Máš to děravý, že bych tě nenechal hlídat ani nezavřenou žumpu ::)
Abych byl konkrétní, už jen to, že je možné sosnout banner: https://www.bitstock.cz/index.php
Apache/2.2.22 (Ubuntu) Server at www.bitstock.cz Port 443
Kromě toho, že pro 2.2.22 je exploit, že vím, že to asi jede na ubuntu a tak dále.
Hned vykecáš všechno i co nevíš:
Error in query: SELECT signature, title, status FROM stock WHERE signature = ; SELECT id, name, last_price, currency FROM exchange WHERE stock_signature= ;</script>'; SELECT signature, title FROM stock WHERE status='opened' ORDER BY stock.order; SELECT trade.id,UNIX_TIMESTAMP(trade.created) AS date, trade.amount, trade.price, trade.state FROM trade JOIN command ON trade.sellCmd = command.id JOIN wallet ON command.walletid = wallet.id WHERE wallet.currency = ' ORDER BY trade.created DESC LIMIT 13; CALL generateDOMparallel();</script>', 10);
Atd, atd, tím vůbec nemá smysl ztrácet čas, jak říkám, ani zavřenou žumpu ::)
Máš to děravý, že bych tě nenechal hlídat ani nezavřenou žumpu ::)
Atd, atd, tím vůbec nemá smysl ztrácet čas, jak říkám, ani zavřenou žumpu ::)
OK, vzdávám to, pouč mě, jak jsi obešel mysql_real_escape...
Naštěstí nikam jsi nepronikl: Ten odkaz vypadal takto.Vyzrazení vnitřní struktury dat není narušení bezpečnosti? U takhle citlivé věci?
[...] To sice není nic moc, ale k narušení bezpečnostni nedošlo...
ROFL :))Naštěstí nikam jsi nepronikl: Ten odkaz vypadal takto.Vyzrazení vnitřní struktury dat není narušení bezpečnosti? U takhle citlivé věci?
[...] To sice není nic moc, ale k narušení bezpečnostni nedošlo...
Jestli jsi nám chtěl demonstrovat, že o bezpečnosti vůbec nic nevíte, tak se ti to podařilo :)))
Tomuto typu bezpecnosti rikam security through obscurity.V pořádku. Můžeš tomu říkat klidně "chleba s máslem", nemám nic proti.
Co kdybych platformu vydal jako open source? I se znalosti vnitrno struktury bys ji nemel byt schopen narusit.Pokud bys ji vydal jako OSS, vystavil by ses velkému riziku, že ve zdrojácích někdo najde chybu a zneužije ji.
Atd, atd, tím vůbec nemá smysl ztrácet čas, jak říkám, ani zavřenou žumpu ::)
Hledám dobrovolníky pro odtestování demo aplikace chystané burze bitcoinů. Uvidíte sami, že celý koncept burzy je diametrálně odlišný od toho, co jsme doposud na českém trhu viděli.
blablabla
Budeme vděčný za každý nahlášený problém. Pokud nám někdo chce ukázat, "že to fakt neumíme zabezpečit", tak ať to zkusí prolomit. Nejlepšího hackera naší demo aplikace odměníme. (hack != DDoS útok).
OK, vzdávám to, pouč mě, jak jsi obešel mysql_real_escape...Na mysql_real_escape bych rozhodně nespoléhal, to není zabezpečení, ale pokus o zamaskování problému. Víte, jak mysql_real_escape funguje a jaké má předpoklady pro bezpečné použití? Jednak musíte zajistit, že programátor na každý vstup od uživatele tu funkci aplikuje právě jednou. To zajistíte jedině tak, že si to programátor ohlídá, otestovat to moc nejde – to není zrovna bezpečný přístup. Druhá věc je, že ta funkce má fungovat přesně inverzně k parseru SQL dotazů v použité MySQL. Opravdu jste si jist, že ve vaší verzi PHP je ta funkce přesně inverzní k vaší verzi MySQL? Že se to nezmění s nějakým minor updatem PHP nebo MySQL?
Pokud nechcete jenom maskovat problémy s SQL injection, ale chcete je skutečně řešit, nemůžete žádným způsobem vkládat uživatelská data do SQL příkazů, ale musíte SQL příkaz a data oddělit – použijte prepared statements buď s PDO nebo s mysqli.Nejenom to. Taky můžeme jenom doufat, že tohle je jenom frontendová tabulka, kde je uložená historie transakcí pro účely zobrazování a pány nenapadla taková kravina jako přímo v SQL transakce párovat :)
Dobře RUM, dobře ;D ;D
Sám tu tvrdíš, že to máte dobře zabezpečný a že když se to někomu povede lousknout, tak ho odměníte.
Ale to tvoje "k narušení bezpečnosti nedošlo" a "o co jde, je to demo ne", tak to mi nějak nehraje ;D
A v čem bych to jako měl párovat? Co myslíte, že proces párování zahrnuje? Jenom to párování není přímo dostupné z formulářů a ani přímo závislé na zaslaných datech přes GET / POST. Uživatel vyplní příkaz, ten se zařadí do databáze a pak se na to vrhne takový malý démonek. Ale platnou transakci bude v ostrém ověřovat ještě nezávislý dedikovaný stroj. Teď zatím nemá co ověřovat, nejsou tam reálné peníze (takže by všechny transakce zamítl)Pokud nechcete jenom maskovat problémy s SQL injection, ale chcete je skutečně řešit, nemůžete žádným způsobem vkládat uživatelská data do SQL příkazů, ale musíte SQL příkaz a data oddělit – použijte prepared statements buď s PDO nebo s mysqli.Nejenom to. Taky můžeme jenom doufat, že tohle je jenom frontendová tabulka, kde je uložená historie transakcí pro účely zobrazování a pány nenapadla taková kravina jako přímo v SQL transakce párovat :)
Btw, jakou přesnost má UNIX_TIMESTAMP? Jestli na vteřiny, tak to není dostatečná přesnost ani pro frontend.
ssh root@www.bitstock.cz
The authenticity of host 'www.bitstock.cz (195.140.255.66)' can't be established.
RSA key fingerprint is 70:26:97:a1:48:42:6a:0e:ee:98:10:22:a3:74:fa:c3.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'www.bitstock.cz,195.140.255.66' (RSA) to the list of known hosts.
root@www.bitstock.cz's password:
Kdyby mě to bavilo, zkusím třeba slovníkový útok na heslo roota.
Je nějaký důvod, aby tam běželo veřejně přístupné ssh?Kód: [Vybrat]ssh root@www.bitstock.czKdyby mě to bavilo, zkusím třeba slovníkový útok na heslo roota.
The authenticity of host 'www.bitstock.cz (195.140.255.66)' can't be established.
RSA key fingerprint is 70:26:97:a1:48:42:6a:0e:ee:98:10:22:a3:74:fa:c3.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'www.bitstock.cz,195.140.255.66' (RSA) to the list of known hosts.
root@www.bitstock.cz's password:
A v čem bych to jako měl párovat? Co myslíte, že proces párování zahrnuje? Jenom to párování není přímo dostupné z formulářů a ani přímo závislé na zaslaných datech přes GET / POST. Uživatel vyplní příkaz, ten se zařadí do databáze a pak se na to vrhne takový malý démonek. Ale platnou transakci bude v ostrém ověřovat ještě nezávislý dedikovaný stroj. Teď zatím nemá co ověřovat, nejsou tam reálné peníze (takže by všechny transakce zamítl)Tak to je v pořádku, omlouvám se za malování čerta ne zeď. Jestli tam máte takového malého démonka, tak to je ok.
Na mysql_real_escape bych rozhodně nespoléhal, to není zabezpečení, ale pokus o zamaskování problému. Víte, jak mysql_real_escape funguje a jaké má předpoklady pro bezpečné použití? Jednak musíte zajistit, že programátor na každý vstup od uživatele tu funkci aplikuje právě jednou. To zajistíte jedině tak, že si to programátor ohlídá, otestovat to moc nejde – to není zrovna bezpečný přístup. Druhá věc je, že ta funkce má fungovat přesně inverzně k parseru SQL dotazů v použité MySQL. Opravdu jste si jist, že ve vaší verzi PHP je ta funkce přesně inverzní k vaší verzi MySQL? Že se to nezmění s nějakým minor updatem PHP nebo MySQL?
Pokud nechcete jenom maskovat problémy s SQL injection, ale chcete je skutečně řešit, nemůžete žádným způsobem vkládat uživatelská data do SQL příkazů, ale musíte SQL příkaz a data oddělit – použijte prepared statements buď s PDO nebo s mysqli.
Nebudu vás trápit a poradím vám. Zkuste RIPE dotaz na IP adresu. Jinak všichni známe rsa klíče, takže si hrajte.Promiňte, asi vám nerozumím. Chcete řict, že www.bitstock.cz není váš stroj? Nebo chcete říct, že na www.bitstock.cz neběží databáze (to bych předpokládal :) ). Mimochodem taky by na sebe SSH nemuselo všechno nabonzovat:
Tak to je v pořádku, omlouvám se za malování čerta ne zeď. Jestli tam máte takového malého démonka, tak to je ok.
Jenom tak od oka, kolik myslíte, že jste schopní tímhle způsobem obsloužit požadavků za sekundu?
Nebudu vás trápit a poradím vám. Zkuste RIPE dotaz na IP adresu. Jinak všichni známe rsa klíče, takže si hrajte.Promiňte, asi vám nerozumím. Chcete řict, že www.bitstock.cz není váš stroj? Nebo chcete říct, že na www.bitstock.cz neběží databáze (to bych předpokládal :) ). Mimochodem taky by na sebe SSH nemuselo všechno nabonzovat:
SSH-2.0-OpenSSH_5.9p1 Debian-5ubuntu1
Kristepane... Když jsem tady posledně napsal, že takhle to dopadá, když si BTC směnárny a burzy založí každý, kdo má do zadeke díru a umí zbastlit stránku v PHP, tak jsem se doslechl, že jsem prý škodolibý posměváček.
Pane poškozený, vy tvrdíte, že jste vám byly odcizeny virtuální peníze. Jak k tomu došlo?
No, já jsem je schoval k nějakému Novákovi.
A vy jste ho nějak předtím znal?
Neeee, proč??? Já ho našel na internetu.
A běžně si peníze ukládáte k neznámým lidem, když vám to navrhnou?
No to neeee, copak jsem debil?
A proč jste si je tedy uložil k panu Novákovi?
Noooo, když von psal, ať to nevzdáváme. Mě už vokradli předtím za poslední měsíc dvakrát, ale Novák říkal, že tentokrát to fakt vyjde, že ta jeho směnárna se určitě vykrást nedá.
;D ;D ;D
Aha, takže když někdo nabourá www.bitstock.cz (což není váš stroj), tak je to vlastně úplně v pohodě, protože do vaší aplikace se tím pádem nikdo nedostal... Tak teď už jsem zcela klidný, tohle hacknout nejde!
Prosím, nabourejte se tam.
A kdyby to byl můj stroj, tak to trestný čin není? Divná logikaProsím, nabourejte se tam.
Určitě. Já se budu na výzvu nějakého Nováka nabourávat do stroje, který Novákovi vůbec nepatří. Jste normální, že vyzýváte lidi k páchání trestného činu?
A kdyby to byl můj stroj, tak to trestný čin není? Divná logika
LOL!
Ondřeji Nováku, pokud se zeptáš, jestli to máš a nebo nemáš bezpečné, pak bys měl poslouchat, co ti ty lidé říkají.
Pokud je hrnek už předem plný, znovu ho nenaplníš.
Ťeď tu kvičíš, že to máš superbezpečné, protože ti to lidé kritizují, ale jestli to chápu správně, tak to jsou ti dobří lidé, kteří ti tvoje bitcoinky neukradnou, zloděj se ti možná nebude smát, ale ojebe tě jako starou couru!
Ano, kdyby to byl váš stroj, tak to trestný čin není, protože "Trestný čin nespáchá, kdo jedná na základě svolení osoby, jejíž zájmy, o nichž tato osoba může bez omezení oprávněně rozhodovat, jsou činem dotčeny." (§ 30 odst. 1 tr. zákoníku).
No on je to virtuál. Můj stroj fyzicky to není. Ale mám na něm účet jako další vývojáři.
No, to je výtečné. Na hostingu mám taky účet, jako tisíce dalších zákazníků. Doporučuju k pozornosti část "bez omezení oprávněně" ::)
Nevím, kolik jsme schopni, ale plánujeme jednotky obchodů ZA MINUTU! Nevěřím tomu, že by zde byla až taková poptávkaTak to pak jo.
zloděj se ti možná nebude smát, ale ojebe tě jako starou couru!Já bych hlavně fakt nepodceňoval to právní riziko. Je to nakládání s penězma, zprostředkování nějakých převodů peněz odněkud někam na základě nějakých pravidel. Velice snadno se to může dostat k soudu - třeba tak, že bitstock zvaliduje nějakou transakci a já budu tvrdit, že jsem ji chtěl provést za poloviční cenu a že jsem tím přišel o sto tisíc. Provozovat něco takového jako živnostník (!!!!!) na virtuálu (!!) napsané v PHP nad SQL nebo kýho čerta (!!!!!!!), to by mohlo ČNB dost zajímat.
A nemáš tam něco k tématu?
Já bych hlavně fakt nepodceňoval to právní riziko. Je to nakládání s penězma, zprostředkování nějakých převodů peněz odněkud někam na základě nějakých pravidel. Velice snadno se to může dostat k soudu - třeba tak, že bitstock zvaliduje nějakou transakci a já budu tvrdit, že jsem ji chtěl provést za poloviční cenu a že jsem tím přišel o sto tisíc. Provozovat něco takového jako živnostník (!!!!!) na virtuálu (!!) napsané v PHP nad SQL nebo kýho čerta (!!!!!!!), to by mohlo ČNB dost zajímat.Nemyslím si, že právníci znají virtuál, php, sql. A z hlediska zákona to až tak nehraje roli. Otázka zda vlastní stroj nebo nějaké VPSko... čím si pomůžu, když tam budu mít vlastní stroj? Stejně ho musím mít v nějakém datahouse, kam mají všichni přístup? I kdyby to znamenalo, že v kritickém případě mi někdo na tom stroji šlohne disk, aby mi prošel co tam mám (zabezpečení obejde). Maximálně, že bych tam šifroval partition, ale i na to nelze spoléhat.
Lidi, fakt neblbněte! Jako BTC jsou cool, všichni to víme, je to bezva, je to nová éra, nikdo to nechápe, nastupuje věk Johnny Mnemonica atd. atd. ale ono fakt kvůli tomu skončit za katrem nemá cenu. Neblbněte.PS: FYI - bitcoiny na server ani nikde jinde nebudou.
Ondřeji Nováku, měl by ses nad sebou zamyslet, chováš se přinejmenším divně, radí ti tu lidé, kteří o tom zjevnně něco vědí a nikoho lepšího asi neseženeš. Hacker bude nejspíš pár úrovní na nějakým Rumem nebo gamerem a určitě se s tebou nebude obtěžovat. Konkrétně Rum ti napsal to, že se tím ani nemá smysl zabývat. Nenapsal ti, že dobrý, že to vypadá bezpečně, napsal ti, že to máš hodně blbě. Myslíš, že si jen honí triko?
Fakt si myslíš, že když ti deset lidí opakovaně řekne, že to máš blbě, že to všichni dělají jen aby tě nasrali?Tak většina tu jen troluje, to jsem si zvyknul. Psi štěkají, ale demo jede bez problému dál.
to by mohlo ČNB dost zajímat.
Tak většina tu jen troluje, to jsem si zvyknul. Psi štěkají, ale demo jede bez problému dál.
to by mohlo ČNB dost zajímat.Prosím vás, pánové, uvědomujete si, že - krom průserů typu "vlítne na mě finančák" tady existuje nějaký právní rámec podnikání na kapitálovém trhu, zákon o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, mraky dalších předpisů týkajících se informačních povinností, o právních předpisech EU nemluvě?
Já bych hlavně fakt nepodceňoval to právní riziko. Je to nakládání s penězma, zprostředkování nějakých převodů peněz odněkud někam na základě nějakých pravidel. Velice snadno se to může dostat k soudu - třeba tak, že bitstock zvaliduje nějakou transakci a já budu tvrdit, že jsem ji chtěl provést za poloviční cenu a že jsem tím přišel o sto tisíc. Provozovat něco takového jako živnostník (!!!!!) na virtuálu (!!) napsané v PHP nad SQL nebo kýho čerta (!!!!!!!), to by mohlo ČNB dost zajímat.Nemyslím si, že právníci znají virtuál, php, sql. A z hlediska zákona to až tak nehraje roli. Otázka zda vlastní stroj nebo nějaké VPSko... čím si pomůžu, když tam budu mít vlastní stroj? Stejně ho musím mít v nějakém datahouse, kam mají všichni přístup? I kdyby to znamenalo, že v kritickém případě mi někdo na tom stroji šlohne disk, aby mi prošel co tam mám (zabezpečení obejde). Maximálně, že bych tam šifroval partition, ale i na to nelze spoléhat.
Dvojí, trojí evidence dedikovaně, tam samozřejmě je/bude. Právní otázky bych fakt tady neřešil. Nejsem právní a ani nebudu provozovatelem jako živnostník. Bude to zarušeně právnická osoba.Lidi, fakt neblbněte! Jako BTC jsou cool, všichni to víme, je to bezva, je to nová éra, nikdo to nechápe, nastupuje věk Johnny Mnemonica atd. atd. ale ono fakt kvůli tomu skončit za katrem nemá cenu. Neblbněte.PS: FYI - bitcoiny na server ani nikde jinde nebudou.Ondřeji Nováku, měl by ses nad sebou zamyslet, chováš se přinejmenším divně, radí ti tu lidé, kteří o tom zjevnně něco vědí a nikoho lepšího asi neseženeš. Hacker bude nejspíš pár úrovní na nějakým Rumem nebo gamerem a určitě se s tebou nebude obtěžovat. Konkrétně Rum ti napsal to, že se tím ani nemá smysl zabývat. Nenapsal ti, že dobrý, že to vypadá bezpečně, napsal ti, že to máš hodně blbě. Myslíš, že si jen honí triko?
Myslíš ten script kiddies? Viděl jsem logy z toho útoku. Byl to nějaký skript, který zkoušel běžné útoky. Jo, že měl štěstí a narazil spíš na chybu, než na problém zabezpečení.Fakt si myslíš, že když ti deset lidí opakovaně řekne, že to máš blbě, že to všichni dělají jen aby tě nasrali?Tak většina tu jen troluje, to jsem si zvyknul. Psi štěkají, ale demo jede bez problému dál.
Ale to že si ani neumíte nastavit PHP aby Vám to nevypisovalo, to je čirý amatérismus. Pár lidí se Vám tu snažilo poradit? Nechcete, nechtějte. Ale pak sem nelezte.Až na to že PHP SQL chyby by default nevypisuje, tak dobrý pokus ;D
Prosím, ještě jednou si přečtěte jak to vlastně má fungovat. Vedete akademickou diskuzi na něco, co tam není.
Nemyslím si, že právníci znají virtuál, php, sql.OMG! Prosímtě, ve jménu létajícího špagetového monstra, nespouštěj to! Tohle fakt nedí srandička typu stodvacátejprvní slevomat. Nech si poradit, myslíme to s tebou dobře.
Otázka zda vlastní stroj nebo nějaké VPSko... čím si pomůžu, když tam budu mít vlastní stroj? Stejně ho musím mít v nějakém datahouse, kam mají všichni přístup?Tyvole. Ufff. Prosímtě uvědom si, že jsi sem nastoupil jakože máš bombasupr vychytanou bezpečnost a ať ti to teda někdo hackne, když na to má!
PS: FYI - bitcoiny na server ani nikde jinde nebudou.Ano, četl jsem to. A podle mě to na věci nic nemění. Slibuješ někomu posílat nějaké peníze na základě nějakých transakcí. Hraješ si s ohněm.
A nemáš tam něco k tématu?
Tématem je přesně co? Děravá BTC burza? Už jsi názor slyšel, načež jsi lidi uraženě vyzval k tomu, ať to teda nabouraj, když tvrděj, že to je taková díra. Já jsem si jen dovolil upozornit ctěné obecenstvo, že nabourávat se do stroje na výzvu jakéhosi Nováka, když není jasné, co to vůbec je za stroj, jestli mu patří a zda je takovýto souhlas oprávněn udělit, nebude zrovna jeden z nejlepších nápadů. Notabene s tím, že by tady veřejně prezentovali své poznatky se zalogovanou IP adresou. ::)
Prosím, ještě jednou si přečtěte jak to vlastně má fungovat. Vedete akademickou diskuzi na něco, co tam není.
Jak u blbejch. To, zda tam "fyzicky" (už to samo o sobě je úplně absurdní) nějaké virtuální peníze jsou nebo ne, s tím, co jsem zmínil, nemá co dělat. Nebo co si jako mám dalšího přečíst o vašich představách o fungování "burzy virtuálních měn"? Komu není rady, tomu není pomoci.
kdyby to nedejbože někdo posoudil tak, že BTC je dle českého práva měna, tak mají dotyční na krku min. přestupek/správní delikt s pálkou do 5 MKč za provozování směnárny bez oprávnění uděleného ČNB.I kdyby to neposoudil jako měnu, o co by vlastně šlo?
