.4.2
Date: Sun, 06 Apr 2014 10:44:28 GMT
Content-Type: text/html
Content-Length: 184
Connection: keep-alive
Location: https://bitcoin-central.net/

Erreur sur la date :
Site de nginx : 2013-07-17   nginx-1.4.2 stable version has been released.

National Vulnerability Database (NIST) : http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4547
nginx 0.8.41 through 1.4.3 and 1.5.x before 1.5.7 allows remote attackers to bypass intended restrictions via an unescaped space character in a URI.

Access Vector: Network exploitable
Access Complexity: Low
Authentication: Not required to exploit
Impact Type:Allows unauthorized disclosure of information; Allows unauthorized modification; Allows disruption of service

Je suis pas expert en sécurité mais on s'en branle pas un peu que le front soit en mutualisé ? Enfin bon au moins c'est un élément concret.

[jtz]

Je suis pas expert en sécurité mais on s'en branle pas un peu que le front soit en mutualisé ?

Tout dépend de ce qu'il y a sur le serveur de paymium.

Sinon il semblerait que ce ne soit pas une mais deux vulnérabilités pour la 1.4.2 (la seconde est complexe à mettre en oeuvre) :

CVE-2014-0133        Exec Code Overflow    2014-03-28    2014-03-31     None    Remote    High

Heap-based buffer overflow in the SPDY implementation in nginx 1.3.15 before 1.4.7 and 1.5.x before 1.5.12 allows remote attackers to execute arbitrary code via a crafted request.

Détails : http://www.cvedetails.com/vulnerability-list/vendor_id-10439/product_id-18640/version_id-156116/Igor-Sysoev-Nginx-1.4.2.html

Bref, ce n'est pas parce que quelqu'un fait feu de tout bois parfois avec mauvaise foi qu'il faut jeter tout ce qu'il dit. Le minimum, c'est de vérifier.

[mah87]

Je suis pas expert en sécurité mais on s'en branle pas un peu que le front soit en mutualisé ?

Tout dépend de ce qu'il y a sur le serveur de paymium.

Sinon il semblerait que ce ne soit pas une mais deux vulnérabilités pour la 1.4.2 (la seconde est complexe à mettre en oeuvre) :

CVE-2014-0133        Exec Code Overflow    2014-03-28    2014-03-31     None    Remote    High

Heap-based buffer overflow in the SPDY implementation in nginx 1.3.15 before 1.4.7 and 1.5.x before 1.5.12 allows remote attackers to execute arbitrary code via a crafted request.

Détails : http://www.cvedetails.com/vulnerability-list/vendor_id-10439/product_id-18640/version_id-156116/Igor-Sysoev-Nginx-1.4.2.html

Bref, ce n'est pas parce que quelqu'un fait feu de tout bois parfois avec mauvaise foi qu'il faut jeter tout ce qu'il dit. Le minimum, c'est de vérifier.

Une citation extraite d'un "article" de ces messieurs de beegcoin:
"Bimbamboum, dans le cul à davout, sa fait mal?"

Je ne sais pas ce qui est le plus consternant, l'absence totale d'intelligence ou le niveau d'orthographe... Donc oui une fois qu'on a lu sa ça on accorde plus aucune crédibilité à ces gens quoi qu'ils puissent dire.

[jtz]

Une citation extraite d'un "article" de ces messieurs de beegcoin:
"Bimbamboum, dans le cul à davout, sa fait mal?"

Je ne sais pas ce qui est le plus consternant, l'absence totale d'intelligence ou le niveau d'orthographe... Donc oui une fois qu'on a lu sa ça on accorde plus aucune crédibilité à ces gens quoi qu'ils puissent dire.

Qu'est-ce qu'on s'en fout de ce qui est insignifiant ... lire un texte consiste précisément à déterminer l'information intéressante. Tout le monde devrait être formé à la lecture scientifique. La plupart des gens ne savent pas lire, les phrases les impactent émotionnellement et ils perdent complètement de vue ce qu'il y a de substantiel.

Sinon j'ai connu des paysans illettrés qui en savaient bien plus sur la nature et l'agriculture que des ingénieurs agricoles. La vérité c'est compliqué, et ça n'appartient à personne en particulier.

[mah87]

Une citation extraite d'un "article" de ces messieurs de beegcoin:
"Bimbamboum, dans le cul à davout, sa fait mal?"

Je ne sais pas ce qui est le plus consternant, l'absence totale d'intelligence ou le niveau d'orthographe... Donc oui une fois qu'on a lu sa ça on accorde plus aucune crédibilité à ces gens quoi qu'ils puissent dire.