Btw, celý je to fakt o depresi. Proč dopsíchkulek musí pořád někdo u nás vymýšlet nějaký kraviny na hraně zákona, letadla, návody jak na mateřské vydělat miliony, MLM, kokotiny (a ještě k tomu absolutně technologicky neinvenční)? To fakt doprčic nemůžeme normálně poctivě dělat svoji práci a říct si za to o normální poctivý peníze?! Kurňa už, fakt!
jako že nemůže protože peníze jsou ve skutečnosti v bance...Peníze jsou ve skutečnosti v bance, ale příkazy k převodům se do té banky posílají na základě čeho?! Ná základě toho, že tam běží "nějaký démonek", který prochází nějaká data a rozhodne "odeslat" nebo "neodeslat". Už jenom tohle stačí, doprčic!
Jako beru to. Jediný co mě na prepared statements vadí je jejich naprosto nepoužitelná syntaxe. Taže máme vlastní prepared statements a zatím se to dělá tak, že se na označená místa vkládají řetězce po escapaci.
Předpokládám, že vůběc netušíte, kde BitCoiny rostou. Proč trolujete na diskuzi o bitcoinech?Co jsou to BitCoiny docela vím, děkuji za optání. Proč myslíš, že jsem zítřejší kurz BTC přirovnal k zítřejší teplotě na Žuráni?
Nehledě na to, jaký to má smysl nabourávat se do nějakého dema? Jo až bude plná verze, tak to bude jiný adrenalin, hlavně pro provozovatele. Zdarma někomu ukazovat jeho chyby ... celkem naivní. A když, tak se stejně ohradí, že to není chyba. Takový arogantní blb ať jde do zadeke!
...a to ještě vůbec nemluvím o tom, že ti nějaký šikula to tvoje slavný SQLko nabourá a číslo cílového účtu si prostě změní na svůj účet na Kajmanech.
Jediný co mě na prepared statements vadí je jejich naprosto nepoužitelná syntaxe.Mně tedy připadají mnohem přehlednější, než slepování řetězců. Ale to je věc názorů – nicméně pokud se rozhoduju mezi přehledností a bezpečností, musí – zvlášť v případě, kdy jde o něco důležitého, třeba o peníze – vyhrát bezpečnost.
Nevím proč by se měla syntaxe dotazů měnit.Nejde o změnu syntaxe, ale o změnu v parsování věcí, které třeba ve standardu nejsou jasně řečené, případně v parsování příkazů, které jsou v rozporu se standardem.
Jiné jazyky používají taky escapování a dodnes to nikomu nevadilo. XML, JSON, prakticky každý formát používá escapy. Proč to vadí u MySQL?Odborníkům na bezpečnost to samozřejmě vadí odjakživa. Ono nejde jen o samotné escapování, ale o to, jak je složité a jaké má varianty. V XML je velmi jednoduché a jasně definované, chybnou syntaxi parsery rovnou odmítnou – takže ten problém, že dva parsery stejný vstup rozparsují jinak, prakticky neexistuje. Úplně jiné je to třeba u HTML, kde se různé parsery chovají i záměrně jinak – třeba podmíněné komentáře v MSIE. No a MySQL je někde uprostřed, rozparsuje i dost nestandardní dotazy, a to samozřejmě otevírá možnost, že real_escape něco vyhodnotí jako „v pohodě, jsme uvnitř hodnoty“, ale parser MySQL to vyhodnotí jako součást SQL příkazu.
Máte nějaký reálný útok zkrz real_escape?Nemám. Ale „umíme to lépe zabezpečit“ si rozhodně nespojuju s „víme o té hrozbě a umíme to snadno opravit, ale Googlem jsme nenašli informace o žádném reálném zneužití, tak budeme doufat, že to nikdo nezneužije zrovna proti nám“. Nevýhoda tohohle přístupu je také v tom, že to nikdo samozřejmě nebude zkoušet proti nějaké demoverzi, protože to není úplně snadné a motivace žádná. Až bude možné skrze ten web ukrást pár milionů, motivace bude výrazně vyšší a třeba se najde někdo, kdo si zjistí vámi používané verze MySQL a PHP, ty parsery si porovná a zjistí, jestli nějaká obskurní posloupnost znaků ten parser v PHP nezmate.
S prepared statement samozřejmě umím, ale přišlo mi to... pomalejší... komplikovanější.Mně to připadá jednodušší, není důvod, aby to bylo pomalejší – naopak při dobré implementaci a podpoře serveru to bude rychlejší, protože serveru nemusí parsovat každý dotaz znova, ale jenom sáhne do cache pro již dříve zpracovaný dotaz, který u sebe má rovnou i prováděcí plán.
Stroj patri me. Takze vklidu, mate souhlas, ale budte jemni :) (pokud nekdo opravdu stoji o overeni, necht mi napise na mail a domluvime se).
Ano, planujeme novou burzu ktera je principem fugovani dost odlisna od ostatnich BTC burz/smenaren
(viz. schematko http://bitblog.cz/?p=225).
Jsme ve fazy dema, takze veci ladime a samozrejme na prvni miste je bezpecnost.
Tedy bezpecnost toho aby nemohlo dojit ke zfalsovani transakci a ve vysledku tak k vyplate penez nekam kam jit nemaji.
Kvuli bezpecnosti jsou v planu dedikovane stroje urcene jen a pouze na overovani transakci (tyto stroje budou jen minimalne pristupne a 99% casu budou uplne offline od site). Implementovane jsou zakladni prvky jako hashovani parametru web sessions apod.
Ondra se nachal trochu unest :), stale jsme ve fazy dema (demo jsem spustili vcera) takze tam jeste zbyva par veci doladit co se instalace tyce,
Ondra je vyborny programator a je hrdy na vnitni mechanismy ktere jsme implementovali (a stale jeste implementuje) pro zachovani bezpecnosti a konzistenci udaju o transakcich. Nicmene jak rikam jde o velice rane demo, takze se tam budou vyskytovat i veci typu zverejneni konkrenitho OS na kterem system bezi.
Neosetreny XSS ktery jste objevili je neprijemny ale i to je jeden z duvodu proc jsme demo vypustily do sveta, aby byly tyto bezpecnostni diry co nejdrive nalezeny a odstraneny. Prestoze aplikace jeste neni 100% kompletni, vime ze tady je spousta sikovnych lidi (ja ctu root v podstate kazdy den) kteri nam pripadne bezpecnostni problemy muzou pomuci rychle najit a my je budeme moci i rychle resit.
proc jsme demo vypustilyTo není ten Ondra, ale ta Ondra?
Omlouvám se za OT:proc jsme demo vypustilyTo není ten Ondra, ale ta Ondra?
Jestli je Ondra stejně dobrý programátor, jako ty v gramatice, tak to hodně vysvětluje.
Pokud se někdo snaží působit seriózně, jako mluvčí seriózního projektu, měl by psát bez zásadních hrubek.
V celku má. Nejsou tam ani klíče k žádným peněženkám. Je to jen soupis pravidel, jak má docházet k vyrovnání závazků. Celá burza pracuje s korunami a ne s BTC. Takže ano, pokud jde o právo, musí to provozovat právnická osoba provozující finanční služby malého rozsahu - vyžaduje registraci u ČNB. Proto to taky ještě není v ostrém.
může dojít k vypsání nepokrytých závazků, tak nebezpečí je tu hlavně pro provozovatele, který bude mít závazek vyplatit peníze, které nemá na sběrném účtu. Pak se může stát, že zkrachuje, ale na tohle naše legislativa má páky (exekuce, a podobně).
Proto říkám, že vykrást to nikdo nemůže
"ano, skutečně, kupující má u nás připravené peníze, které vám můžeme po splnění závazku převést".
potvrzování probíhat paralelně ručně člověkem.
Okej, tak to zkuste. Teď ještě můžete, protože tabulky jsou R/W. Ale aplikace vám to nedovolí. V ostrým bude ta tabulka insert only, tedy co co je jednou vloženo už nejde změnit. Zabezpečení až na úrovni databáze.Vy prostě nechápete, že když někdo zachází s penězi (a je úplně jedno, jestli přímo s účty, nebo "jenom" ty účty vzdáleně ovládá), tak to musí být úplně jiná liga, než co tady předvádíte. To není o tom, aby si nějaký Mirda Prýmek stáhl Metasploit a zkusil nějaké nejtypičtější útoky. Je to o tom, že penetrační testy dělají specializované firmy, které to dělat umí, které si o nechají adekvátně zaplatit* a které postupují podle nějaké jasně dané metodiky. Je to o tom, že je nějaké oddělení bezpečnosti, které má nějakou analýzu rizik. Je to o tom, že se rizika v přesně daných časových intervalech znovu analyzují, metodiky upravují a politiky validují.
Rozhodně nikoho z Vás nechceme vyzývat k útokům.
A pokud bychom si chtěli peníze uživatelů nechat, patrně nás čeká soud a celkem jistě vězení.
Co se právních aspektů týče, vezte, že je konzultujeme s odbornými poradci. Nemáme zájem dělat nelegální business.
Co se týká bezpečnosti finančních prostředků na našich účtech, tak si nejsem jist, zda rozumím Vašim obavám. Aplikace sama peníze nikam posílat nebude.Moje obavy spočívají v tom, ajkým způsobem jsou vydávány příkazy pro transfer peněz z bakovního účtu.
Co se právních aspektů týče, vezte, že je konzultujeme s odbornými poradci. Nemáme zájem dělat nelegální business.Co vám tedy odborní poradci poradili? Jaký je jejich názor na status Bitcoinu v rímci českého právního řádu?
Tak si kluci ujasněte. Novák tady vyzývá, ať to teda kua nabouráme, ňájek donnie.tb říká, že to patrně můžem vopatrně vodpanit ("ale budte jemni"), a teď teda co?
A to jako má bejt ta záruku bezpečnosti? Podvedený mladík dostal místo mobilu psí žrádlo. Dal za něj devět tisíc
A kolik už jste do toho právního poradenství vrazili? Máňa říkala, že to není směroplatný? ;DUrážky bych vynechal, díky ;)
No super, tak aspoň trochu to jde :)
3. Odkud, jakým způsobem a s jakým spožděním přebíráte data o kurzech? Jaká je garance spoždění a správnosti dat?
Omlouvám se, ale chtěl bych upozornit, že takhle burza nefungujeJak burza nefunguje? Když budete realizovat transakce podle dat s půlhodinovým spožděním, tak můžu data sledovat jinde a případné nevýhodné transakce včas zrušit. Při velké volatilitě, malé hloubce trhu s BTC a malým množstvím subjektů provádějících arbitráž mezi trhy to je prima džob.
CitaceTak si kluci ujasněte. Novák tady vyzývá, ať to teda kua nabouráme, ňájek donnie.tb říká, že to patrně můžem vopatrně vodpanit ("ale budte jemni"), a teď teda co?
Tak je asi jasné, že to prvně nebylo tak myšleno. A donnie.tb to myslel s humorem, který tu asi není moc v oblibě.
Vám nepřijde záruka bezpečnosti to, že peníze nelze ukrást anonymně a nese za ně odpovědnost právnická osoba? Jakou větší záruku máte na mysli?
Urážky bych vynechal, díky ;)
No super, tak aspoň trochu to jde :)
3. Odkud, jakým způsobem a s jakým spožděním přebíráte data o kurzech? Jaká je garance spoždění a správnosti dat?
Omlouvám se, ale chtěl bych upozornit, že takhle burza nefunguje
Jak burza nefunguje? Když budete realizovat transakce podle dat s půlhodinovým spožděním, tak můžu data sledovat jinde a případné nevýhodné transakce včas zrušit. Při velké volatilitě, malé hloubce trhu s BTC a malým množstvím subjektů provádějících arbitráž mezi trhy to je prima džob.Jedná se o obchod se závazky. Jakmile dojde k nalezení páru a vytvoření obchodu, vznikne závazek, který má prodávající povinnost splnit. Za jeho splnění ručí vratnou zálohou, která se odvíjí od prodávaného množství. Když závazek nesplní do určené doby, je záloha použita na odškodnění kupujícího
Moje obavy spočívají v tom, ajkým způsobem jsou vydávány příkazy pro transfer peněz z bakovního účtu.
1. Pokud má jít o automatický proces, jakým způsobem je otestován na možnost vydání chybného příkazu?
2. Nezávisle na tom, jestli to má být automatický nebo ruční proces, do jaké výše hodláte ručit za chyby?
3. Odkud, jakým způsobem a s jakým spožděním přebíráte data o kurzech? Jaká je garance spoždění a správnosti dat?
4. Ohledně spoždění čí výpadků: počítáte s možností jejich zneužití k cenové arbitráži? Jakou k tomu máte politiku?
Co vám tedy odborní poradci poradili? Jaký je jejich názor na status Bitcoinu v rímci českého právního řádu?Zatím bylo výstupem to, že bitcoin není státem uznávaná měna a tím pádem nepodlehá kontrole ČNB. Nicméně 100 právníků 100 názorů, takže to stále řešíme a chystáme se oslovit přímo státní správu. Navíc je možné, že se měnou opravdu stane.
Omlouvám se, ale chtěl bych upozornit, že takhle burza nefungujeJak burza nefunguje? Když budete realizovat transakce podle dat s půlhodinovým spožděním, tak můžu data sledovat jinde a případné nevýhodné transakce včas zrušit. Při velké volatilitě, malé hloubce trhu s BTC a malým množstvím subjektů provádějících arbitráž mezi trhy to je prima džob.
Chybný příkaz by aplikace vyslat neměla. Když budeme počítat s chybou v aplikaci, pak to můžeme zabalit rovnou (pak nefunguje žádná banka)
...
Závěrem, neb hlavu už mám skoro vykroucenou a asi si proto z téhle debaty radši rychle odeberu na oběd: Potenciálním investorům bych doporučil, aby uvažovanou investici (v pořadí dle vlastního uvážení) raději:
- dali na charitu
- vsadili ve Sportce
- vsadili na červenou v ruletě
- investovali do rumu
Ondra se nachal trochu unest :), stale jsme ve fazy dema (demo jsem spustili vcera) takze tam jeste zbyva par veci doladit co se instalace tyce,Ano, pan Novak se nechal unest velice silne. Jeho projev vypada presne tak,
Ondra je vyborny programator a je hrdy na vnitni mechanismy ktere jsme implementovali (a stale jeste implementuje) pro zachovani bezpecnosti a konzistenci udaju o transakcich. Nicmene jak rikam jde o velice rane demo, takze se tam budou vyskytovat i veci typu zverejneni konkrenitho OS na kterem system bezi.Pan Novak zjevne NENI vyborny programator. Muze byt velmi chytry, muze byt
CitaceMně to teda jasný nebylo. A podle toho, že pár lidí se zapojilo, tak to asi nebylo jasný ani jiným. Hele, kdo za vás kluci vůbec může mluvit? Vy jste nějaký občanský sdružení/spolek, nebo co?Mě bohužel mrzí, že si to ostatní takto vyložili. Tím jak je diskuse neosobní, tak občas není jasné, co je jak míněno. Ondřeje znám a nemyslel to zle. Nicméně chci poděkovat těm, co se zapojili ať už nám chtěli pomoci či ne, protože i to je pro nás cenná kontrola, respektive ta nejcennější. Každý mluví sám za sebe. Jsme malý startup, bohužel se občas musíme trochu krotit ve výrocích.CitaceHmmm... Ne, nepřijde. Kupodivu. Klienti H-Systému by asi souhlasili, že to je záruka úplně na hovno. Dav blbců v EDBUSY utopil skoro půl miliardy. Víte, co tihle všichni dostanou zpátky? Ano, přesně to hnědý mazlavý.Ano, ale to je pak problém právního systému ČR. Nejsme schopni zaručit něco víc. A já vím, že cesta k důvěře je trnitá, obzvlášť potom, co se stalo na bitcash.cz a jaké to mělo vyústění.CitaceDotaz byl myšlen smrtelně vážně. Protože tak nějak nevidím nikoho, kdo by se v tomhle byl ochoten - a to jen čistě nezávazně - vrtat za míň než za nějaký mega. Zejm. s přihlédnutím k tomu, že se jedná o věc naprosto neprozkoumanou.Nerozumím co by mělo stát milión? Sezení se specialistou na obchodní právo? My pouze zprostředkováváme obchody. To je celkem běžné podnikání. Jediný zádrhel je ČNB a bitcoin jako měna, to se samozřejmě snažíme řešit, ale nikde není v současnosti náznak, že by to měla měna být.
Nerozumím co by mělo stát milión? Sezení se specialistou na obchodní právo? My pouze zprostředkováváme obchody. To je celkem běžné podnikání. Jediný zádrhel je ČNB a bitcoin jako měna, to se samozřejmě snažíme řešit, ale nikde není v současnosti náznak, že by to měla měna být.
ale burza....přesněji řečeno vlastně spíš escrow service.
Áááá, beru zpět, vy vlastně nechcete být broker, ale burza. Omlouvám se, to byly opravdu dotazy mimo mísu :)
Potom jiný dotaz: hodláte teda čistě jenom párovat nabídku s poptávkou, žádné jiné možnosti nebudou? (sell market, stoploss, bracket,...)
Predpokladam, ze jste investor nebo majitel firmy, ktera ma toto provozovat.
Nemohu Vam rikat co mate, nebo nemate delat, ale rad bych Vas upozornil na
nekolik veci, ktere si zrejme neuvedomujete. Zjevne nejste programator a
z neznameho duvodu verite panu Novakovi. Coz si myslim, ze je chyba.
Ano, pan Novak se nechal unest velice silne. Jeho projev vypada presne tak,Já vím a někteří programátoři berou bohužel kritiku velmi těžce. Peněžní služby jsou určitě netriviální záležitost, ale jak říkám, důveru tu není kladena jen v jednoho člověka.
jako reakce kritizovaneho teenagera. To neni snaha pana Novaka
zesmesnit, prosli jsme si tim asi vsichni. V puberte proste clovek velmi
spatne vnima kritiku, a reaguje na ni velmi emotivne, zatimco na druhe strane
ma tendenci podcenovat a zlehcovat rizika.
Z meho pohledu to znamena, ze pan
Novak patri na velmi juniorni pozici, kde ho muze "hlidat" zkuseny starsi
clovek, ktery vybuchy jeho mladistveho nadseni a nekritickeho optimismu
zkroti. Asi by to nebyl problem, kdyby Vasim byznysem byla vyroba stranek pro
kadernice a kosmeticke salony, nicmene pokud se jedna o penezni sluzby, je to
extremne rizikove.
Aha, njn. Tak nic. To je úplně absurdní. Chápu to tak, že jste zašli za nějakým advokátem, startupista Novák nadšeně vylíčil tu super startup myšlenku a zeptal se ho "Hele doktore, a myslíte, že ten bitcoin je měna? Tím by se nám to asi zkomplikovalo." A doktor na to: "Nooo, já kluci myslím, že není. Máte to za 1500, zaplaťte u sekretářky a zase se někdy stavte." ;D
Podporované příkazy jsouNo tak to bude hodně zajímavý. Stoploss na "burze", kterou zmanipuluju pomocí pár stovek tisíc, na burze bez rychlé arbitráže s hlubšími trhy, to ještě bude zajímavý...
- limit (je povinný)
- stoploss
- trailing stop
- minimální množství
Mě bohužel mrzí, že si to ostatní takto vyložili. Tím jak je diskuse neosobní, tak občas není jasné, co je jak míněno. Ondřeje znám a nemyslel to zle.
Pokud nám někdo chce ukázat, "že to fakt neumíme zabezpečit", tak ať to zkusí prolomit. Nejlepšího hackera naší demo aplikace odměníme.
Pozor, rozhodně ne escrow service na bitcoiny, aby tu nedošlo k nedorozumění :)ale burza....přesněji řečeno vlastně spíš escrow service.
No, necháme se překvapit... :)
Podporované příkazy jsouNo tak to bude hodně zajímavý. Stoploss na "burze", kterou zmanipuluju pomocí pár stovek tisíc, na burze bez rychlé arbitráže s hlubšími trhy, to ještě bude zajímavý...
- limit (je povinný)
- stoploss
- trailing stop
- minimální množství
No nic, tak zpětnou vazbu jste dostali, jestli dostanete i nějakou jinou vazbu, to se uvidí, ale rozhodně bych vám to nepřál. Škoda no, že jste se nepustili se stejnou vervou do něčeho přínosnějšího...
Stoploss na naší burze s menší likviditou musí samozřejmě brát uživatelé s rezervou a budou na to upozorněni. Je to spíše taková featura navíc, ale rozhodně by to nemělo být bráno jako primární opatření. Souhlasím, že oproti stoplossu na volatilních trzích je to nesrovnatelné.To není featura navíc, to je jako zaškrtnout volbu "ok, chci, aby mě kdokoli mohl zruinovat kdykoli si zamane".
Hergot, jak si jako jinak než výzvu k hacknutí mám jinak vyložit následující?!?Pokud nám někdo chce ukázat, "že to fakt neumíme zabezpečit", tak ať to zkusí prolomit. Nejlepšího hackera naší demo aplikace odměníme.
To není featura navíc, to je jako zaškrtnout volbu "ok, chci, aby mě kdokoli mohl zruinovat kdykoli si zamane".
To teda nevím, jak tohle pánové z ČNB zkousnou...
A ještě na závěr, pak už to fakt balím.Chápu, že máte obrovský odpor k bitoinu s tím asi nic nenadělám :) Místních "burziánu" by jste si mohl aspoň trochu vážit, protože aspoň část kapitálu neodchází do ciziny. A burz tu moc není, spíše zprostředkovatelů burz zahraničních. Každopádně já si raději maluji sám ;)
Krucinál... Když sháním instalatéra nebo malíře, kterej práci nezkurví tak, abych neměl vytopenou půlku bytu nebo abych si to po něm nemusel vymalovat znova, tak abych vobvolal 10 známejch a pak měsíc čekal. Ale burziánů s bitcoinama a dalších agentů s teplou vodou tady máme tři zadele.
>:( >:( >:(
Ještě k tomu ssh a otevřenému serveru. Server jsme konfigurovali narychlo, abychom měli hotové demo a konfigurace nebyla prací pana Nováka. K výpisu sql chyb, to byla opět věc na kterou se prostě zapomnělo. Vidím, že za rychlé nasazení dema jsme draze zaplatili v očích odborníku, což mě mrzí. Pan Novák přemrštěle sebevědomí není, naopak neustále se snaží iterativně zlepšovat bezpečnost. Bohužel se zde nechal trochu vyprovokovat a jeho chování bylo spíše inverzní k jeho opravdovému přístupu k projektu.Neomlovejte se zde za chyby, ktere jste udelali. Jediny komu tim (zatim) skodite, je Vase firma. Jedina omluva, ktera byla na miste, byla omluva se za reakce pana Novaka.
Za chybu se omlouvám, ale už jsem to odklepl a nešlo to změnit. ;)
A opět se omlouvám za otázku ale musím se zeptat, zda víte, jak funguje stoploss, protože to rozhodně není příkaz "ok, chci, aby mě kdokoli mohl zruinovat kdykoli si zamane"Možná že se mýlím, to je pravda. Ale přijde mi, že na mělkém trhu mi stačí prodávat tak dlouho, dokud se nevypráská dostatečné množství stoplossů, které následně vykoupím (za uměle sníženou cenu). Podmínkou výdělku je, aby mě ten počáteční prodej nestál víc než kolik vydělám na nákupu vypráskaných stoplossů. Což na mělkém trhu může být málo, zvlášť pokud mám možnost sledovat paralelně i větší trh, který ceny udává a na tom mém malém trhu není nikdo, kdo by mi ty vypráskané stoplossy vykoupil. S chutí si vyčkám na nejbližší větší pokles na velkém trhu.
Tak to nejde? Proč? Možná se mýlím, tyhle technické věci mě nikdy moc nezajímaly.
Mimochodem, ještě zajímavější je, že vy ty stoplossy vidíte, takže si můžete v libovolným okamžiku snadno spočítat, jestli se vám taková manipulace vyplatí nebo ne. To je taky dost pikantní vlastnost :)
Ale očekával jsem seriozní diskuzi, ne vykřiky typu "vám bych nesvěřil ani žumpu". To se omlouvám, ale měl jsem vyšší mínění o diskutujících na rootu.
Omlouvám se, ale chtěl bych upozornit, že takhle burza nefungujeJak burza nefunguje? Když budete realizovat transakce podle dat s půlhodinovým spožděním, tak můžu data sledovat jinde a případné nevýhodné transakce včas zrušit. Při velké volatilitě, malé hloubce trhu s BTC a malým množstvím subjektů provádějících arbitráž mezi trhy to je prima džob.
No ty kjááávo. To je mazec!!!
Závěrem, neb hlavu už mám skoro vykroucenou a asi si proto z téhle debaty radši rychle odeberu na oběd: Potenciálním investorům bych doporučil, aby uvažovanou investici (v pořadí dle vlastního uvážení) raději:
- dali na charitu
- vsadili ve Sportce
- vsadili na červenou v ruletě
- investovali do rumu
Nakonec se může stát, že to opravdu propadne hluboko...No a o to jde, že.
Stoplossy nevidíteJá ne, ale vy jo. Takže když je na MtGox kurz 1000 a mně se u vás spustí stoploss na 800, aniž by se na MtGox cena hnula pod 1000, řeknete mi jenom "no jo, na MtGox se to nehlo, ale u nás jo, jsme holt mělčí trh".
Virtuální měnu devizový zákon ani jiný zákon v České republice neupravuje.I kdyby to nebyla měnová burza, je tenhle projekt něco jiného: komoditní burza, sázková hra, ... cokoli.
Já ne, ale vy jo. Takže když je na MtGox kurz 1000 a mně se u vás spustí stoploss na 800, aniž by se na MtGox cena hnula pod 1000, řeknete mi jenom "no jo, na MtGox se to nehlo, ale u nás jo, jsme holt mělčí trh".
...a proto každý, kdo chce provozovat burzu, je pod přísným dohledem ČNB, protože tady nejde o gumový medvídky, ale o peníze.
Věřte mi nebo ne, mám sen provozovat službu, ne krást lidem peníze a podvádět na nich....čímž se dostáváme k tomu, co tu už zaznělo:
A běžně si peníze ukládáte k neznámým lidem, když vám to navrhnou?
No to neeee, copak jsem debil?
jde o velice rane demo
Ostré obchodování spouštíme již za pár dní.
Takže jsme u toho, k čemu jsem se chtěl dostat - jakkoli operace s penězi necháváte na bance, takže "je to bezpečné", příkazy k platbám se podávají na základě něčeho, co si vyčarujete ve vašem softwaru, do kterého nevidí nikdo jiný než vy.Psal jsem něco o transparentnosti, tu část jste přeskočil. Pokud uživatel pošle 20kKč a dostane 1BTC (za současný kurz), tak bude odcházet spokojen a nějaké čáry ho moc zajímat nebudou. Přesto musí být schopen se dopídit, jak k té ceně ten software došel.
Jsem dost silně přesvědčený, že se to státním orgánům nebude líbit, ale o tom už bylo řečeno dosti. Za mě není o čem dál mluvit - kdo vám poctivost chce věřit, ať vám ji věří, a soudu to budete vysvětlovat vy...No státním orgánům se nemusí líbít žádné podnikání, otázkou je, co se jim nebude líbit. Pokud bude k dispozici nonstop evidence všeho odkud kam tekly peníze (jako že tam ta evidence je už teď zaimplementovaná), tak budou těžko hledat nějaký důvod. Ale třeba nějaký najdou.
Já ne, ale vy jo. Takže když je na MtGox kurz 1000 a mně se u vás spustí stoploss na 800, aniž by se na MtGox cena hnula pod 1000, řeknete mi jenom "no jo, na MtGox se to nehlo, ale u nás jo, jsme holt mělčí trh".
...a proto každý, kdo chce provozovat burzu, je pod přísným dohledem ČNB, protože tady nejde o gumový medvídky, ale o peníze.
Tak samozřejmě, ale to už není otázka z tématu burz, ale z tématu důvěry. Věřte mi nebo ne, mám sen provozovat službu, ne krást lidem peníze a podvádět na nich. Pro mě je mnohem jistější vydělávat na poplatcích, než na burzovních spekulacích. A myslím si, že takhle to cítí ostatní společníci. Ale k tomu, aby bylo možné vydělávat na poplatcích spíš potřebujeme, aby tomu lidi věřili, že to funguje, že tam člověk opravdu může koupit nebo prodat bitcoiny, že se tam nikdo nesnaží nikoho ošulit. Takže cílem celého postu bylo, že jsem chtěl vnést trochu transparentnosti do toho. Cílem dema je aby si každý vyzkoušel, jak to funguje. Konečně, zkuste si ty stoplossy na demu.... Celý systém je koncipovaný tak, aby bylo všechno vidět, všechny obchody, historie, chci tam přidat zobrazování i historie příkazů (bez osobních údajů), aby bylo možné zpětně zkontrolovat, na základě jakého příkazu obchod vznikl. Chci ctít transparentnost bitcoinové sítě a vše co s tím souvisí.
Chci nebo spíš chceme přinést dobrou službu, která bude fungovat automaticky na základě jasných pravidel a odměnou za to by měl být zisk z poplatků za použití služby. Nic vic. Je to nereálný cíl?
Lidé často naletí podvodníkům, už jen proto, že se umějí chovat. Vy na tom musíte hodně zapracovat.:) :D ;D
Psal jsem něco o transparentnosti, tu část jste přeskočil. Pokud uživatel pošle 20kKč a dostane 1BTC (za současný kurz), tak bude odcházet spokojen a nějaké čáry ho moc zajímat nebudou. Přesto musí být schopen se dopídit, jak k té ceně ten software došel.K férovosti burzy není možné dojít jinak než hlubokým trhem a regulací. Nemáte ani jedno. Když mi práskne ten zmíněný stoploss na 800, tak jakou "transparentnost" mi můžete nabídnout? Maximálně se tak můžu "transparentně" dozvědět, že někdo párkrát za nějakou cenu nakoupil a že se tímpádem jenom na vaší burze cena propadla a já jsem tímpádem nechtěně prodal za cenu daleko nižší než jaké je na jiných burzách. Co s takovou informací jako budu dělat? I kdybych věděl telefonní čísla těch, kdo ten pokles prodejem způsobili a těch, kdo moje BTC nakoupili pod cenou, jak můžu vědět, že to nejsou vaši kamarádi?
No myslím, že jsme to tu rozebrali ze všech stran, já už se od tohoto tématu vzdaluji.Taky myslím.
Virtuální měnu devizový zákon ani jiný zákon v České republice neupravuje.I kdyby to nebyla měnová burza, je tenhle projekt něco jiného: komoditní burza, sázková hra, ... cokoli.
K férovosti burzy není možné dojít jinak než hlubokým trhem a regulací. Nemáte ani jedno. Když mi práskne ten zmíněný stoploss na 800, tak jakou "transparentnost" mi můžete nabídnout? Maximálně se tak můžu "transparentně" dozvědět, že někdo párkrát za nějakou
K férovosti burzy není možné dojít jinak než hlubokým trhem a regulací. Nemáte ani jedno. Když mi práskne ten zmíněný stoploss na 800, tak jakou "transparentnost" mi můžete nabídnout? Maximálně se tak můžu "transparentně" dozvědět, že někdo párkrát za nějakou cenu nakoupil a že se tímpádem jenom na vaší burze cena propadla a já jsem tímpádem nechtěně prodal za cenu daleko nižší než jaké je na jiných burzách. Co s takovou informací jako budu dělat? I kdybych věděl telefonní čísla těch, kdo ten pokles prodejem způsobili a těch, kdo moje BTC nakoupili pod cenou, jak můžu vědět, že to nejsou vaši kamarádi?
Od toho jsou prostě ty burzy státem regulované, není to pro srandu králíkům, ani proto, aby ten zlý stát potlačoval ty báječné frikulínské Bitcoiny.
Věřte mi nebo ne, mám sen provozovat službu, ne krást lidem peníze a podvádět na nich....čímž se dostáváme k tomu, co tu už zaznělo:A běžně si peníze ukládáte k neznámým lidem, když vám to navrhnou?
No to neeee, copak jsem debil?
Takže jsme u toho, k čemu jsem se chtěl dostat - jakkoli operace s penězi necháváte na bance, takže "je to bezpečné", příkazy k platbám se podávají na základě něčeho, co si vyčarujete ve vašem softwaru, do kterého nevidí nikdo jiný než vy.
Jsem dost silně přesvědčený, že se to státním orgánům nebude líbit, ale o tom už bylo řečeno dosti. Za mě není o čem dál mluvit - kdo vám poctivost chce věřit, ať vám ji věří, a soudu to budete vysvětlovat vy...
Pak se stane to, co obchodník chtěl, splní se jeho přání, prodá se za minimální cenu 800.Ale já nechci prodat za 800, když se BTC zhoupne na nějakém lokálním nelikvidním trhu. V tom je ten vtip. Stoploss v takovém prostředí je prostě mimořádně nebezpečná věc, snadno zmanipulovatelná, zvlášť pokud mám všechny informace a nejsem nikým regulován.
Samozřejmě, že se špatným příkazem dá zrujnovat váš účet, ale ... s tím moc nenadělám, nevydávejte špatné příkazy. [...] Pokud se někdo cítí jako frikulín, ať si podává stoplossy.No tak s tím taky opatrně. Normální broker má ze zákona povinnost (alespoň formální) zjišťovat úroveň znalostí investora a podle toho mu (ne)dovolit některé nebezpečnější nástroje používat. Např. pákové operace. Kdybyste náhodou (nedejmatkopřírodo) s tím měli úspěch, dovedu si živě představit žalobu, že jste někomu nějaký nástroj dobře nevysvětlili. Ale to se motáme pořád kolem toho samýho: burza s reálnými penězi prostě není stošestý slevomat. Jestli si toho nejste vědomi, je to váš problém a my ostatní můžeme už jenom vytřást prach z opánek...
Nevím proč jsme tu sklidili nálepku podvodníků. Já provozuji několik projektů a nikdy jsem nikoho neokradl.Sklidili jste nálepku lidí, kteří si hrají s ohněm.
No tak s tím taky opatrně. Normální broker má ze zákona povinnost (alespoň formální) zjišťovat úroveň znalostí investora a podle toho mu (ne)dovolit některé nebezpečnější nástroje používat.Máte pravdu, ale ten formulář je pro srandu králíkům, protože ho můžete vyplnit stylem "nechci sdělovat jaké mám investiční zkušenosti". Já ho vyplňoval 3x a na burze obchoduju normálně
Např. pákové operace.
Btw, když jsme u toho, nemáte tam - pokud jsem to nepřehlídl - ani takovejten běžnej disclaimer, že minulé výnosy neznamenají výbosy budoucí. No... jak myslíte...Opět se pletete, ta burza negeneruje nějaké výnosy. Ta burza slouží k prodeji a nákupu. Jedna strana chce prodat, druhá koupit. Není účelem burzy zajisit zisk. To si pletete s investičním fondem (nebo podílovým fondem)
Virtuální měnu devizový zákon ani jiný zákon v České republice neupravuje.I kdyby to nebyla měnová burza, je tenhle projekt něco jiného: komoditní burza, sázková hra, ... cokoli.
Jestliže nevíme, jak by český soud BTC pojmul, těžko můžeme říct, že to něco "neupravuje žádný zákon".
Opět se pletete, ta burza negeneruje nějaké výnosy. Ta burza slouží k prodeji a nákupu. Jedna strana chce prodat, druhá koupit. Není účelem burzy zajisit zisk. To si pletete s investičním fondem (nebo podílovým fondem)Příklad:
Investice do podílových listů v sobě obsahuje riziko
kolísání aktuální hodnoty investované částky a výnosů z ní a není zaručena návratnost původně investované částky. Minulé
výnosy nejsou zárukou výnosů budoucích. Míra očekávaného výnosu z cenných papírů nebo jiných investičních nástrojů
souvisí s mírou investičního rizika a není jisté, že skutečný výnos bude odpovídat výnosu očekávanému. Výnosy z cenných
papírů nebo jiných investičních nástrojů dosahované v minulosti nejsou zárukou výnosů budoucích
UF!
Tak jsem to tu přečetl ::)
Tedy, no, a... je vidět, že jsem se s tou žumpou spletl.
Nejen, že se Vám povedlo župu vyrobit (tady z tohoto vlákna), ale dokonce se Vám jí povedlo i naplnit a úspěšně do ní namočit mnoho slušných diskutérů ::)
Takový sračky jako tady, to se jen tak nevidí a taková žumpa, jako je tohle vlákno, to je taky unikát, určitě se zařadí do kulturního dědictví ROOTu hned vedle vlákna o kvalitě našich VŠ ;D
Opět se pletete, ta burza negeneruje nějaké výnosy. Ta burza slouží k prodeji a nákupu. Jedna strana chce prodat, druhá koupit. Není účelem burzy zajisit zisk. To si pletete s investičním fondem (nebo podílovým fondem)Příklad:CitaceInvestice do podílových listů v sobě obsahuje riziko
kolísání aktuální hodnoty investované částky a výnosů z ní a není zaručena návratnost původně investované částky. Minulé
výnosy nejsou zárukou výnosů budoucích. Míra očekávaného výnosu z cenných papírů nebo jiných investičních nástrojů
souvisí s mírou investičního rizika a není jisté, že skutečný výnos bude odpovídat výnosu očekávanému. Výnosy z cenných
papírů nebo jiných investičních nástrojů dosahované v minulosti nejsou zárukou výnosů budoucích
Ale očekával jsem seriozní diskuzi, ne vykřiky typu "vám bych nesvěřil ani žumpu". To se omlouvám, ale měl jsem vyšší mínění o diskutujících na rootu.
proste jen kupujete a prodavate zbozi, ktere z pohledu legislativy _nema_ zadny specialni vyznam
Tohle není investice do podílových listu. Tohle je služba, kdy vám někdo za práci zaplatí bitcoinama a vy si chcete za svojí práci já nevím, zajít do soukromé vířivky v Praze na jížní spojce, kde bitcoiny těžko uplatníte.Ježovanoho, to bych mohl říct i o NASDAQu - to je taková služba, kdy vám někdo za práci zaplatí akciema Applu a vy si chcete za svojí práci já nevím, zajít do soukromé vířivky v Praze na jížní spojce, kde akcie Applu těžko uplatníte. A nebo naopak, kdýž vám někdo bude ochoten něco zařídit třeba na internetu a bude za to chtít zaplatit aciema Applu. Přijdete na NASDAQ, pošlete peníze, kliknete na nabídku a dostanete akcie Applu. Tím může váš život na NASDAQu končit.
A nebo naopak, kdýž vám někdo bude ochoten něco zařídit třeba na internetu a bude za to chtít zaplatit bitcoinama. Přijdete na bitstock, pošlete peníze, kliknete na nabídku a dostanete bitcoiny. Tím může váš život na bitstocku končit.
No, pokud důvěřivým neznalým lidem prodáváte NIC za 1200 USD za kus, tak v civilizovaném státě dřív či později skončíte přinejlepším tak, že až se skutečně ukáže, že to NIC má hodnotu NIC, tak zaplacenou cenu budete muset vrátit, neb se vaše počínání, slovy zákona, příčí dobrým mravům a tudíž je smlouva od počátku neplatná. V tom horším případě vás zabásnou za podvod nebo něco podobného.
Ježovanoho, to bych mohl říct i o NASDAQu - to je taková služba, kdy vám někdo za práci zaplatí akciema Applu a vy si chcete za svojí práci já nevím, zajít do soukromé vířivky v Praze na jížní spojce, kde akcie Applu těžko uplatníte. A nebo naopak, kdýž vám někdo bude ochoten něco zařídit třeba na internetu a bude za to chtít zaplatit aciema Applu. Přijdete na NASDAQ, pošlete peníze, kliknete na nabídku a dostanete akcie Applu. Tím může váš život na NASDAQu končit.Akcie nejsou Bitcoiny. Bitcoiny nejsou akcie
Takový pohádky fakt právníky nezajímají, dokonce ani zákazníky. Buď jste burza, která vytváří nějaký trh, nebo jste escrow, nebo se nudíte a baví vás jQuery...
...ale dost už, už fakt myslím, že jsem toho napsal až příliš...
Ty NIC ale nedostaneš, ty získáš právo provést transakci v blockchainu. To je rozdíl.
Tak určitě. To je veliký rozdíl. ::) ;D Stejně dobře můžete prodávat za 1200 USD třeba právo si na ulici prdnout - když si k tomu přimyslíte pohádku o skleníkových plynech, globálním oteplení, směrnici EU a emisních povolenkách pro ovčany, tak to bude znít daleko důvěryhodněji, než ta šaškárna s BTC.To není pohádka, to je realita, viz burza s emisnima povolenkama
proste jen kupujete a prodavate zbozi, ktere z pohledu legislativy _nema_ zadny specialni vyznam
No, pokud důvěřivým neznalým lidem prodáváte NIC za 1200 USD za kus, tak v civilizovaném státě dřív či později skončíte přinejlepším tak, že až se skutečně ukáže, že to NIC má hodnotu NIC, tak zaplacenou cenu budete muset vrátit, neb se vaše počínání, slovy zákona, příčí dobrým mravům a tudíž je smlouva od počátku neplatná. V tom horším případě vás zabásnou za podvod nebo něco podobného.
Dneska ani vaše skutečné peníze v bance nemají vyšší cenu, než náklady na udržení záznamu v databázi.Jémine, to je fakt
Zapomeňte na bitcoin. Ten nemá budoucnost! Je tady totiž Litecoin (sign : Ł ; code : LTC). Ten nakupujte a těžte, protože to je ta jediná skutečná budoucnost!