Qu'est-ce qu'on s'en fout de ce qui est insignifiant ... lire un texte consiste précisément à déterminer l'information intéressante. Tout le monde devrait être formé à la lecture scientifique. La plupart des gens ne savent pas lire, les phrases les impactent émotionnellement et ils perdent complètement de vue ce qu'il y a de substantiel.

Sinon j'ai connu des paysans illettrés qui en savaient bien plus sur la nature et l'agriculture que des ingénieurs agricoles. La vérité c'est compliqué, et ça n'appartient à personne en particulier.

oui oui oui mais là c'est l'accumulation si tu veux ... Chercher le substantiel dans le vomi je fais pas, c'est un choix, pas une question de "formation à la lecture"....

[davout]

Réponse concernant les éléments factuels :

CVE-2014-0133 : Nécessite que le module expérimental SPDY soit compilé dans nginx, ce qui n'est pas le cas.

CVE-2013-4547 : Permet de bypasser le contrôle d'accès de la directive "location" via des URL spécialement craftées pour ca. La seule utilisation de la directive "location" que nous faisons est de choisir pour chaque requête : soit renvoi de JS statique, soit reverse-proxy.

Le site corporate Paymium hébergé sur un mutu d'OVH est un non-évènement, il y a exactement zéro données confidentielles dessus.

parfois avec mauvaise foi

Parfois ?

Le minimum, c'est de vérifier.

La présence du module SPDY était vérifiable de l'extérieur.
Vérifier c'est bien, mais vérifier jusqu'au bout, c'est encore mieux

Sur ce, je bouge le topic dans PdM.

[jtz]

Parfois ?

Oui, puisqu'il y a du factuel sur la version de nginx et paymium en mutualisé. Après que ça ne porte pas à conséquence est autre chose. Vous auriez tout à fait été libres de publier un démenti et on en parlait plus.

La présence du module SPDY était vérifiable de l'extérieur.
Vérifier c'est bien, mais vérifier jusqu'au bout, c'est encore mieux

Le meilleur moyen serait encore de mettre à jour. Ne serait-ce que parce qu'un jour on ajoute SPDY pour la super feature qu'on vient de développer en oubliant une faille documentée... (si si, ça arrive).

[btcfre@k]

lol le mec met les topic de soutient dans place de marché,et les topics sur l escroquerie instawallet dans "hors sujet " ))))))))))))))))))))))))))))))))))))

[mah87]

lol le mec met les topic de soutient dans place de marché,et les topics sur l escroquerie instawallet dans "hors sujet " ))))))))))))))))))))))))))))))))))))

C'est un message de soutien lié à une place de marché. Le déplacement est justifié. Mais publie donc un article sur ton blog pour dénoncer cet abus incroyable.

Vous comptez fermer beegcoin quand ? D'autres victimes que vous comptez arnaquer ?

[davout]

lol le mec met les topic de soutient dans place de marché,et les topics sur l escroquerie instawallet dans "hors sujet " ))))))))))))))))))))))))))))))))))))

Les post OT sont, comme leur nom le laisse présager, destinés à être splittés vers "Hors-sujet"
Je vous invite à créer votre propre thread si vous avez des choses à dire.

Vous auriez tout à fait été libres de publier un démenti et on en parlait plus.

Je n'ai aucun désir de démentir les débilités postée par le premier attardé anonyme venu (ni par les suivants d'ailleurs )

Le meilleur moyen serait encore de mettre à jour. Ne serait-ce que parce qu'un jour on ajoute SPDY pour la super feature qu'on vient de développer en oubliant une faille documentée... (si si, ça arrive).

Le jour ou on voudra ajouter SPDY on sera de toute façon obligés de recompiler nginx, CQFD.

[btcfre@k]

lol le mec met les topic de soutient dans place de marché,et les topics sur l escroquerie instawallet dans "hors sujet " ))))))))))))))))))))))))))))))))))))

C'est un message de soutien lié à une place de marché. Le déplacement est justifié. Mais publie donc un article sur ton blog pour dénoncer cet abus incroyable.

Vous comptez fermer beegcoin quand ? D'autres victimes que vous comptez arnaquer ?

mon blog?

[unclescrooge]

Je viens rarement sur le forum mais cette fois-ci je ne regrette pas.

Merci les gars pour la franche tranche de rigolade. Beegcoin c'est bien d'etre ambitieux, c'est encore mieux de rester humble et reconnaitre quand il y a un probleme. Et la il y en a un ou deux... Si vous ne changez rien dans 6 mois vous avez coule d'une maniere (hacking) ou d'une autre (faillite parce que vous prenez la contrepartie des ordres de vos utilisateurs).