A už sis založil nějakou burzu? :-D
Bitstock.cz plánuje i obchod s LTC ;)
Vlastně ani Litecoin není to pravé! Zapomeňte i na Litecoin, protože je tady Peercoin (code: PPC).
Teprve Peercoin (code: PPC) je to skutečně pravý. Ten těžte a hlavně kupujte! Teprve až s Peercoinem (code: PPC) zbohatnete! ::)
Je tady Peercoin (code: PPC). Teprve Peercoin (code: PPC) je to skutečně pravý. Ten těžte a hlavně kupujte! Teprve až s Peercoinem (code: PPC) zbohatnete! ::)
Proč vlastně používáte Ubuntu? Na takovouhle aplikaci bych si radši zaplatil podporu nějaké enterprise distribuce.
Proč vlastně používáte Ubuntu? Na takovouhle aplikaci bych si radši zaplatil podporu nějaké enterprise distribuce.Používáme teď vlastní server pouze proto, že to pro nás teď byl nejrychlejší deploy demoverze. Ostré nasazení plánujeme provést na profesionálním hostingu s patřičnou infrastrukturou a zabezpečením. Jádrem diskuze spíše mělo být ověření aplikace samotné.
Dneska ani vaše skutečné peníze v bance nemají vyšší cenu, než náklady na udržení záznamu v databázi.
z FAQ:
Mohou Vám uživatelé věřit? Jste úplně nová burza.
Jsme fungující zaběhlá společnost, která má za sebou již několik projektů. Všichni naši členové jsou bezúhonní, a proto projekt realizujeme s čistými úmysly. Další Vaší zárukou může být to, že k nám posíláte Vaše finanční prostředky přes bankovní účet, kde je anonymita oproti bitcoin sítím zcela vyloučena.
Takže jaký teda další projekty :o?
niekoho kto chcel pomoct .... skodaO pomoc se žádá takhle?
"umíme to lépe zabezpečit" [...] Pokud nám někdo chce ukázat, "že to fakt neumíme zabezpečit", tak ať to zkusí prolomit.
Mě se taky zdá, že to zdejší diskutéři vzali těžce z ostra. Řekl bych tak nějak opět typické čecháčkovství a nepřejícnost.. Kurňa takový malý národ a tolik nevraživosti mezi sebou. Fakt smutné :( Měli bychom se IMHO více navzájem podporovat a mít se rádi.
Jinak koncept tohoto projektu se mi líbí, držím palce!
Řekl bych tak nějak opět typické čecháčkovství a nepřejícnost..Nevím, co bych klukům měl nepřát. Jediný, co jim nepřeju, je, aby šli ve stopách směnárny, která byla kompromitována a je na ni podaný trestní oznámení za škodu v řádu pokud se nepletu několika milionů Kč. Kluci to sice "umí zabezpečit líp", ale mě to nějak moc nepřesvědčilo...
Kurňa takový malý národ a tolik nevraživosti mezi sebou. Fakt smutné :( Měli bychom se IMHO více navzájem podporovat a mít se rádi.Jestli bysme se měli něco naučit, tak nekoukat furt kde sehnat miliony bez práce a normálně slušně poctivě makat, pracovat na sobě, inovovat, ale neplíst z hovna bič. Vždycky mě bavily ty projekty ve Dni D, to byly věci... Oproti nim to maj kluci promyšlený solidně, to zas jo :)
Jinak koncept tohoto projektu se mi líbí, držím palce!Projekt je naopak imho celkem pomýlenej, protože stejnýho efektu by imho mohl dosáhnout daleko snáz a jistěji. Měl jsem napsanej odstavec, proč si to myslím, ale smazal jsem ho, ať vám teda nekazím tu sluníčkovou atmosféru ve které se máme všichni rádi :) Nechme se překvapit, třeba su škarohlíd :)
typické čecháčkovství
Takze ked som hovoril o agresivite a urazani diskuterov, teba som nemyslel ...Tak to se mi ulevilo :) Každopádně já se stavím i za Kapitána a spíš mám pocit, jestli nejsu zbytečně vyměklej ;)
Podle mého názoru to chtěli normálně spustit a až po tom, co se do toho lidi opřeli, operativně řekli, že to je jen demo.To ni nikdo vyvracet nemůže, když si to na ten web sami napsali, jak psal Kuba :)
To si myslím a nikdo mi to nevyvrátí.
Ježiš těchto článků od rádoby odborníku s hroznou expertností jak je cena tvořena a že když tohle tak to spadne atd. už vyšly stovky. Už od doby kdy měl BTC cenu jednotek dolarů. Čtěte něco pořádného a ne staré páprdy, kteří nechápou a jsou akorát nasraní, že už na tom ty stonásobky nevydělali jako ostatní. Nastupuje nová doba se kterou nepočítají žádné ekonomické teorie z minulého století.
Podle mého názoru to chtěli normálně spustit a až po tom, co se do toho lidi opřeli, operativně řekli, že to je jen demo.To ni nikdo vyvracet nemůže, když si to na ten web sami napsali, jak psal Kuba :)
To si myslím a nikdo mi to nevyvrátí.
Vůbec je to zajímavá čeládka tydlencti bitcoinisti. Jsa schvácen virózou (tou normální, ne-prezidentskou) jsem si dneska pro pobavení procházel https://plus.google.com/communities/101830162176122913201 a občas jsou to dobrý pecky.
- hackli nám pool a ukradli 250LTC.
- to bude Windowsem
- to chce pořádný firewall
- ted na tom pracujeme. Bude https
Úplnej Facebook tyjo, akorát místo šatečků a duckfaců grafárny :)
Přijde buran na úřad a řve: "Dejte mi dávky, dejte mi dávky, nepracuju, ale dejte mi dávky!"Tak moment, bavíme se tady o nějakých buranech a nemakačenkách? O tom nic nevím! A to škatulkování si strč za klobouk.
Existují dva druhy lidí - lidé, jako já, kteří řeknou, nemakal jsi, chlastáš, házíš to do automatů, kradeš, tak si chcípni, když přijdeš slušně a poprosíš, dostaneš koště, zameteš ulici, za práci peníze a za ně si nakup jídlo.
Druhý typ lidí, třeba jako vy dva, řeknou, je to chudák, vždyť má hlad, no, on se zlepší, je jedno že znásilňuje, je jedno, že přepadá lidi s nožem, no, mějme se všichni rádi, peace!
Když sem někdo přijde, řekne něco ve smyslu: HELE, TAKHLE TO BUDE, ZA PÁR DNÍ TO POUŠTÍME A JE TO FAKT ÚBER BEZPEČNÝ a kdo nás chce přesvědčit o opaku, ať se ukáže, tak je to jen varianta na toho burana, co chce prachy bez práce.4?
Kdyby tam měli třeba menší chybku, tak řeknu "Chtělo by to ještě to a to..", ale když tam mají nejméně čtyři džuzny jako krávu, o bezpečnosti toho vědí asi tolik, kolik já vím o namlouvacích rituálech Sviňuch, nemám důvod brát jakýkoliv ohled.
Podle mého názoru to chtěli normálně spustit a až po tom, co se do toho lidi opřeli, operativně řekli, že to je jen demo.Zajímavá myšlenka, možné to je..
To si myslím a nikdo mi to nevyvrátí.
A apriori tvrdit, že když sem přijde slušně a slušně o něco požádá, že je odmítnut, tak na tom je kapku něco fašistického, myslím, že jste fašisti, protože právě fašisti řekli "No, když to zkusíme slušně, tak to nepůjde.", tyhle teorie masovejch vrahů, kdy se všichni domnívali, že přijít slušně je chyba a raději to řešili vražděním, jsou myslím hodně špatné!
Jestli bysme se měli něco naučit, tak nekoukat furt kde sehnat miliony bez práce a normálně slušně poctivě makat, pracovat na sobě, inovovat, ale neplíst z hovna bič. Vždycky mě bavily ty projekty ve Dni D, to byly věci... Oproti nim to maj kluci promyšlený solidně, to zas jo :)Kdo by nechtěl miliony bez práce :) Ale štěstí si za to imho nekoupíš..
Projekt je naopak imho celkem pomýlenej, protože stejnýho efektu by imho mohl dosáhnout daleko snáz a jistěji. Měl jsem napsanej odstavec, proč si to myslím, ale smazal jsem ho, ať vám teda nekazím tu sluníčkovou atmosféru ve které se máme všichni rádi :) Nechme se překvapit, třeba su škarohlíd :)To je škoda, to jsem fakt nechtěl, prosím napište ten odstavec :) Anebo to implementujte a dělejte konkurenci.. Nechcete píchnout? :)
že vynaložili jisté úsilí atd..
že vynaložili jisté úsilí atd..
Myslím to smrtelně vážně, přidej se k nim a pomoz jim, přesně jak říkal Lenin, NEKECAT A MAKAT!
To, že tu budeš kydat na ostatní v diskuzi hnůj, TO TĚM KLUKŮM NEPOMŮŽE, místo na mně se soustřeď na jejich problémy.
Co já, mě je to té jejich píšoviny hovno, já nejsem součástí problému.
Takže buď STFU nebo - a to by bylo MNOHEM LEPŠÍ - jim skutečně pomoz ;)
Podle mého názoru to chtěli normálně spustit a až po tom, co se do toho lidi opřeli, operativně řekli, že to je jen demo.
To si myslím a nikdo mi to nevyvrátí.
Kromě toho, že dokumentace by potřebovala přeformátovat a vůbec hodně vylepšit a ovládání je šílené (proč sakra ve výpisu příkazů nejde zadat nový?), tak pokud kupuji za částku, na kterou nemám, příkaz se stejně zadá a navíc ani nezablokuje žádné peníze
Ahoj,
s těma děckama to je složitý, na jedné straně jsem rád, že někdo něco dělá, na druhé straně je tak hrozně málo lidí, kteří opravdu něco dělají, že ti pak bývají nesmyslně namyšlení. V zásadě by se měl o něco snažit každý, ale asi bych měl rezignovat a říct, nejsou schopní lidé, co se dá dělat, budeme tleskat i těm neschopným, co se snaží, protože nikdo jiný nic nedělá. Z těchhle kluků mám pocit, že to mohli udělat opravdu dobře, ale je to problém, když se rozhlédnou a vidí okolo líný tlamy, který sice pořád melou něco o tom, že něco udělají a přitom nic nedělají, pak získávají pocit nadřazenosti, což jim bohužel ubližuje. Tyhle kluci, kdyby okolo sebe měli jiné, kteří by se snažili, tak i tihle by si na té práci dali daleko víc záležet. Je to hlubší společenský problém. Klukům fandím, že se snaží a na druhou stranu jsem jim chtěl trochu srazit hřebínek, protože těch vykradenejch burz už tu bylo...., ne je odradit.
Omlouvam, se ale opravdu jsem cekal vic. Nechal jste se zrejme strhnout do OT a zbytecne urazeni lidi. Ok, bral bych argument "neverim tomu", "trh ma velkou volatilitu", "myslim ze jde o bublinu", cokoliv. Ale "zajímavá čeládka tydlencti bitcoinisti" :( Za bitcoinisty si dosadte cokoliv jineho "linuxaci, programatori, ucitele" kazda skupina by se dala podobnou "argumentaci" shodit.Ježkovanoho, to už tady nemá vůbec nikdo ani smysl pro humor?! "Čeládka" je urážka? Jsem snad Rychlonožka, abych jim říkal "plantážníci"?!
Chtel jsem reagovat uz na vas post s obrazkem - taky OT. Na nem je vtipne ze, kdyz si doprostred dosadite jakoukoliv jinou menu, treba CZK, porad bude platit.No tak to dost těžko. Ledaže bysme chtěli tvrdit, že lidi z ČNB nic neví o ekonomii a o mněnách, což by bylo poněkud pubertální tvrzení od kohokoli z nás.
To neni argumentace, zase jen "diskuze" ala novinky, kde nikdo vlastne nediskutuje.Svoje konkrétní výhrady proti Bitcoinu jsem na rootu psal už mockrát, je mi už trapný je opakovat. Je toho plný web. Stačí zadat do Googlu něco ve smyslu "economists bitcoin". Bitcoin totiž kritizují i ti, kdo by ho měli nejvíc ocenit - ekonomové Rakouské školy.
Jinak samozrejme kdyz znam rizika a neuplatnuju jen buy & hold na takovymhle volatilnim trhu se da hodne vydelat...Bohužel přesně naopak. Krátkodobé spekulace mají dlouhodobou úspěšnost stejnou jako čistě náhodné operace. Tj. nižší než hold. Zvlášť u BTC, který je úplně čistou spekulací a nemá žádné podkladové aktivum, podle kterého by se dalo něco aspoň trochu racionálně odhadovat.
Ja som uplny amater ale vidim toto:
Blind SQL injection was found at: "http://www.bitstock.cz/register", using HTTP method POST. The injectable parameter is: "captcha".
Blind SQL injection was found at: "http://www.bitstock.cz/command", using HTTP method GET. The injectable parameter is: "amount".
Blind SQL injection was found at: "http://www.bitstock.cz/command", using HTTP method GET. The injectable parameter is: "price".
Dobrý den, teší mě, že to někdo zkouší. Chtěl bych se zeptat, z jakého programu je to výstup?http://w3af.org/
Chtěl bych se zeptat, z jakého programu je to výstup?
B) Ondřeji, pokud ti rozhodím sandál pomocí 10-ti příkazů napsaných z konzole, tak nadávání mi do scriptkiddies a pindy o tom, že k žádnému narušení bezpečnosti nedošlo, nejen že mě neublíží, ale v očích celé řady lidí ztrácíš hodnotu, maskuješ svojí blbost, aroganci a trapně naduté ego. Totiž jen idiot kouše do ruky, která ho krmí - navíc když o to sám požádá, požádal jsi, aby se ti na to
Chtěl bych se zeptat, z jakého programu je to výstup?
Nevím možná by stačilo použít google? Nápovědu jste dostal opravdu velkou. Já to našel okamžitě co to bylo za program :)
no asi neumím hledat, protože jsem hlášku napsal do google a vypadlo na mě spoustu diskuzí na různá tématahttps://www.google.cz/search?q=%22Blind+SQL+injection+was+found+at%3A%22
Kdybych jsem sem přišel s klasickou prosbou o pomoci, tak budu zaignorovaný.Nesmysl. Když někdo přijde s normální prosbou o radu, chová se přiměřeně své situaci a slušně všem poděkuje, dostane většinou ochotně spoustu rad.
Ahoj kluci,
po hacku Carlosovy směnárny a po tom, co na něj bylo podáno trestní oznámení, jsme si řekli, že bitcoinové směnárenství je supr oblast podnikání a je to díra na trhu a že do toho půjdeme. Stavíme na tom, že bezpečnost musí být v této branži absolutní priorita a tak jsme se pokusili navrhnout takové schéma, které by principielně nebylo možné napadnout stejným způsobem jako tomu bylo u Carlose.
Jsme programátoři, kteří za sebou nějaké webové projekty mají, ale s něčím takhle citlivým jsme nikdy nedělali. Pokusili jsme se ze sebe v tomhle ohledu vymáčknout maximum, ale nějakou odbornou supervizi od někoho, kdo má v téhle oblasti pořádné zkušenosti, nutně potřebujeme.
Takže hledáme pro externí konzultaci a ideálně i dlouhodobější spolupráci někoho, kdo:
1. má s bezpečností prokazatelně zkušenosti (práce v bezpečnosti v bankovnictví, PaySecu apod.)
2. má praxi v penetračním testování (požadujeme znalost metodik, certifikování kvality apod.)
3. případně by nám mohl pomoct i s analýzou rizik a nastavení bezpečnostních politik
4. chápe a akceptuje, že jsme startup a nejsme schopní mu platit miliony.
Odměna formou podílu na firmě je možná. V současnosti jsme ve fázi jednání se dvěma investory, kteří o náš projekt mají vážný zájem, takže podle nás je to dobrá příležitost.
Pro představu, o co jde a v jaké fázi se projekt nachází, demo zde: bflmps.cz
Předem díky všem, kteří nám pomůžou našeho člověka najít. Už jsme pracně zjistili, že tohle hledání není jednoduché a každá rada, kde správného člověka najít, má pro nás cenu zlata. Teda vlastně cenu bitcoinů ;) Takže za tip vedoucí k podpisu smlouvy nabízíme jako malé poděkování účet na našem systému, přednabitý 0.1BTC hned po ostrém spuštění :)
Dobře tedy, každopádně, zatím největší problém jste skutečně objevil vy a to zapomenutý výpis chybové hlášky, což jsem následně fixnul. Jestli to byl nejhorší problém v celém systému, tak to vypadá dobře ;)Právě naopak, vypadá to hodně špatně. Je z toho totiž zřejmé, že místo „vytvoříme maximálně bezpečné prostředí, kolem kterého pak postavíme potřebnou funkcionalitu“ jste postupovali přesně opačně – „uděláme tam spoustu funkcí a pěkných tlačítek, a nakonec tam nějak přilepíme tu bezpečnost“. Takhle se dá postupovat u nějakého diskusního fóra nebo blogu, ale použít to pro systém, kde se mají točit nezanedbatelné peníze, to je cesta do pekel. Myslím, že přesně takhle postupovali autoři BIPS, Bidextreme.pl nebo Bitcash.cz, a víte, jak to dopadlo. Jediný bezpečnostní koncept, kterým jste se zřejmě zabývali, je to, že u vás žádné Bitcoiny nebudou uložené. To je dobrý nápad a dobrý začátek, ale nestačí to – pořád ještě je potřeba myslet na zabezpečení transakcí. Když to přirovnám k bance – nestačí zabezpečit, aby vám někdo nemohl ukrást peníze přímo z účtu, ale taky musíte zabezpečit, aby nikdo nemohl manipulovat s příkazy k úhradě a také aby se nikdo nedostal ani k výpisům z účtu (mimo transparentní účty je to považováno za citlivý údaj).
Jen bych vás přátelsky upozornil, že jste reagoval na ironii. Ta myšlenka pokračuje.Dobře tedy, každopádně, zatím největší problém jste skutečně objevil vy a to zapomenutý výpis chybové hlášky, což jsem následně fixnul. Jestli to byl nejhorší problém v celém systému, tak to vypadá dobře ;)Právě naopak, vypadá to hodně špatně. Je z toho totiž zřejmé, že místo „vytvoříme maximálně bezpečné prostředí, kolem kterého
... Samozřejmě bych byl blbej, kdybych si teď řekl, že je to ok, můžem to pustit. To spíš uznám, že tenhle způsob penetračního testování nebyl moc úspěšný.
Ano, zatím se ve vašem systému nepodařilo najít žádnou bezpečnostní díru – ovšem především proto, že to zatím nikdo vážně nezkoušel. A pokud váš systém opravdu umíte dobře zabezpečit, pak je záhadou, proč předvádíte tu spoustu začátečnických chyb: výpis SQL příkazů uživateli (už teď jste útočníkům prozradili, jak se jmenují některé tabulky a sloupce a jaký máte způsob pojmenování – pro SQL injection je to usnadnění práce); různé výmluvy typu teď je to jen demo nebo jen narychlo, to ještě doděláme; nedokážete si obhájit SSH na standardním portu; zřejmě vůbec nemáte definované bezpečnostní požadavky na provozní prostředí a na způsob nasazení aplikace (jinak byste podle nich postupovali už při nasazení dema – protože postupovat jinak by bylo porušením těch požadavků).Asi jsem se blbě vyjádřil, nebo přecenil diskutující. Samzořejmě jsem chtěl prolamovat aplikaci a ne provádět cílený útok na servery virtualmasteru, jakože nemáme ještě žádný stabilní server na kterým poběží ostrý provoz. Za to se omlouvám. Na produkčním serveru žádný SSH být nesmí a ideální by bylo, kdyby to byla nejaka DMZ (beztak tam bude nějaký LBL, v nejhorším případě proxy). Myslel jsem si, že to lidem dojde.
Asi jsem se blbě vyjádřil, nebo přecenil diskutující. Samzořejmě jsem chtěl prolamovat aplikaci a ne provádět cílený útok na servery virtualmasteru, jakože nemáme ještě žádný stabilní server na kterým poběží ostrý provoz. Za to se omlouvám. Na produkčním serveru žádný SSH být nesmí a ideální by bylo, kdyby to byla nejaka DMZ (beztak tam bude nějaký LBL, v nejhorším případě proxy). Myslel jsem si, že to lidem dojde.To je pořád dokola. I hostitelský systém a ISP jsou součástí bezpečnostního řešení, protože i přes ně může vést útok. Pokud se v tomto ohledu demo nasazení a produkční nasazení liší, musíte ty rozdíly přesně znát a je nepochopitelné, proč jste to do úvodního příspěvku nenapsal – vždyť to musela být v době nasazování dema jedna z nejdůležitějších věcí, kterou jste řešil. Navíc já jsme nepsal o hostitelském prostředí, ale o celkovém zabezpečení, což je vaše aplikace, systém, na kterém běží, hostitelský systém i sít ISP. Nemá smysl hodnotit jedno bez druhého.
Z toho usuzuju, že je fajn mít super extra zámek a ocelové dveře a mříž na dveřích, ale nesmím ve sklepě nechat otevřené okno a v celý barák volně průchozí. Podle mého názoru zabezpečení se nesmí soustředit jen na dveře.To je jedna z věcí, kterou jsem chtěl napsat v předchozím komentáři, ale pak jsem to vynechal. Když tohle víte, proč pořád dokola píšete, že chcete hodnotit jen jeden aspekt vaší aplikace, a všechno ostatní bagatelizujete a omlouváte tím, že je to jen demo?
Otevřený SSH, banner v apachovi... neříkám, že by se to nemělo podceňovat, ale na druhou stranu, je to až to poslední a zároveň to nejjednoduší, co jde zabezpečit.Ve vašem pojetí zabezpečení, které jsem já nazval „bezpečnost tam nakonec nějak přilepíme“. Podle mne to žádné zabezpečení není, protože skutečné zabezpečení se nedá dělat tak, že vezmete hotový systém a ten na závěr zabezpečíte. To pak totiž nemůže skončit jinak, než mříží na dveřích a otevřeným oknem ve sklepě.
Ve vašem pojetí zabezpečení, které jsem já nazval „bezpečnost tam nakonec nějak přilepíme“. Podle mne to žádné zabezpečení není, protože skutečné zabezpečení se nedá dělat tak, že vezmete hotový systém a ten na závěr zabezpečíte. To pak totiž nemůže skončit jinak, než mříží na dveřích a otevřeným oknem ve sklepě.
- chybí třešničkaOMG!
Tedy já nevím, ale na to demo se podle mne nedá ani přihlásit, tedy myslím demonstračně.Už to jde.
Možná by taky nebylo od věci, pokud by to šlo já jsem na tohle proti ostatním LAMA, pokud by nefungovalo Ctrl+U.
- chybí třešničkaOMG!
Komu není rady, tomu není pomoci.
"umíme to lépe zabezpečit".
Měl tam prý i nějaký iptables pravidla proti ddosům.
- chybí třešnička
přeceňuješ nastavení produkčního prostředí. Carlos to dělal taky.
Já myslím, že zbylí pánové, pokud chtějí ještě někdy něco rozjet, by měli panu Novákovi naprosto zakázat komunikaci s veřejností.
wget -S -O - -q http://www.root.cz > /dev/null
HTTP/1.1 200 OK
Date: Fri, 29 Nov 2013 09:36:40 GMT
Server: Apache/2.2.16 (Debian) PHP/5.4.19-1~dotdeb.0
X-Powered-By: Nette Framework
Po té třešničce jsem definitivně pochopil, že je to marné – ale vy se ještě překonáváte. Nedáte rovnou do placu heslo roota, když je to nastavení produkčního prostředí tak nepodstatné?- chybí třešničkaOMG!
Komu není rady, tomu není pomoci.
Přesně tak, přeceňuješ nastavení produkčního prostředí. Carlos to dělal taky. dopadl přesně tak jak dopadl. Proto nemohu tyhle rady poslechnout, sorry.
Sice je to marné, ale – pokud je produkční prostředí zabezpečeno dobře a samotná aplikace špatně, není problém v přeceňování zabezpečení produkčního prostředí, ale v podceňování zabezpečení aplikace. Nasazením děravé aplikace do děravého prostředí se bezpečnostní problémy opravdu nevyřeší.
Kód: [Vybrat]wget -S -O - -q http://www.root.cz > /dev/null
HTTP/1.1 200 OK
Date: Fri, 29 Nov 2013 09:36:40 GMT
Server: Apache/2.2.16 (Debian) PHP/5.4.19-1~dotdeb.0
X-Powered-By: Nette Framework
Ostré obchodování spouštíme již za pár dní.
A jak si pomůžu, když nasadím děravou aplikaci do produkčně zabezpečeného prostředí? Je to naprosto k ničemu! První je zabezpečit aplikaci a o to tu celou dobu jde. Investovat prostředky do zabezpečení prostředí, když mám v aplikaci díry jak vrata (ačkoliv to já nevím, to se právě snažím zjistit) je vyhazování peněz oknemZde pravdepodobne lezi Vas nejvetsi omyl - nechapete, ze bezpecny musi byt cely system "bitstock.cz". Ne pouze nektere jeho casti, ale VSECHNY. Vas pristup, kdy chcete abychom Vam testovali POUZE jednu jedinou komponentu systemu "bitstock.cz" je znacne naivni, protoze bud to znamena, ze si neuvedomujete jak komplexni je problematika bezpecnosti na internetu, nebo si to uvedomujete, ale zapomnel jste nam v prvnim prispevku rici, ze netestujete zabezpeceni celeho systemu "bitstock.cz", ale pouze weboveho UI.
Informace o brzkém spuštění již z jejich webu zmizela, takže nějaký výsledek tato diskuze asi přecejen měla :)A doprcic! Vsichni black hat hackeri, kteri se uz tetelili na snadny ulovek nas ted budou nenavidet a pujdou po nas!
A doprcic! Vsichni black hat hackeri, kteri se uz tetelili na snadny ulovek nas ted budou nenavidet a pujdou po nas!
No stalo nam to za to?!
Je možné, že i ostatní směnárny bitcoinů jsou na tom stejně, jen tu nikdo neřešil jejich bezpečnost.
precist "Kod dveri: 1234", dvere jsou sice pancerove a zamrizovane, ale panty drzi pouze v drevenem ramu a mrize jsou prisroubovaneProč ten kód nepoužijete, když ho tam vidíte?
Vidite prosim tu absurtidu? Rozumite ted tomu, ze Vam lide reknou, ze nejenze zjevne nerozumite bezpecnosti, ale jeste po nich chcete zcela nesmyslne testovat jedny konkretni dvere v dome, ve kterem nakonec nebudou.
Pokud Vam ani toto nedava smysl, prosim napiste mi to. Zatim totiz stale trochu doufam, ze pochopite co se Vam zde snazime sdelit (prestoze nekdy znacne nehezkym zpusobem). Pokud mi ale napisete, ze ani toto Vam smysl nedava, alespon budu moci v klidu ignorovat tuto debatu, protoze nepovede nikam.
To má samozřejmě pravdu.. teoreticky. Ale dejme tomu, že port SSH změnit nejde (politika poskytovatele) a zatím tam potřebujete mít přístup. Hesla si samozřejmě na veřejné SSH nedám.
Tyhle typy ochran bývají nejhorší.Tak ja ted nevim. Prisel jste poprosit o radu, nebo nas presvedcovat o tom, ze tomu rozumite lip nez my?
Co dál mi poradíte?.Mate tam poradnej firewall? Urcite tam dejte iptables, ty jsou daleko bezpecnejsi nez PF. Taky by to urcite chtelo fail2ban. Potom taky urcite zverejnete zdrojak, abyste predesli security by obscurity. Uplne vyborna vychytavka je taky zavest dvojfaktorovou autentizaci a jeden z faktoru (idealne heslo) zverejnit a pak sledovat, kdo se tam prihlasi a toho zabanovat podle IP.
To má samozřejmě pravdu.. teoreticky. Ale dejme tomu, že port SSH změnit nejde (politika poskytovatele) a zatím tam potřebujete mít přístup. Hesla si samozřejmě na veřejné SSH nedám.
Já se snad vojebnu. Mistře "bezpečáku", i na svém domácím routeru (a řadě dalších) mám SSH zabezpečeno tak, že přístup je povolen pouze z whitelistu IP adres. A pro případ, že je třeba přistupovat z předem neznámých IP, tak k tomu mi slouží VPN zabezpečená zaheslovaným certifikátem plus ověřením už. jména a hesla přes RADIUS. To vše předtím, než se vůbec dostanu k samotnému přihlašování klíčem přes SSH. Vy jste fakt sebevrazi, kdo vás ta to najal? :o ::)
To má samozřejmě pravdu.. teoreticky. Ale dejme tomu, že port SSH změnit nejde (politika poskytovatele) a zatím tam potřebujete mít přístup. Hesla si samozřejmě na veřejné SSH nedám.
Já se snad vojebnu. Mistře "bezpečáku", i na svém domácím routeru (a řadě dalších) mám SSH zabezpečeno tak, že přístup je povolen pouze z whitelistu IP adres. A pro případ, že je třeba přistupovat z předem neznámých IP, tak k tomu mi slouží VPN zabezpečená zaheslovaným certifikátem plus ověřením už. jména a hesla přes RADIUS. To vše předtím, než se vůbec dostanu k samotnému přihlašování klíčem přes SSH. Vy jste fakt sebevrazi, kdo vás ta to najal? :o ::)
A jak máte zabezpečenou tu VPN? Ta má přece taky někde otevřený port?
A jak máte zabezpečenou tu VPN? Ta má přece taky někde otevřený port?
Proč ten kód nepoužijete, když ho tam vidíte?Prosím vás, hlavně nikdy nedělejte na zabezpečení něčeho fyzického. Pokud byste trval na tom, že bezpečnostní díru lze prokázat jedině tak, že se někomu opravdu podaří zastřelit strážného, mohli by to odnést nevinní lidé.
Chtěl jsem přeskočit věci, na které mám vlastní názorTyhle typy ochran bývají nejhorší.Tak ja ted nevim. Prisel jste poprosit o radu, nebo nas presvedcovat o tom, ze tomu rozumite lip nez my?
V celku je mi jasné, že firewall v produkci musí být. Firewall mám i na svém domácím počítači, takže to jsem to považoval za samozřejmostCo dál mi poradíte?.Mate tam poradnej firewall? Urcite tam dejte iptables, ty jsou daleko bezpecnejsi nez PF.
Taky by to urcite chtelo fail2ban. PotomS tím moc nesouhlasím. To je dobrý nástroj na generování DDoS útoků, takže asi ne.
taky urcite zverejnete zdrojak, abyste predesli security by obscurity. Uplne vyborna vychytavka je taky zavest dvojfaktorovou autentizaci a jeden z faktoru (idealne heslo) zverejnit a pak sledovat, kdo se tam prihlasi a toho zabanovat podle IP.To jsem chtěl, a vysmáli jste se mi :)
Jo a planujete honeypot? Ted nemyslim jako infrastrukturu, o te se samozrejme nebudeme bavit, to je jenom tresnicka. Ale dal bych tam honeypot aplikacni. Idealne integrovanej primo do te SQL databaze.
No a pak uz jenom ty infrastrukturni zalezitosti - server dat do DMZ, sifrovat disky, protoze to bude v racku, do kteryho muze kdokoli. no a taky urcite nezapomenout na disaster recovery - takze databazi replikovat nekam offsite. Coz bude problem, protoze server je v DMZ, ale da se to obejit VPNkou. S hardwarovymi tokeny samozrejme, bezpecnost je priorita.
Proč ten kód nepoužijete, když ho tam vidíte?Prosím vás, hlavně nikdy nedělejte na zabezpečení něčeho fyzického. Pokud byste trval na tom, že bezpečnostní díru lze prokázat jedině tak, že se někomu opravdu podaří zastřelit strážného, mohli by to odnést nevinní lidé.
Šifrovaná partition ... no... je to trochu problém, protože server musí mít klíč. Někdo prostě musí mít klíč. A když útočník v serverovně sebere celý počítač, pak stačí, aby ho na bootoval a klíč nějakou analýzou signálů vytáhl.
Šifrovaná partition ... no... je to trochu problém, protože server musí mít klíč. Někdo prostě musí mít klíč. A když útočník v serverovně sebere celý počítač, pak stačí, aby ho na bootoval a klíč nějakou analýzou signálů vytáhl.
Co to, prosím? Jak nabootoval? Bez klíče to prostě NEnabootuje. Přirozeně, že ten klíč NENÍ v tom serveru zasunutý, že. Já fakt nevím, tady fakt nemá smysl ztrácet čas. ::)
A co ti brání ukrást to i s tím klíčem zasunutým?
Přirozeně, že ten klíč NENÍ v tom serveru zasunutý, že.
Šifrovaná partition ... no... je to trochu problém, protože server musí mít klíč. Někdo prostě musí mít klíč. A když útočník v serverovně sebere celý počítač, pak stačí, aby ho na bootoval a klíč nějakou analýzou signálů vytáhl.
Co to, prosím? Jak nabootoval? Bez klíče to prostě NEnabootuje. Přirozeně, že ten klíč NENÍ v tom serveru zasunutý, že. Já fakt nevím, tady fakt nemá smysl ztrácet čas. ::)
No to je šou todleto. Samo litr, pokud tě někdo majzne po hlavě zrovna když tam ten klíč budeš dávat, je to v pytli.
A co ti brání ukrást to i s tím klíčem zasunutým?
Proto jsem třeba naprosto zásadně proti escrow bitcoinů. Když někdo zjistí, kolik je tam bitcoinů, tak to ukradne i údržba serverovny, příležitost dělá zloděje
A co ti brání ukrást to i s tím klíčem zasunutým?
NTV!!!!Přirozeně, že ten klíč NENÍ v tom serveru zasunutý, že.
P.S. Pro další debilní dotaz typu "a to jako když to spadne, tak tam kvůli tomu pojedu a mezitím přijdeme o peníze?!" předem odpovídám: ANO, mistře Nováku, to zvednete zadel a pojedete. Nicméně mezitím služba dál poběží z jiného stroje v clusteru, takže nikdo nic nepozná.
No to je šou todleto. Samo litr, pokud tě někdo majzne po hlavě zrovna když tam ten klíč budeš dávat, je to v pytli.
V celku je mi jasné, že firewall v produkci musí být. Firewall mám i na svém domácím počítači, takže to jsem to považoval za samozřejmostNo jasne, ale tady nejde o koncovy firewall. Hlavne to chce zamerit se na forward pravidla. To je u serveru nejdulezitejsi. A prave proto jsou lepsi iptables, protoze tam je forward samostatny chain. Urcite nezapomente zahazovat invalid packety! To je z hlediska bezpecnosti serveru zasadni a hodne lidi na to zapomina.
Uplne vyborna vychytavka je taky zavest dvojfaktorovou autentizaci a jeden z faktoru (idealne heslo) zverejnit a pak sledovat, kdo se tam prihlasi a toho zabanovat podle IP.To jsem chtěl, a vysmáli jste se mi :)
Určitě jeden honeypot tam už je. Myslel jsem si, že ho třeba někdo objeví. Je tam něco jako možnost přidat si peníze na virtuální účet po čemž dotyčný dostane pěkného banánka :)Jo, to je fajn, ale chce to fakt na urovni SQL. Banan je naprd, chce to trigger, kterej mu pak predhodi nejakou falesnou view. Ale se stejnym pristupovym heslem, jinak by mu vypadla session.
Šifrovaná partition ... no... je to trochu problém, protože server musí mít klíč. Někdo prostě musí mít klíč. A když útočník v serverovně sebere celý počítač, pak stačí, aby ho na bootoval a klíč nějakou analýzou signálů vytáhl.Jasne. To se resi tak, ze se tam nekde skryte do toho chasis da neviditelne generator bileho sumu. Pak ty signaly nezanalyzuje i kdyby se na hlavu postavil. Pohledej tyhle vecicky na Deal Extream, neni to zas tak drahy.
Replikace je dobrá na zálohu,ale útoku nezabrání, nicméně souhlas.No to se prave pak kombinuje s tim honeypotem - puvodni stroj nechas bezet, nechas utocnika rejdit nad puvodni databazi a on vubec netusi, ze site uz davno jede nekde uplne jinde z repliky. Akorat je tam teda ten problem s DMZ, no. Ale tak kdyz o tom vite, tak neco vymyslite. Mne se nejvic libi reseni takovy, ze se to cely postavi nad GFS2, cimzpadem vlastne ty dva stroje bezi nad jednim blokovym zarizenim, takze pak je daleko jednodussi udelat to odstrihnuti repliky od honeypotu, protoze je tam vlastne sdilenej filesystem.
Útočník může zjistit, kde má VPNka server a provést útok na něj, a když bude úspěšný, memusí to být na tom původním serveru ani znát.To nee! Na to se prave pouzije to GFS - kdyz je vlastne jakoby virtualni spolecnej filesystem, tak se na nem da otevrit normalni unixovej socket a VPNka pak bezi pres nej. Takze zadnej otevrenej port tam pak neni.
No to je šou todleto. Samo litr, pokud tě někdo majzne po hlavě zrovna když tam ten klíč budeš dávat, je to v pytli.
Občas by bylo dobré před tím majznutím po hlavě ještě zauvažovat, zda ten klíč k funkčnosti nevyžaduje PIN/heslo. ;)
Určitě jeden honeypot tam už je. Myslel jsem si, že ho třeba někdo objeví. Je tam něco jako možnost přidat si peníze na virtuální účet po čemž dotyčný dostane pěkného banánka :)
Takže nakonec svěříte ochranu serveru jednomu člověku do ruky. Super bezpečnost pane bezpečáku!
Šifrovaná partition ... no... je to trochu problém, protože server musí mít klíč. Někdo prostě musí mít klíč. A když útočník v serverovně sebere celý počítač, pak stačí, aby ho na bootoval a klíč nějakou analýzou signálů vytáhl.Ano. Problem to je, proto se musi resit, zejmena pokud planujete mit server umisteny ve verejnem hostingu. Nesifrovana partition je pak naprosta nutnost. MUSITE pocitat s nejhorsim. Jde o PENIZE.
Nesifrovana partition je pak naprosta nutnost. MUSITE pocitat s nejhorsim. Jde o PENIZE.Ehm. Chtel jsem napsat "Sifrovana partition je pak naprosta nutnost".
No jasne, ale tady nejde o koncovy firewall. Hlavne to chce zamerit se na forward pravidla. To je u serveru nejdulezitejsi. A prave proto jsou lepsi iptables, protoze tam je forward samostatny chain. Urcite nezapomente zahazovat invalid packety! To je z hlediska bezpecnosti serveru zasadni a hodne lidi na to zapomina.
To patřilo k tomu open-sourceTo jsem chtěl, a vysmáli jste se mi :)O zverejneni jednoho faktoru zatim nepadlo slovo. To urcite udelejte! Ale nesmite nastavit heslo na 1234, to by bylo moc napadny.
Tady si nejsem jist. SQL je podle mě zranitelnější, než vlastni skript. do MySQL se dostanu přes SQL injection snázeji. Ale trigger by ano.. určitě šel. Ono to funguje tak, že ten člověk tam vidí, že má víc peněz než měl a všechny statistiky funguji, může si vypsat příkaz... ale nic se mu nezobchoduje. Nevzniknou žádné závazky.Určitě jeden honeypot tam už je. Myslel jsem si, že ho třeba někdo objeví. Je tam něco jako možnost přidat si peníze na virtuální účet po čemž dotyčný dostane pěkného banánka :)Jo, to je fajn, ale chce to fakt na urovni SQL. Banan je naprd, chce to trigger, kterej mu pak predhodi nejakou falesnou view. Ale se stejnym pristupovym heslem, jinak by mu vypadla session.
Replikace je dobrá na zálohu,ale útoku nezabrání, nicméně souhlas.No to se prave pak kombinuje s tim honeypotem - puvodni stroj nechas bezet, nechas utocnika rejdit nad puvodni databazi a on vubec netusi, ze site uz davno jede nekde uplne jinde z repliky. Akorat je tam teda ten problem s DMZ, no. Ale tak kdyz o tom vite, tak neco vymyslite. Mne se nejvic libi reseni takovy, ze se to cely postavi nad GFS2, cimzpadem vlastne ty dva stroje bezi nad jednim blokovym zarizenim, takze pak je daleko jednodussi udelat to odstrihnuti repliky od honeypotu, protoze je tam vlastne sdilenej filesystem.
Ehm. Chtel jsem napsat "Sifrovana partition je pak naprosta nutnost".
Tady si nejsem jist. SQL je podle mě zranitelnější, než vlastni skript. do MySQL se dostanu přes SQL injection snázeji. Ale trigger by ano.. určitě šel. Ono to funguje tak, že ten člověk tam vidí, že má víc peněz než měl a všechny statistiky funguji, může si vypsat příkaz... ale nic se mu nezobchoduje. Nevzniknou žádné závazky.
1)...
2)...
3)...
1) vsechny volani SQL by musely jit pres prepared statements. To je nutnost. A neexistuje zadny relevantni duvod proc prepared statements nepouzivat. To ze musite napsat o 2 radky navic neni zadny duvod. Vysledkem by bylo snizeni rizika SQL injection temer na nulu.
Víte co, vykašlete se na veškerou ochranu, nemá smysl. U nás je jakékoliv prolamování ochran trestnéTo mne pripomnelo vybornej vtip.
Komu není rady, tomu není pomoci. Jste zabejčenej a jen VY máte pravdu. Víte co? Opravdu, vykašlete se na to. Stále nám říkáte že jen VY máte pravdu a osttaní tomu nerozumí. Tak už tu diskuzi ukončete a když si tak strašně věříte spusťe to a uvidíte zda se to dá vykráct (pokud to nekdo bude delat).1)...