Vous voulez acheter ou vendre des bitcoins en euros, utilisez bitcoin-central, c'est une valeur sure

Raphael

[hdbuck]

lol le mec met les topic de soutient dans place de marché,et les topics sur l escroquerie instawallet dans "hors sujet " ))))))))))))))))))))))))))))))))))))

+1
Je n'ai aucun pb ac davout ou bcentral ou leur asso (dont j'applaudi les efforts que ce soit pour leur plateforme que pour leur initiative de lobbying en france) mais enterrer de cette maniere ma simple remarque sur cette affaire n'est pas un gage de neutralité et encore moins de transparence, mais plutot un aveux de culpabilité.
Apres moi, je men fou je comprend la tentation.
Business is business. 

[davout]

Au risque de me répéter:

Les post OT sont, comme leur nom le laisse présager, destinés à être splittés vers "Hors-sujet"
Je vous invite à créer votre propre thread si vous avez des choses à dire.

[guigui371]

c'est quoi un "OT" pas trouvé dans google

Out of Topic ?
si oui pourquoi ne pas dire HS  (ou même OfT) je ne traine pas trop sur les fofo anglophones

[hdbuck]

Au risque de me répéter:

Les post OT sont, comme leur nom le laisse présager, destinés à être splittés vers "Hors-sujet"
Je vous invite à créer votre propre thread si vous avez des choses à dire.

je ne vois pas du tout en quoi ce post sur un thread demandant (a juste titre ou non, la n'est pas la question) un modérateur neutre soit considéré comme OT. fallait-il le poster dans un thread demandant un modérateur honnête plutot?

edit: @guigui371 OT = off topic ; sur le net en général on parle anglais, histoire de rendre les infos accessible au plus grand nombre

edit edit: et pourquoi le mettre dans la section hors sujet? le sujet existe et est directement lié à un service Bitcoin. je ne parle pas de politique ou de la couleur de mes chausettes.  

[davout]

je ne vois pas du tout en quoi ce post sur un thread demandant (a juste titre ou non, la n'est pas la question) un modérateur neutre soit considéré comme OT. fallait-il le poster dans un thread demandant un modérateur honnête plutot?

C'est une accusation, ou juste une espèce d'insinuation un peu puante ?
Faites un thread séparé, dans place de marché, si vous avez des choses à dire à ce sujet, merci.

[hdbuck]

je ne vois pas du tout en quoi ce post sur un thread demandant (a juste titre ou non, la n'est pas la question) un modérateur neutre soit considéré comme OT. fallait-il le poster dans un thread demandant un modérateur honnête plutot?

C'est une accusation, ou juste une espèce d'insinuation un peu puante ?
Faites un thread séparé, dans place de marché, si vous avez des choses à dire à ce sujet, merci.

Non aucune accusation.
Je cherche juste à comprendre cette histoire car je dois avouer que depuis l'affaire MtGox je suis extrêmement méfiant (voire cynique) vis-à-vis des soit disant "hacks" de plateformes et services liés au bitcoin.
Alors si un doute plane au dessus des acteurs principaux en france, j'estime qu'un peu de transparence (n'est-ce pas la philosophie de Bitcoin apres tout?) ne ferait pas de mal et vous laverai de tout soupçons fissa.
Sinon, autant vous dire qu'au moindre "hack" sur bcentral je serai le premier à troller grave
A bon entendeur.

[davout]

je dois avouer que depuis l'affaire MtGox je suis extrêmement méfiant (voire cynique) vis-à-vis des soit disant "hacks" de plateformes et services liés au bitcoin.

Et c'est bien naturel.

Alors si un doute plane au dessus des acteurs principaux en france, j'estime qu'un peu de transparence (n'est-ce pas la philosophie de Bitcoin apres tout?) ne ferait pas de mal et vous laverai de tout soupçons fissa.

Nous avons : d'une part commandé un audit post-incident à une firme de sécurité informatique reconnue, d'autre part déposé plainte à la Befti en avril dernier, la Befti a par ailleurs des copies des disques de nos serveurs sous scellés. Donc je vous rassure, je dors sur mes deux oreilles (enfin, les jours ou j'ai pas une faille openssl à patcher en urgence!).

Sinon, autant vous dire qu'au moindre "hack" sur bcentral je serai le premier à troller grave

A TA GUISE A TA GUISE.

[tempforfeedback]

A mon tour de laisser un petit message de soutient à l'équipe Bitcoin-Central !

Après contact avec l'équipe Support du site en raison d'un problème d'identification et de 2FA, je dois avouer être très très content de l'équipe, des délais de réponse tout comme du niveau de service reçu. On est vraiment en face de gens compétents et sérieux.

Plus spécifiquement, un énorme merci (et un 'hat off') à Victor pour son professionnalisme, rapidité et efficacité dans son support !
Je ne regrette aucunement être (et rester) chez vous plutôt qu'ailleurs!
Keep up the great work!