2)...
3)...
Ale tohle je všechno jasný. Neznáte princip opatrnosti? I když uděláte všechna opatření, je nutné předpokládat, že nebudou 100% úspěšná
Tady si nejsem jist. SQL je podle mě zranitelnější, než vlastni skript.Neni, protoze SQL neni Turingovsky uplny, takze utocnik to ma daleko tezsi. Navic kdyz se pres SQL injection dostanu do SQL, tak mam nabouraneho toho uzivatele, pod kterym bezi databaze. Kdyz se pak z databaze dostanu do shellu, tak uz pak mam prava toho uzivatele, pod kterym bezi shell.
No a nemůže se potom stát, že když jsou ty systémy propojené, že se může kompromitace rozšířit z jednoho na druhý?Muze. Proto jsou prave tak dulezita ta forward pravidla v iptables. Tohle prave plati i pro ten loadbalancer, tam je to uplne to samy. Dobre osefovanej forward chain je proste zaklad!
Co jsou reálné hrozby?Chybi ti tam spousta veci, treba tohle: poslu ti na server pres internet spoofovanej paket, kterej ti zpusobi na serveru ARP poisoning. Pomoci toho ti pak povrhnu falesnej DNS server a misto ze spravnyho blockchainu budes tahat data o probehnuvsim transakcich z myho podvrhnutyho serveru, kde bude oznacena jako probehnuvsi transakce, ktera ve skutecnosti neprobehla. Jasne, je tam jeste problem s certifikatama u ssl, ale to vyresim tak, ze tu falesnou domenu na falesnym DNS serveru budu mit podepsanou pomoci DNSSec.
U nás je jakékoliv prolamování ochran trestné, tak to postavte jen na obyčejném hesle, které mějte třeba v patičce na webu. Pak už jen podávejte trestné oznámení.
Chybi ti tam spousta veci, treba tohle: poslu ti na server pres internet spoofovanej paket, kterej ti zpusobi na serveru ARP poisoning. Pomoci toho ti pak povrhnu falesnej DNS server a misto ze spravnyho blockchainu budes tahat data o probehnuvsim transakcich z myho podvrhnutyho serveru, kde bude oznacena jako probehnuvsi transakce, ktera ve skutecnosti neprobehla. Jasne, je tam jeste problem s certifikatama u ssl, ale to vyresim tak, ze tu falesnou domenu na falesnym DNS serveru budu mit podepsanou pomoci DNSSec.
- v zásadě jen řeši obrovskou neschopnost programátorů ošetřit si apostrov
Přijde mi to dost nereálné. Máš k tomu nějaký materiály ohledně paketu, který způsobí ARP poisoning? Ten se snad dá dělat jen na lokální síti ne?No fajn, aspon na tohle ses chytl.
...
1) vsechny volani SQL by musely jit pres prepared statements. To je nutnost. A neexistuje zadny relevantni duvod proc prepared statements nepouzivat. To ze musite napsat o 2 radky navic neni zadny duvod. Vysledkem by bylo snizeni rizika SQL injection temer na nulu.
Osobní názor
- jsou pomalejší (každý ten příkaz znamená ping pong s mysql serverem tedy latency)
- v zásadě jen řeši obrovskou neschopnost programátorů ošetřit si apostrov (a mysql programátorů ten správný apostrof v tom textu najít)
Ale nemám s tím problém, používám vlastní API, které umí obojí.
prepared statements jsou pomalejší (každý ten příkaz znamená ping pong s mysql serverem tedy latency)Jaký ping-pong? Víte, co jsou prepared statements? Víte, jak komunikuje knihovna v PHP s MySQL serverem? Když máte dotaz s vloženými daty, ten se pošle na server, server se podívá do cache, zjistí, že tam dotaz ještě není. Rozparsuje ho, vytvoří exekuční plán, provede a vrátí výsledek. Při použití prepared statements se dotaz s balíčkem dat pošle na server, server se podívá do cache, vytáhne z ní už hotový exekuční plán pro daný příkaz, provede a vrátí výsledek. Síťová komunikace je pořád stejná, akorát pro opakované dotazy jste serveru ušetřil parsování dotazu a sestavování exekučního plánu.
prepared statements v zásadě jen řeši obrovskou neschopnost programátorů ošetřit si apostrov (a mysql programátorů ten správný apostrof v tom textu najít)Nikoli, prepared statements jsou už dávno základní režim, data vložená přímo do SQL příkazu je jen pomůcka určená pro rychlé testování a prototypování. Pokud si myslíte, že jediným problematickým znakem je apostrof, pak ta aplikace musí vypadat… Jinak tipnul bych si, že spousta SQL injection vznikne tak, že programátor si ošetří „apostrof“, ale pak se ukáže, že se ošetřuje dvakrát, tak jedno ošetření odstraní – jenže pro jinou větev programu bylo to odstraněné ošetření jediným ošetřením, a SQL injection je otevřené.
Co že to?prepared statements jsou pomalejší (každý ten příkaz znamená ping pong s mysql serverem tedy latency)
1) vsechny volani SQL by musely jit pres prepared statements. To je nutnost. A neexistuje zadny relevantni duvod proc prepared statements nepouzivat. To ze musite napsat o 2 radky navic neni zadny duvod. Vysledkem by bylo snizeni rizika SQL injection temer na nulu.
Osobní názor
- jsou pomalejší (každý ten příkaz znamená ping pong s mysql serverem tedy latency)
- v zásadě jen řeši obrovskou neschopnost programátorů ošetřit si apostrov (a mysql programátorů ten správný apostrof v tom textu najít)
Ale nemám s tím problém, používám vlastní API, které umí obojí.
Tak si tak vzpomínám na jednoho nejmenového procesora platebních karet. Taky u něj neleží žádné peníze...Takže nakonec svěříte ochranu serveru jednomu člověku do ruky. Super bezpečnost pane bezpečáku!
Jak jsem již napsal o příspěvek výše, ten klíč může chtít PIN/heslo. Dokonce, pokud z toho chcete mít extra vopruz s nočním vstáváním, tak každý může mít jen část toho PINu nebo hesla a můžete se tam sejít třeba ve třech a pak hodit švédskou trojku pod klimoškou.
Hele, Nováku. On to Rumajz vystih úplně přesně - tobě bych fakt nesvěřil ani tu žumpu. ::)
A to vy ten příkaz budete pouštět only once? To nemyslíte vážně, že ne?Co že to?prepared statements jsou pomalejší (každý ten příkaz znamená ping pong s mysql serverem tedy latency)
RTFM
Using a prepared statement is not always the most efficient way of executing a statement. A prepared statement executed only once causes more client-server round-trips than a non-prepared statement.
A to vy ten příkaz budete pouštět only once? To nemyslíte vážně, že ne?
A to vy ten příkaz budete pouštět only once? To nemyslíte vážně, že ne?
V PHP je většina příkazů pouštěna jednou za načtení stránky. Takže sekvence prepare, bind, execute, deallocate jsou 4 pingpongy
Dík, věděl jsem, že to nikam nevede :PDobře. Nepomohlo. Tak aspoň už máme všichni jasno, jak hluboko králičí nora vede.
Chápete že je tam také nějaký SQL server na který ten SQL příkaz rozhodně nepůjde (pokud jste byl při navrhování té databáze při smyslech) "only once"?
Tak si tak vzpomínám na jednoho nejmenového procesora platebních karet. Taky u něj neleží žádné peníze...
- serverovna vlastní, za fyzickou ostrahou
- dveře do servrovny: musí se sejít 2 ze 3
- klíč je uložený v HSM (a při pokusu o odmontování se zničí)
- pro boot se musí sejít 2 ze 3, jiní než ti od dveří
Mimochodem - (zcela základní) požadavky PCI/DSS máte doufám nastudované a implementované, že?
1) vsechny volani SQL by musely jit pres prepared statements. To je nutnost. A neexistuje zadny relevantni duvod proc prepared statements nepouzivat. To ze musite napsat o 2 radky navic neni zadny duvod. Vysledkem by bylo snizeni rizika SQL injection temer na nulu.
Osobní názor
- jsou pomalejší (každý ten příkaz znamená ping pong s mysql serverem tedy latency)
- v zásadě jen řeši obrovskou neschopnost programátorů ošetřit si apostrov (a mysql programátorů ten správný apostrof v tom textu najít)
Ale nemám s tím problém, používám vlastní API, které umí obojí.
Co že to?prepared statements jsou pomalejší (každý ten příkaz znamená ping pong s mysql serverem tedy latency)
RTFM
Using a prepared statement is not always the most efficient way of executing a statement. A prepared statement executed only once causes more client-server round-trips than a non-prepared statement.
...
...
Tolik urážek a nadávek, lol :) To je fakt vtipný tohle..
Vy snad za to budete nést odpovědnost, že se tak snažíte jim to potopit? Opravdu nechápu zdejší myšlenkové pochody..
Snazil jsem se k tomu pristupovat vecne, neurazet, atd... ale selhal jsem. Jinak bych asi musel rozmlatit klavesnici nebo monitor.
Tolik urážek a nadávek, lol :) To je fakt vtipný tohle..Já osobně jen nerad čtu, když se mladý nezkušený ucho dostane do průšvihu, jen kvůli své neznalosti a neschopnosti pochopit rizika, se kterými si zahrává. A nepřímo udělá škodu pár desítek milionů a pár let stráví u soudů. Protože bych se vůbec nedivil, kdyby se ti v budoucnu hackerem okradení soudili s provozovatelem burzy, že nebyla dostatečně zabezpečena. Já bych se se svojí bankou v takovém případě soudil.
Vy snad za to budete nést odpovědnost, že se tak snažíte jim to potopit? Opravdu nechápu zdejší myšlenkové pochody..
Jelikož jsem znechucen amatérizmem místního joudy (a carlose, který k tomu přišel jak slepý k houslím), spustím v brzké době vlastníMaily nechodí (aspon ne na 10-minute mail). To má být nějakej mail-hunting? :)
burzu. Tentokráte snad funkční s nějakým bezpečnostním standardem. http://bitx.cz/
Tiez by ma to zaujimalo. Takze mesiac prace , to bude asi tiez bezpecne...Jelikož jsem znechucen amatérizmem místního joudy (a carlose, který k tomu přišel jak slepý k houslím), spustím v brzké době vlastníMaily nechodí (aspon ne na 10-minute mail). To má být nějakej mail-hunting? :)
burzu. Tentokráte snad funkční s nějakým bezpečnostním standardem. http://bitx.cz/
Maily nechodí (aspon ne na 10-minute mail). To má být nějakej mail-hunting? :)
Tiez by ma to zaujimalo. Takze mesiac prace , to bude asi tiez bezpecne...
Takže když ty budeš programovat něco rok tak to bude bezpečnější než když to budu dělat měsíc? CRUDy jsou hotový, jestli vyrábíš nějakej portál roky, budiž, já si na tohle korporátní sračičkování nepotrpím. Naučil jsem se za dobu živnostničení prototypovat weby co nejefektivnějš, protože mi nikdo neplatí za čas. Ostatně koncept je postaven tak, že i když někde bude díra tak nikdo o peníze nepřijde - ale to mi věřit můžeš a nemusíš. Napíšu o tom víc časem...proto ty mailyAjajaj. Cervena vlajka. Achtung! Achtung! Alarm! Alarm! HhhuuuUUUU! HhhuuuUUUUU! Podezreni na dalsiho cloveka, co si mysli, ze system pro obchodovani s _PENEZI_ je "web", a schopnost "prototypovat weby co nejefektivnejs" nejak souvisi s kvalitou a bezpecnosti!!
Tam se někde snad píše, že má hned něco přijít? Až se to hejbne tak pošlu další informace. Ale nějak to tam dopíšu...radši...Já jsem to tak pochopil. Napiš tam radši "pokud chcete být informování o dalším dění..."
Ajajaj. Cervena vlajka. Achtung! Achtung! Alarm! Alarm! HhhuuuUUUU! HhhuuuUUUUU! Podezreni na dalsiho cloveka, co si mysli, ze system pro obchodovani s _PENEZI_ je "web", a schopnost "prototypovat weby co nejefektivnejs" nejak souvisi s kvalitou a bezpecnosti!!
Ajajaj. Cervena vlajka. Achtung! Achtung! Alarm! Alarm! HhhuuuUUUU! HhhuuuUUUUU! Podezreni na dalsiho cloveka, co si mysli, ze system pro obchodovani s _PENEZI_ je "web", a schopnost "prototypovat weby co nejefektivnejs" nejak souvisi s kvalitou a bezpecnosti!!
Tiez by ma to zaujimalo. Takze mesiac prace , to bude asi tiez bezpecne...
Takže když ty budeš programovat něco rok tak to bude bezpečnější než když to budu dělat měsíc? CRUDy jsou hotový, jestli vyrábíš nějakej portál roky, budiž, já si na tohle korporátní sračičkování nepotrpím. Naučil jsem se za dobu živnostničení prototypovat weby co nejefektivnějš, protože mi nikdo neplatí za čas. Ostatně koncept je postaven tak, že i když někde bude díra tak nikdo o peníze nepřijde - ale to mi věřit můžeš a nemusíš. Napíšu o tom víc časem...proto ty maily
Ale pokial nemas neake "eso v rukave"Já bych udělal jednu statickou stránku, na které by byly instrukce, jak burzovní příkazy zadávat papírovou poštou. Tu byste valili bulvy, jak by to bylo bezpečný!
A hotovo. Vie este niekto o bezpecnejsiom rieseni? :D :D :DAle pokial nemas neake "eso v rukave"Já bych udělal jednu statickou stránku, na které by byly instrukce, jak burzovní příkazy zadávat papírovou poštou. Tu byste valili bulvy, jak by to bylo bezpečný!
A hotovo. Vie este niekto o bezpecnejsiom rieseni? :D :D :DJeště jsem zapomněl dodat, že port 443 by byl chráněněj port-knocking sekvencí, kterou bych znal jenom já. Fraud-rate 0%.
ROFL :))Naštěstí nikam jsi nepronikl: Ten odkaz vypadal takto.Vyzrazení vnitřní struktury dat není narušení bezpečnosti? U takhle citlivé věci?
[...] To sice není nic moc, ale k narušení bezpečnostni nedošlo...
Jestli jsi nám chtěl demonstrovat, že o bezpečnosti vůbec nic nevíte, tak se ti to podařilo :)))
a pak vůbec zvážit, zda MySQL je vhodná databáze pro takovýhle případ...a jestli PHP je vhodný jazyk pro takový případ ;)
Prelozeno: pokud jeden SQL prikaz pouziji POUZE, A PRESNE JENOM JEDNOU, tak POUZE TEHDY je non-prepared rychlejsi. Uz pokud ten prikaz pouziji 2x, prepared statements vedou na cele care.
A protoze jste totalni amater a neumite anglicky - "pouzit vickrat" znamena pouzit vickrat prepared statement s LIBOVOLNYMI PARAMETRY.
Nesouhlasim s citaci nahore - pri opakovanych dotazech nemusi prepared statements vest na cele care, dokonce muzou prohrat na cele care, zalezi na hodne vecech. Databaze si zpravidla dela plan SQL dotazu pri vytvareni prepared statementu, je-li volba planu zasadnim zpusobem zavisla na parametrech, muze DB udelat plan spatnej a pak dotazy trvaji dlouho - casto se to deje, napriklad pri nerovnomernem rozlozeni hodnot na indexovanem sloupci.Podle toho, jak jsem rychle prolétl popis kešování MySQL, kešuje dotazy i s hodnotami. Což podle mne odbourává jednu docela zásadní výhodu prepared statements, na druhou stranu, výše uvedený problém pro MySQL neplatí. Druhá věc je, že výše uvedená věc je docela speciální případ a nemá smysl kvůli tomu měnit zpracování všech SQL příkazů. Pokud nastane, je potřeba ho ošetřit v tom jednom případě. Ono asi stejně bude nutné přidat v takovém případě další podmínku nebo něco takového, protože s uvedeným problémem se rozumně nevyrovná ani aplikace. Pokud se v jednom pohledu uživateli běžně vrací deset záznamů, a najednou se mu jich tam vrátí milion, co s nimi bude dělat, bude po jednom je procházet?
napsat "SELECT * FROM table WHERE x = ".(int)$x mi prijde uplne OK a nikoho bych za to nekamenovalAle k čemu je dobré to takhle zapisovat, má to nějakou výhodu? Já vidím hlavně nevýhody. Nesmíte nikde zapomenout na to přetypování; řetězce musíte řešit jinak; jakmile ten příkaz bude delší, bude to nepřehledné; SQL dotaz se sestavuje až při prvním použití, takže prakticky nemůžete udělat statickou kontrolu dotazů...
Myslim, ze dost vela ludi tu ukazalo, ako bezpecnost nerobit. A nemyslim tym autora povodneho prispevku, ale aj roznych mudrlantov. Poprve, ziadne "bezpecnostne poziadavky" neexistuju. Existuju biznis poziadavky a biznis ciele. Toto je jedna zo zakladnych veci. Druha vec je, ze bezpecnost sa nerobi podla ziadnych "industry best practices". Robia sa konkretne opatrenia, aby podporovali tie biznis ciele. Koniec skolenia. Konkretne priklady:
1. Na kieho certa by mal niekto nasadzovat zalozny server pre vysoku dostupnost, pokial business owner povie, ze 1 dnovy vypadok je pre neho OK a zasadne neohrozuje jeho ciele (on tom rozhoduje business owner, nie niekto zvonku)
2. Na kieho certa bude niekto niekam strkat alebo pripajat HSM, pokial je cena takychto opatreni vyssia ako cena chranenych assetov. Ak viem, ze dam za 1 HSM napr. 11.000 EUR (pri vysokej dostupnosti x 2), tak naozaj zvazim, ci mi hrozi takyto fraud. Ci si radsej nenecham 22.000 EUR na ucte a ked ta situacia nastane, tak z nich kompenzujem skodu a ked nenastane, prepijem ich.
3. Na kieho certa budem odomykat miestost a bootovat server K ludmi z N, pokial to, ze to spravuje 1 admin neprekracuje moj risk apetit
A tak dalej.
Povodnemu prispievatelovi ste dali uzasne skolenie ako by mal komunikovat. Pani, ja si neviem predstavit, ze by ste niekde robili konzultantov (napr. bezpecnostnych) profesionalne a nechali sa vytocit takymi drobnostami ako to, ze vas adresat nepocuva alebo mu nieco nedopina.
Pytal sa vas, co si myslite o jeho biznis modeli, podmienkach sluzby, na pravne rady a pod? Nepytal. Ak si o tom chcete pokecat, zalozte si na to thread. Chcel aby ste mu pomohli z testovanim a ukazali konkretne zranitelnosti. Ked o to nemate zaujem, nerobte to a nematurujte nad tym, "aki su ludia vychcani a chcu nieco zadarmo".
Druha vec je, ze bezpecnost sa nerobi podla ziadnych "industry best practices". Robia sa konkretne opatrenia, aby podporovali tie biznis ciele.Tím jsi neřekl nic jiného než že konkrétní technické řešení musí vycházet z analýzy rizik. Těžko říct, proti čemu tím protestuješ, nezaznamenal jsem, že by tady někdo psal něco jiného.
Povodnemu prispievatelovi ste dali uzasne skolenie ako by mal komunikovat. Pani, ja si neviem predstavit, ze by ste niekde robili konzultantov (napr. bezpecnostnych) profesionalne a nechali sa vytocit takymi drobnostami ako to, ze vas adresat nepocuva alebo mu nieco nedopina.
Diskusia je plna odporucani bez nadvaznosti na biznis ciel s tym, ze "takto sa to robi", "takto to ma byt", niektore z nich kanon na vrabce.Pokud se jedná o věci typu SQL injection, vykecání struktury databáze apod., tak si neumím představit scénář, ve kterém by byznys pořadavky tohle technické řešení neimplikovaly.
Samozrejme, ze bola. Tak sa v tom nerypte a pozrite sa na to ako na cisto technicku zalezitost. Poslite zranitelnost, nastroj a postup ako ste ju nasli a mozne dosledky (technicke).Moc nechápu, jak můžeš na jedná straně zdůrazňovat, že technické řešení musí vycházet z analýzy rizik, potažmo businessu a na druhé straně chtít, abysme posílali tipy na izolované technické problémy.
Moc nechápu, jak můžeš na jedná straně zdůrazňovat, že technické řešení musí vycházet z analýzy rizik, potažmo businessu a na druhé straně chtít, abysme posílali tipy na izolované technické problémy.Vysvetlenie je jednoduche. On vas neziadal o technicke riesenie, ani o komplexnu analyzu rizik, ani o nic podobne. Chcel vediet zranitelnosti konkretnej stranky. Odpovedou je jednoduchy, prehladny vypis zranitelnosti. Ostatne je nad ramec. (Dalej sa nevyjadrujem).
On vas neziadal o technicke riesenie, ani o komplexnu analyzu rizik, ani o nic podobne. Chcel vediet zranitelnosti konkretnej stranky.
Odpovedou je jednoduchy, prehladny vypis zranitelnosti.Plus pár tisíc na účet.
Mojou odpovedou bol vypis z programu na testovanie zranitelnosti, ktory sa da dalej preverit a neskor odporucanie na konretnu firmu, ktora mu spravi za prijatelne peniaze profesionalny penetracny test.On vas neziadal o technicke riesenie, ani o komplexnu analyzu rizik, ani o nic podobne. Chcel vediet zranitelnosti konkretnej stranky.
Jaká je tedy tvá odpověď na jeho dotaz?
Ked ta niekto poprosi o pomoc zadarmo, bud mu ju das alebo nie. Moznost 3 je nezmysel. Potom sa na to radsej vykasli.Odpovedou je jednoduchy, prehladny vypis zranitelnosti.Plus pár tisíc na účet.
Když po někom chci něco zadarmo, nemůžu se divit, že dostanu něco jinýho než jsem si představoval. Že dostanu pár dobře míněných rad a pár lidí se mi vysměje, to je imho ještě hodně dobrá varianta.
Ked ta niekto poprosi o pomoc zadarmo, bud mu ju das alebo nie. Moznost 3 je nezmysel. Potom sa na to radsej vykasli.Lidi občas dělají nesmyslné věci. A baví je to.
Jediná smysluplná rada v tomhle případě "Proboha, vyserte se na to, dokud je čas." Řešit detaily nemá smysl.
A kde se budou obchodovat v česku bitcoiny?Jak "v česku"? Jestli myslíš plnotučnou českou burzu, tak ta prostě nikdy dobře fungovat nemůže, protože jsme příliš malý trh. Pořádně nefunguje ani PX a to je opravdu hodně jiná liga než BTC. A BTC má mělký trh i na těch pár celosvětových burzách, takže fakt není o co stát.
A kde se budou obchodovat v česku bitcoiny? Co kdyby místo těch chytrých rad by jsi začal makat na nové burze, ať to je kde nakupovat.
http://www.mfcr.cz/cs/verejny-sektor/regulace/boj-proti-prani-penez-a-financovani-tero/novinky-fau/2013/digitalni-meny-14568No hezkypěkně! Tak už to začíná. Dík za info.
http://www.mfcr.cz/cs/verejny-sektor/regulace/boj-proti-prani-penez-a-financovani-tero/novinky-fau/2013/digitalni-meny-14568No hezkypěkně! Tak už to začíná. Dík za info.
A kde se budou obchodovat v česku bitcoiny? Co kdyby místo těch chytrých rad by jsi začal makat na nové burze, ať to je kde nakupovat.
Proč by se měly proboha kupovat zrovna v Česku? Jinak fakt nevím, proč bych měl na něčem makat. Pokud nebudu vědět, co s penězi, tak je radši začnu házet z okna s tím, že je třeba najde někdo potřebný. Nebo je prochlastám. Rozhodně je nehodlám investovat do aktuálně módního virtuálního nesmyslu, který se dnes prodává za 1000+ USD jen proto, že lidi jsou prostě magoři. A nechat se okrást na nějaké podobně "zabezpečené" burze, kterou studentík po večerech spatlal v PHP v garáži. Ta bublina samozřejmě splaskne, jako již mnohokrát předtím (viz např. dotcom, skleróza je úžasná věc, že...)
Vypadá to velmi zajímavě, dost vám fandím. Kritika si zde je, ovšem já patřím k těm, kteří chtějí obchodovat s bitcoiny a ne se jenom přetahovat kdo toho ví více o IT.Lidí, kteří chtějí obchodovat s vašimi bitcoiny, je víc. Ti myslím doufají v brzké spuštění tohoto projektu ještě mnohem víc než vy.
nechat programátora, aby prezentoval komerční produkt byla dost zásadní chyba, ale ještě větší chyba byla v následné panice zkoušet jeden přes druhého napravovat způsobené škody (přičemž každý říká něco jiného). A vůbec nejhorší chyba byla nechat ho tady vykecávat dál a ještě víc to rozmazávat. Tolik k té komunikaci.Úplně první chyba ve vztahu k veřejnosti bylo vůbec vystavovat takovéhle nedodělané demo, a ještě navíc na produkční adrese. Pokud chtěli využít příležitost, stačilo vystavit pěknou stránku s popisem, jak to celé bude fungovat a proč to bude bezpečné, s formulářem pro zadání e-mailu, na který se budou zasílat informace o dalším postupu služby. Přesně takhle to dnes startupy dělají, neutrhnou si ostudu hned na začátku a ještě získají e-maily lidí, kteří projektu fandí, kteří jsou ochotni jít na začátku do neodzkoušené služby, berou to tak vážně, že dokonce i zaregistrují svůj e-mail -- a pokud se s nimi bude dobře pracovat, získají dojem, že se podílejí na něčem zajímavém, a budou službu zadarmo dál propagovat.
a dneska by se smáli :)
Někdo ty Bitcoiny chce koupit (už jenom kvůli tomu, že se za to dají sehnat normální věci
Plus500? Lol... Tak prvně říkáš že PX pořádně nefunguje (netuším kde jsi toto zjistil)Pohledem na nabídku titulů? Na počet IPOs za celou historii? Počet a stav společností v prime marketu? (ORCO, ECM!!!, AAA!!!)
a potom doporučuješ obchodovat přes CFD brokera?Jestli jsi z toho příspěvku získal pocit, že jsem něco doporučoval, tak to se omlouvám, že jsem to napsal nesrozumitelně.
Bitcash fungovat do jisté doby dobřeMěřeno čím?
To že píšeš že to není možné neznamená, že se to těm lidem nemůže podařit...Samozřejmě.
... a usoudí, že soutěž dál pokračuje a pustí se do hackování ostrého serveru.
které porostou nahoruZajímavé by to začalo být, kdyby rostly dolů :)
. (kdyby se tato diskuze odehrála v září tak bys říkal že je nesmyslná cena 200$ / BTC, ovšem někteří lidi by ten Bitcoin i přes tvé rady koupili a dneska by se smáli :) ).No a kdyby se tahle diskuse odehrála před dvěma lety a tys propagoval, že poroste zlato, tak bysme se ti dneska smáli my. A kdyby se odehrála v roce 46 a tys nás upozorňoval, že čeští komunisté nejsou bolševici a znárodňování nemají v programu, tak bysme se pak moc nesmáli. A když dva lidi budou odlišně tipovat, jestli na ruletě padne sudá nebo lichá, tak pokud nepadne nula, jeden z nich se bude druhému smát.
Někdo ty Bitcoiny chce koupit (už jenom kvůli tomu, že se za to dají sehnat normální věci a nemusím používát SEPA platbu někde na druhou stranu Evropy).Já třeba věci z druhé strany planety kupuju přes PayPal. Už jenom kvůli tomu, že nemusím zoufale čekat, až někdo v česku založí BTC burzu, abych nemusel peníze na burzu posílat pomocí SEPA platby.
takže za mě 100 OK ;DJežkovyvoči, 100 CONTINUE radši ne! Raději 200 OK! :)
2 Kapr
Máš právo hrát ruletu, v pořádku schvaluji ti to, třeba vyhraješ.
Díky, říká se tomu odborně investováníTo mi připomnělo http://youtu.be/eeTuaffZSNs?t=5m45s :))
a spolu s akciemi a forexem je to celkem výnosná činnost (ovšem spojená s riziky).Hm. A viděl jsi někdy statistiky úspěšnosti?
In the group of regular traders it was found that 41% of the regular traders made money during the year.http://www.travismorien.com/FAQ/trading/futradersuccess.htm
jj, da se vydelat. Jenom musis umet vystoupit z letadla vcas && nechat tam vsechny ostatni. To o sobe samozrejme mysli kazdy, zvlast my v programatorske komunite. Programovani je snad jedine povolani kde vsichni jsou nadprumerni.https://plus.google.com/104390337936034651266/posts/Dec6hTA1z9q
a následně ostatním radit obchodování na Plus500. To už snad je lepší ty peníze rozdat bezdomovcům na Hlavním Nádraží, pro dobrý pocit. :DMátydobroto. To je fakt tak těžký porozumět psanému textu.
Pokud chceš BTC nakupovat čistě z důvodu spekulace na růst kurzu, potom nebylo by pro tebe dostačující Plus500?
To už snad je lepší ty peníze rozdat bezdomovcům na Hlavním NádražíMůžu poprosit o nějaké konkrétní argumenty, co je s touhle společností v nepořádku? Nikdy jsem jejich služby nepoužíval, takže nevím a pointa srovnání mi nějak nedocvakává.
...
...
Mimochodem, je hezké tady lidem, co se snaží něco dělat nadávat do nýmandů a studentíků co něco zbastlí v PHPku a následně ostatním radit obchodování na Plus500. To už snad je lepší ty peníze rozdat bezdomovcům na Hlavním Nádraží, pro dobrý pocit. :D
VRTĚTI PSEM!!!
Juro,Uloha znie "odskusajte konkretny web a nahlaste bezpecnostne jeho problemy". Odpoved je napr. strucny zoznam zranitelnosti. Kolko prispevkov od mojho posledneho postu upozornilo na konkretnu zranitelnost? Vsetko su offtopici.
samozrejme, prvni a posledni slovo ma business. Mira tolerance rizika je ciste business rozhodnuti, ale jako kazde jine rozhodnuti musis mit dostatecne podklady aby ses rozhodl spravne. Pokud do toho jdes s presvedcenim, ze je to 100% bezpecne, aniz bys o bezpecnosti cokoliv vedel tak necinis informovane rozhodnuti, ale spekulujes a stavet business na takto chatrnych zakladech je velka chyba.
C.
http://forum.lupa.cz/index.php?topic=3757
Juro,Uloha znie "odskusajte konkretny web a nahlaste bezpecnostne jeho problemy". Odpoved je napr. strucny zoznam zranitelnosti. Kolko prispevkov od mojho posledneho postu upozornilo na konkretnu zranitelnost? Vsetko su offtopici.
samozrejme, prvni a posledni slovo ma business. Mira tolerance rizika je ciste business rozhodnuti, ale jako kazde jine rozhodnuti musis mit dostatecne podklady aby ses rozhodl spravne. Pokud do toho jdes s presvedcenim, ze je to 100% bezpecne, aniz bys o bezpecnosti cokoliv vedel tak necinis informovane rozhodnuti, ale spekulujes a stavet business na takto chatrnych zakladech je velka chyba.
C.
Vsetko su offtopici.Jémine, ty seš dneska poprvé na internetu nebo jak?
Díky, říká se tomu odborně investováníTo mi připomnělo http://youtu.be/eeTuaffZSNs?t=5m45s :))a spolu s akciemi a forexem je to celkem výnosná činnost (ovšem spojená s riziky).Hm. A viděl jsi někdy statistiky úspěšnosti?
Např.:In the group of regular traders it was found that 41% of the regular traders made money during the year.http://www.travismorien.com/FAQ/trading/futradersuccess.htm
Když jsi tak znalý ve statistikách a oháníš se tady čísly, zjistil jsi někde jak dopadají tradeři, kteří obchodují na CFD?Ne. Rád se nechám poučit.
Všiml sis někdy spreadu mezi btc-e a plus500? To je teda rozdíl co... Kdyby tady byla burza, tak v nejnavštětovanější hodiny budou mít skoro vyrovanný spread jako to bylo i na bitcash... Není důvod prčo by tomu tak nemělo být. Takže proč zbytečně platit 18 USD za spread když si to můžu koupit na normální burze kde ten spread je 5 USD?Tak teď jsem se v tom teda úplně ztratil. Chvíli mluvíš o burze a pak osměnárně. Srovnáváš spready a tvrdíš, že spread je tvoje ztráta. To teda asi pořád mluvíš o směnárně? Čemu říkáš "spread burzy" a proč to srovnáváš se spreadem směnárny?
Ušetřím tak 13 USD na každém obchodě, to je celkem důvod proč to dělat přes směnárnu než přes společnost, která dělá protistranu a tedy její zisk = tvoje ztráta...
Velmi dobrý systém podnikání "pokud se vám daří, nechceme vás, pokud ztracíte peníze pojďte k nám, dáme vám další bonusy".Taky nerozumím. Myslel jsem, že Plus500 je založeno na klasickém principu: sázím na to, že cena BTC je teď X a v nějakém bodě B v budoucnosti bude Y. Za tuhle sázku zaplatím Z. Můj zisk je (Y-X)-Z a je splatný v okamžik B.
Důvodů proč je lepší mít v česku něco přes co se dá kupovat nebo prodávat BTC je hodně...No zatím jsem teda nepochopil ani jeden...
Ok. Beru na vědomí, že žádné konkrétní informace, proč je spekulování přes Plus500 jako rozdávání peněz bezdomovcům, se nedozvím.Kolega se Ti možná jen snažil jemně naznačit (obrázek řekne více než 1000 slov), že Tvé příspěvky mají někdy blíže OT trollování, než k řešení bezpečnostních otázek webové aplikace autora threadu.
No co se dá dělat, nějak se s tím naučím žít.
Kolega se Ti možná jen snažil jemně naznačit (obrázek řekne více než 1000 slov), že Tvé příspěvky mají někdy blíže OT trollování, než k řešení bezpečnostních otázek webové aplikace autora threadu.Tak sorry no, bitcoinisti tady plačou, že nutně potřebujou českou burzu a když se zeptám, co se jim nelíbí na jediné (?) firmě, která má v česku pobočku, a deriváty na BTC nabízí, tak je to trollování? Tak tomu teda nerozumím.
Problém je, že když obchodujete na plus500, tak ty Bitcoiny ve skutečnosti nemáte. Na plus500 se pouze spekuluje.Tak to je jasny, protoze to je derivat. Proto jsem psal, ze jestli chce nekdo JENOM spekulovat, tak tohle by mohlo byt dobry reseni. Obzvlast pro min technicky zdatny lidi, pac se tim eliminuje nutnost instalace softwaru, riziko kradeze atd. atd.
Ano, ale pokud si chcete koupit bitcoiny za koruny nebo je třeba těžíte a chcete je tím pádem prodat, tak vám je plus k ničemu.Samozřejmě. O takových lidech jsem ani nemluvil. A jsem docela pevně přesvědčenej, že ve skutečnosti je jich málo. Proto mě taky zajímalo, co proti derivátům lidi mají. Popř. co mají proti téhle konkrétní firmě.
Samozřejmě. O takových lidech jsem ani nemluvil. A jsem docela pevně přesvědčenej, že ve skutečnosti je jich málo. Proto mě taky zajímalo, co proti derivátům lidi mají. Popř. co mají proti téhle konkrétní firmě.
Mimochodem i když chci BTC opravdu koupit nebo prodat, pořád k tomu nepotřebuju místní burzu. Pořád stačí jenom místní broker - což kombinuje výhody obojího - přístup na velký a (relativně) likvidní trh a zároveň možnost rychlých levných místních plateb.
Mám takový neutuchající pocit, že tohle je hlavní slabina businessplánu bitstock.cz - že chtějí implementovat složitou věc, kterou nejenže nikdo ve skutečnosti nepotřebuje, je zbytečně složitá a co je nejhorší - nebude fungovat.
Protože to je technicky zajímavé - mít vlastní burzu. Taky by mě lákalo něco takového naprogramovat.Kvůli tomu, že mě to technicky rajcuje ještě nemusím riskovat kriminál. Není problém to nasimulovat. Nebo třeba nějak gamifikovat, aby tam nešlo o prachy... Ekonomických simulátorů je spousta.
Teď jsem se díval na nějakou polskou burzu, tam jsou obraty tak malé, že to ani nevytvoří svíčkové grafy, není z čeho.Tak jistě, to dá rozum, akorát tady jsem kvůli tomu za debila, když to řeknu narovinu jak to je... A to má Polsko skoro 4x víc obyvatel...
Lepší by bylo, kdyby byli brokerem, menší obchody si zobchodovali doma na vlastním pískovišti a jen ty větší by kvůli likviditě posílali na burzu.To by nešlo. Protože broker posílá na burzu jenom příkazy a u většiny z nich neví, za jakou cenu se skutečně zobchodují a u ostatních ví jenom to, že buď jo nebo ne. Takže pokud by se je snažil zobchodovat na místním míň likvidním trhu, dostal by odlišné výsledky.
To by nešlo. Protože broker posílá na burzu jenom příkazy a u většiny z nich neví, za jakou cenu se skutečně zobchodují a u ostatních ví jenom to, že buď jo nebo ne. Takže pokud by se je snažil zobchodovat na místním míň likvidním trhu, dostal by odlišné výsledky.Většina českých brokerů to tak dělá, použije ceny z burzy a klientovi prodá vlastní aktivum nebo peníze. Klient obchoduje uvnitř brokerova sandboxu a ani o tom neví, je mu to celkem jedno, svoje dostane za požadovanou cenu. Ale to jde jenom na likvidních trzích, ne na bitcoinu.
Lokálně by to mohl zobchodovat jenom formou klasické aukce - a na to nepotřebuju brokera, to můžu rovnou prodávat na Aukru :)
Většina českých brokerů to tak dělá, použije ceny z burzy a klientovi prodá vlastní aktivum nebo peníze. Klient obchoduje uvnitř brokerova sandboxu a ani o tom neví, je mu to celkem jedno, svoje dostane za požadovanou cenu. Ale to jde jenom na likvidních trzích, ne na bitcoinu.No dobře, ale pořád musí mít z té burzy nějaké extra přesné realtime informace, na základě kterých to provedou, ne? Jinak si neumím představit, jak by to mohlo fungovat a nebýt de-facto podvod. (Nehádám se, že to tak není, ale fakt by mě zajímaly detaily)
No dobře, ale pořád musí mít z té burzy nějaké extra přesné realtime informace, na základě kterých to provedou, ne? Jinak si neumím představit, jak by to mohlo fungovat a nebýt de-facto podvod. (Nehádám se, že to tak není, ale fakt by mě zajímaly detaily)Klient zadá počet a cenu a oni to okamžitě spočítají a rozhodnou, jestli pro ně není poplatkově výhodnější to okamžitě zrealizovat ze svých zásob. Když ne, tak to pošlou na burzu. Není to nic proti zákonu. Brokerů je několik typů, ty typy mají písmenkové zkratky a podle toho si je klienti vybírají. Přímý přístup na burzu, přístup přes jiného brokera nebo sandbox. Tihle brokeři třeba ojebávají skalpovače, protože o ně nestojí, ale to je vzájemné. Normální člověk, co si kupuje třeba 100 akcií MS, tak tam zadá o cent vyšší cenu než je na trhu a broker mu to prodá ze svého a okamžitě.
Klient zadá počet a cenu a oni to okamžitě spočítají a rozhodnou, jestli pro ně není poplatkově výhodnější to okamžitě zrealizovat ze svých zásob.Aha. Takže jestli tomu dobře rozumím, dají mi stejnou cenu jako je nejepší na trhu (k tomu to potřebují realtime vědět - to je to, co jsem myslel) a vydělají na nějakých poplatcích.
Brokerů je několik typů, ty typy mají písmenkové zkratky a podle toho si je klienti vybírají.Můžeš některé z těch zkratek napsat? Nebo nějaký jiný klíčový slovo, ať si to můžu najít. Jak jsem říkal, jsem hodně konzervativní investor, takže tyhle lowlevel věci mě nikdy moc nezajímaly :)
Nejsme my národ nevděčný. Tunel Blanka a kdo ji zná a kdy viděl. Takhle tunel Pavel to by bylo správne jméno. Pokud se to potvrdi alespoň se ukáže fakticka bezpečnost Bitcoinu i to, že to ani zdaleka nejsou peníze v bance.
http://byznys.lidovky.cz/velka-internetova-loupez-za-800-milionu-stopa-vede-k-ceskemu-programatorovi-16e-/firmy-trhy.aspx?c=A131202_110252_firmy-trhy_mev
První stopy vedou do Česka k programátorovi Tomáši J. Ten před časem na českých i zahraničních technických fórech hledal rady právě ohledně provozu skrytého on-line tržiště s využitím bitcoinů.
Zdroj: http://byznys.lidovky.cz/velka-internetova-loupez-za-800-milionu-stopa-vede-k-ceskemu-programatorovi-16e-/firmy-trhy.aspx?c=A131202_110252_firmy-trhy_mev
Dobrý den
Včera jsme spustili stránky SimpleCoin.cz Máme zájem o uživatelskou recenzi a zpětnou vazbu. Firmu provozuje české s.r.o. Údaje v podnikatelském rejstříku budou aktuální do dvou týdnů.
K Bitstock mám jednoduchou otázku: Kdo bude https://www.bitstock.cz provozovat ? Anonymní společnost ? Zhulenci z allhiseeds, kteří zrovna přezouvají bitcash ? Neboli když mi tam ukradnou všechny peníze vysmejě se mi carlos do ksichtu jako v Listopadu ? Kdo svěří své peníze něčemu co vzniklo pomocí dobrovolníků ?
Dále je otázka, proč administrace maže zcela identické fórum jako je toto, které jsem se pokusil založit a dvakrát prostě zmizelo, dokud jej Petr Krčmář nesmazal jako spam - musel jsem založit fórum o mizejících fórech.
SPRÁVCOVÁ: Druhý jelito. Viděl, že pro něco jdu. On neřekne, paní správcová, když už tam do toho lijáku jdete, vemte mi taky nìco k jídlu a k pití. ... Ne, to on si počká, až já obsloužím jedno jelito, pak mu to začne v tom jeho mozku, co v mozku, v tom prejtu, co tam má, mu to začne vrtat, a pak teprve přijde na to, že chce taky uzenku s chlebem. Pivo, to ještě ne, to byste toho po něm chtěli moc. To ho napadne, až když bude jíst. ... Dobře. Dobře. Hodinku si ještě blbněte. Ale v deset zhasnu a pude se spát!
Sróčko, které se zabývá pronájmem nemovitostí bude ve směnárenství asi tak důvěryhodné, jako bitstock.Co ti přijde nedůvěryhodné ná Kateryně Krypak, Sevastopol, Gogolja 3/9, Ukrajina? :)
Včera jsme spustili stránky SimpleCoin.cz
Co ti přijde nedůvěryhodné ná Kateryně Krypak, Sevastopol, Gogolja 3/9, Ukrajina? :)
Co ti přijde nedůvěryhodné ná Kateryně Krypak, Sevastopol, Gogolja 3/9, Ukrajina? :)
(http://i.imgur.com/qNzqiI3.png)
Hlavně když to obrdžíte (http://www.simplecoin.cz/faq/). Další banda negramotných blbů netknutých IT bezpečností.Překlepy vem čert, spíš mě baví tohle:
Pokud nám totiž peníze nedorazí do 4 hodin od objednávky, nemůžeme garantovat původní kurz.Kurz 4 hodiny za burzou, to zní jako příležitost! :))
Reklamace
Vzhledem k povaze digitálních peněz a neexistence autority, která by mohla zvrátit provedenou transakci s digitální měnou, transakci nelze reklamovat po jejím odeslání.
Po nynějším propaduTen propad už je skoro zkorigovaný - ovšem objemy se opět limitně blíží nule, takže za chvíli nejspíš bude další :)
(http://i.imgur.com/qNzqiI3.png)
Hlavně když to obrdžíte (http://www.simplecoin.cz/faq/). Další banda negramotných blbů netknutých IT bezpečností.
FYI - bitstock už nedělám, teď už to dělá někdo jiný. Odešel jsem na vlastní žádost... a koukám, že jsem udělal správně.Výborné rozhodnutí!
FYI - bitstock už nedělám, teď už to dělá někdo jiný. Odešel jsem na vlastní žádost... a koukám, že jsem udělal správně. To bude ještě legrace...A coze tak? Snad sa nenechas odradit jednym forom.
Mám v plánu počkat na další vlnu krachů.
FYI - bitstock už nedělám, teď už to dělá někdo jiný. Odešel jsem na vlastní žádost... a koukám, že jsem udělal správně. To bude ještě legrace...A nebyl jsi odejít? Kdybys takhle heroicky bránil produkty naší firmy, tak by se nerozmýšlel a měl bys padáka hned. ;D
Mám v plánu počkat na další vlnu krachů.
FYI - bitstock už nedělám, teď už to dělá někdo jiný. Odešel jsem na vlastní žádost... a koukám, že jsem udělal správně. To bude ještě legrace...A nebyl jsi odejít? Kdybys takhle heroicky bránil produkty naší firmy, tak by se nerozmýšlel a měl bys padáka hned. ;D
Mám v plánu počkat na další vlnu krachů.
A to měli samozřejmě pravdu ;D Proč třeba banka nevydá bankovnictví jako OpenSource?
Chtěl jsem psát nějaký komentář, ale jen se směju, to by nemělo vůbec cenu tohle to!
On snad někdo snil, že pude jen nahoru nebo zůstane na stejné hodnotě? Takhle žádná měna nefunguje naivko.No každopádně někdo snil o tom, že se za to bude nakupovat. Což asi nebude, když to během dvou hodin spadne o 20%...
No každopádně někdo snil o tom, že se za to bude nakupovat. Což asi nebude, když to během dvou hodin spadne o 20%...
No každopádně někdo snil o tom, že se za to bude nakupovat. Což asi nebude, když to během dvou hodin spadne o 20%...
Když nebude nakupovat, bude prodávat. Peníze se musí točit ;)
BTC je decentralizovaná měna a žádná vláda na světě ji nemůže zakázat!!!!
Cena BTC poroste, BTC je budoucnost ekonomik.
Nakupujte a prodávejte na nové, první 100% bezpečné burze zde: bandalameru.cz
BTC je decentralizovaná měna a žádná vláda na světě ji nemůže zakázat!!!!
Cena BTC poroste, BTC je budoucnost ekonomik.
Nakupujte a prodávejte na nové, první 100% bezpečné burze zde: bandalameru.cz
Oznámení je jasné, zakázat já nemůžeOznámení právě vůbec není jasné. Aspoň mně teda ne. Nechápu, jestli banky nemají BTC používat, protože to je riziko pro jejich stabilitu, nebo se vystavují riziku problémů se zákony proti praní šp. peněz.
Dle zákona žádná újma nenastala, protože co "neexistuje", respektive co neuznáváme, že existuje nemůže být v případě "odcizení" pokládáno trestný čin. :) Asi jako když tě někdo v nějaké MMO hře zabije, nebo sebere brnění :)Tak to se ovšem velmi mýlíš. Škoda je škoda. Když někomu z počítače smažeš Photoshop v ceně X, tak vůbec nezáleží na tom, že Photoshop "neexistuje" a je jenom ve formě nějakých nábojů na jakémsi kotouči.
Oznámení je jasné, zakázat já nemůže, ale když ti někdo ukradne 1000BTC, tak je to tvoje smůla. Dle zákona žádná újma nenastala, protože co "neexistuje", respektive co neuznáváme, že existuje nemůže být v případě "odcizení" pokládáno trestný čin. :) Asi jako když tě někdo v nějaké MMO hře zabije, nebo sebere brnění :)
"Ukradli všechno, Leonarde!
Úplně všechno."
"Co vzali?"
"Mé očarované zbraně,
moje brnění
zlotřilého gladiátora,
mou hůlku
neposkvrněné síly
a všechno mé zlato!"
"Ty jsi zavolal policii,
protože se ti někdo naboural
do účtu ve World of Warcraft?"
"Sebrali mi
i bitevního pštrosa!"
"Ach ne, Glenna ne!"
Oznámení právě vůbec není jasné. Aspoň mně teda ne. Nechápu, jestli banky nemají BTC používat, protože to je riziko pro jejich stabilitu, nebo se vystavují riziku problémů se zákony proti praní šp. peněz."Obchodování mezi jednotlivými investory je možné, protože riziko nesou plně jednotliví investoři." Co je na tom nejasného? Riziko nesou PLNĚ investoři.
Tak to se ovšem velmi mýlíš. Škoda je škoda. Když někomu z počítače smažeš Photoshop v ceně X, tak vůbec nezáleží na tom, že Photoshop "neexistuje" a je jenom ve formě nějakých nábojů na jakémsi kotouči.Škoda to je protože, můžeš dokázat, že si to koupil za peníze. Kdyby si ho od někoho dostal zdarma, tak ti žádná finanční újma nevznikla. Možná tomu, kdo ti to daroval, ale to je jenom dohad. Lidi by si už konečně měli uvědomit, že v rámci jakéhokoliv majetkového trestného činu se věci přepočítávají na peníze toho konkrétního státu. Když ti někde ukradne $100 není to v Čechách trestný čin, ale přestupek, protože škoda není dle aktuálního kurzu větší než 5000kč a tak to je se vším.
"Obchodování mezi jednotlivými investory je možné, protože riziko nesou plně jednotliví investoři." Co je na tom nejasného? Riziko nesou PLNĚ investoři.Mně ale není jasné, jaké riziko. Riziko, že na tom prodělají, že je stát zavře za praní šp. peněz, nebo že je zavřou a rozprodají jejich orgány?
Škoda to je protože, můžeš dokázat, že si to koupil za peníze. Kdyby si ho od někoho dostal zdarma, tak ti žádná finanční újma nevznikla.To je samozřejmě nesmysl. Když mi rodiče dají Lamborghini a někdo mi ho naboří, tak mi nic nezaplatí, protože jsem to dostal a tímpádem mi újma nevznikla?
Lidi by si už konečně měli uvědomit, že...když ví o právu kulový, neměli by se o něm silácky vyjadřovat.
Tak to se ovšem velmi mýlíš. Škoda je škoda. Když někomu z počítače smažeš Photoshop v ceně X, tak vůbec nezáleží na tom, že Photoshop "neexistuje" a je jenom ve formě nějakých nábojů na jakémsi kotouči.Nebo jinak. Je to stejné, jako když jeden drogový kartel okrade druhý o zásilku drog. Myslíš, že se tím policie bude zabývat jako trestným činem? I kdyby to jeden z nich oznámil. :) A v tomto případě nikde nemůže namítnout, že nevznikla škoda. Přesto mají prostě smůlu. Nikdo jim nepomůže.
Nebo jinak. Je to stejné, jako když jeden drogový kartel okrade druhý o zásilku drog. Myslíš, že se tím policie bude zabývat jako trestným činem? I kdyby to jeden z nich oznámil. :) A v tomto případě nikde nemůže namítnout, že nevznikla škoda. Přesto mají prostě smůlu. Nikdo jim nepomůže.Už to prosímtě radši nevylepšuj.
To co skutečně mohou politici považovat za problém je, že bitcoiny jsou decentralizované, tedy že se nedají zakázat tak, že se pro jistotu zavře provozovatel (něco se mu přišije, případně jednoho dne znenadání zmizí ze světa - konečně, stačí se podívat na tanečky kolem wikileaks).:)
Takže, i když je nějaká autorita zakáže, nezabrání uživatelům si bitcoiny dále točit. Musela by postavit celou technologii mimo zákon a primárně trestat uživatele té technologie. A ani to není jednoduché, protože se špatně hledají majitelé účtů, muselo by být i vlastnictví privátního klíče k peněžence trestné. Takže jediné co nakonec zbyde je to sledovat jako sdílení filmů na internetu a trestat exemplárně, což nepovede nikam.
...když ví o právu kulový, neměli by se o něm silácky vyjadřovat.Svatá ty prostato. Naivita některých lidí si přímo volá po využití nějakým podvodníkem. Koho někdy vykradli, tak ví, že policii primárně zajímá "hodnota" ukradených věcí a ne, jestli to jsou fungující hodiny po pradědečkovi staré 100 let, ke kterým má člověk citový vztah, který si cení na milión.
:)
Všechny podnikatelské subjekty jsou povinny vést účetnictví, které je pod kontrolou finančních úřadů. Pokud stát zakáže bitcoiny, tak si s něma firmy ani neškrtnou. Pak si za ně nic nekoupíte, pak si je ani nevyměníte za normální měnu. Nemůžete si s něma ani vytapetovat špajz nebo vytřít zadek, protože jsou jen virtuální.
...když ví o právu kulový, neměli by se o něm silácky vyjadřovat.Svatá ty prostato. Naivita některých lidí si přímo volá po využití nějakým podvodníkem. Koho někdy vykradli, tak ví, že policii primárně zajímá "hodnota" ukradených věcí a ne, jestli to jsou fungující hodiny po pradědečkovi staré 100 let, ke kterým má člověk citový vztah, který si cení na milión.
Pevne veríme v budúcnosť Bitcoinu, preto sme začali ako prví v Poľsku vyplácať mzdy v tejto mene.
Toto tvrdí na tomto odkaze poľská firma EL Passion
http://blog.elpassion.com/el-passion-pays-november-salaries-bitcoin/
Len na okraj pre neveriacich truhlíkov
To si bude muset policie upravit svůj pracovní postup, jinak bude mít problémy. http://finance.idnes.cz/noz-cena-zvlastni-obliby-0x3-/viteze.aspx?c=A131014_103146_viteze_zuk
Ale jdi... Firma může dál podnikat v Kč ale přijímat i BTC a navíc z toho nemusí platit daně a pokud v tom bude vyplácet i zaměstnance, tak ušetří na mzdových nákladech. Z hlediska účetnictví vedeného jen v Kč se holt některé poskytnuté služby zatají, nebo se udělají zdarma. U výrobků se napíše, že se ztratily, nebo odepsaly. Všechno tohle se dá, bude to na hraně zákona a stát bude umět tyto techniky potrestat jen exemplárně.:)
Všechny podnikatelské subjekty jsou povinny vést účetnictví, které je pod kontrolou finančních úřadů. Pokud stát zakáže bitcoiny, tak si s něma firmy ani neškrtnou. Pak si za ně nic nekoupíte, pak si je ani nevyměníte za normální měnu. Nemůžete si s něma ani vytapetovat špajz nebo vytřít zadek, protože jsou jen virtuální.
Asi tak.
Ctirade, opět ne zcela pravda. - Pokud pošlu peníze a nakoupím za ně bitcoiny, ta firma nemusí sídlit v ČR, EU, USA. Teoreticky nemusí mít sídlo nikde. Je poměrně dost lidí co jim nějaký živnostenský zákon a účetnictví neříká zhola nic.
Podle mne je v tuto chvíli bitcoin minimálně zboží, něco jako program nebo řekněme datová služba. Ovšem je to dost na hraně. Stálo by za to se zeptat provozovatelů, podle kterého zákona přesně a kterého paragrafu a odstavce tedy podnikají. Podle mne to není úplně jasné.
- Cituji ze SimpleCoin.cz !
Kde mám jistotu, že mi za mé peníze skutečně pošlete Bitcoiny?
Jsme česká firma a řídíme se Českým právním řádem. Naší strategií je nehromadit finanční prostředky ani Bitcoiny. Za peníze, které nám pošlete dostáváte Bitcoiny, které okamžitě posíláme do vaší peněženky.
Ještě k těm finančním úřadům. Ony budou daleko hůře chytat někoho jehož obchodem je notebook nebo server, připojení na net a kódy. To už se jim lépe nahání i stánkař s karavanem nebo někdo s kamennou prodejnou. - Navíc jak mi FÚ dokáže, že jsem měl nějaký zisk. Panu Martinu Romanovi také nikdo nedokázal kdy přesně byl spolumajitelem společnosti v Novém Mexiku a jaký tam měl zisk. ........... Na kódu na serveru kdesi cizině nejsou ani otisky prstů ani DNA. FÚ v ČR podle mne není schopen, je otázkou zda a kde vlastně smí, ani registrovat majetek některých podnikatelů v cizině.
Pane Novák, tohle není na hraně zákona ale daleko za hranou zákona. Cituji Vás : " Ale jdi... Firma může dál podnikat v Kč aleJde o to, že to neprokážete... Bitcoinová síť je v zásadě anonymní. Uvidíte tam, že Franta přes dva prostředníky převedl bitcoiny Lojzovi. Ale už nezjistíte, že ti prostředníci byli nějaké firmy, co jim za ten převod poskytly službu.
Pane Novák, tohle není na hraně zákona ale daleko za hranou zákona. Cituji Vás : " Ale jdi... Firma může dál podnikat v Kč aleJde o to, že to neprokážete... Bitcoinová síť je v zásadě anonymní. Uvidíte tam, že Franta přes dva prostředníky převedl bitcoiny Lojzovi. Ale už nezjistíte, že ti prostředníci byli nějaké firmy, co jim za ten převod poskytly službu.
Je to jako u té sousedské výpomoci. On mi poseká trávník a já mu za to nechám něco ze zabíjačky. A to i v příapdě, že jsem řezník na ŽL. Chtějte po něm, aby se z takového obchodu platily daně.
Pane Novák, tohle není na hraně zákona ale daleko za hranou zákona. Cituji Vás : " Ale jdi... Firma může dál podnikat v Kč aleJde o to, že to neprokážete... Bitcoinová síť je v zásadě anonymní. Uvidíte tam, že Franta přes dva prostředníky převedl bitcoiny Lojzovi. Ale už nezjistíte, že ti prostředníci byli nějaké firmy, co jim za ten převod poskytly službu.
Je to jako u té sousedské výpomoci. On mi poseká trávník a já mu za to nechám něco ze zabíjačky. A to i v příapdě, že jsem řezník na ŽL. Chtějte po něm, aby se z takového obchodu platily daně.
Kriminály jsou plné lidí s vaším názorem.
Kriminály jsou plné lidí s vaším názorem.
To jsou vesměs náhodné oběti :D Dneska fixluje účetnictví každý.... a hůř ... nepotřebuje k tomu bitcoiny.
Kriminály jsou plné lidí s vaším názorem.
To jsou vesměs náhodné oběti :D Dneska fixluje účetnictví každý.... a hůř ... nepotřebuje k tomu bitcoiny.
Kriminály jsou plné lidí s vaším názorem.
To jsou vesměs náhodné oběti :D Dneska fixluje účetnictví každý.... a hůř ... nepotřebuje k tomu bitcoiny.
Vy máte hroznej strach abyste nebyl za naivního, žejo. A tak tu machrujete tuhle o security, tuhle vo životě. Takový ty pubertální pravdy o tom že pravdu má jen bouchačka.
No jo, ale myšlenka MIGu 21 byla úpně jiná, než ji mnozí chápou ... ;DTo jsem rád, že o tom hovoříš. Mig .. mig má dva motory. Jsou to proudové motory. Říká se jim sice "proudové", ale spaluje se v nich palivo, takže je to vlastně stejný jako motor v autě - spalovací. Akorát do toho musíte místo benzínu nalít kerosin!!! Na to nezapomínat! Jinak se to zadře!
No jo, ale myšlenka MIGu 21 byla úpně jiná, než ji mnozí chápou ... ;DTo jsem rád, že o tom hovoříš. Mig .. mig má dva motory. Jsou to proudové motory. Říká se jim sice "proudové", ale spaluje se v nich palivo, takže je to vlastně stejný jako motor v autě - spalovací. Akorát do toho musíte místo benzínu nalít kerosin!!! Na to nezapomínat! Jinak se to zadře!
Teď zrovna pracujeme na burze starých migů - demo je tady: bandajestevetsichlameru.cz
Někteří lidi tvrdí, že vlastnit bojové letadlo je nelegální, ale to není pravda, protože prostě řeknete, že s tím lítáte do práce. Akorát tam prostě místo benzínu lijete kerosin. No a na to stát nemá jak přijít, spousta lidí lije do auta místo benzínu etanol a nikdo na to nepřijde.
Taky se na té burze budou prodávat atomový hlavice, což nelegální je, ale stát se to nedozví. To by někdo musel vykecat někde veřejně, což se nestane. Takže to přijďte zkusit! Na demo účet vám dáme tři migy zdarma. Ale bacha! Jsou to virtuální migy! Na ostro začínáme až pozítří.
Počkej, počkej ... něco mi neštymuluje ... jo už to mám ... Nemůžeš přece obchodovat z Migama, ty by Ti mohl někdo odcizit, takže je necháš zavřený v hangáru a budeš obchodovat z GAZíkama, které potom převedeš na MIGy. A běda Ti jakmile to uděláš jinak! ;DNo to jsem nenapsal. Půjde o to, že se bude obchodovat s gazíkama a k tomu každej dostane sadu nářadí, kterým toho gazíka na miga předělá. Je to 100% bezpečný, budeme k tomu totiž dávat rukavice.
Pevne veríme v budúcnosť Bitcoinu, preto sme začali ako prví v Poľsku vyplácať mzdy v tejto mene.
Toto tvrdí na tomto odkaze poľská firma EL Passion
http://blog.elpassion.com/el-passion-pays-november-salaries-bitcoin/
Len na okraj pre neveriacich truhlíkov
Upřímná soustrast zaměstnancům. ;D ::)Víš co by mě ale fakt zajímalo - jestli jim vyplácí pevnou částku v BTC. Jakože třeba "tvůj plat je 2BTC". To by bylo myslím místo práce celej den všichni jenom viseli na grafech, kolik že to vlastně dostanou :))
Pevne veríme v budúcnosť Bitcoinu, preto sme začali ako prví v Poľsku vyplácať mzdy v tejto mene.
Toto tvrdí na tomto odkaze poľská firma EL Passion
http://blog.elpassion.com/el-passion-pays-november-salaries-bitcoin/
Len na okraj pre neveriacich truhlíkov
Upřímná soustrast zaměstnancům. ;D ::)Víš co by mě ale fakt zajímalo - jestli jim vyplácí pevnou částku v BTC. Jakože třeba "tvůj plat je 2BTC". To by bylo myslím místo práce celej den všichni jenom viseli na grafech, kolik že to vlastně dostanou :))
To jenom popisuješ současný stav. Likvidita BTC je stále nízká i navzdory tomu, kolik peněz se otočí na mtgx. Jestli to má být americká burza, pak ty objemy musí být tak stonásobné minimálně. Dneska si usmyslí velký držitel BTC, že je prodá, a cena je okamžitě poloviční, protože prostě nenajde v tu chvíli kupce. Dalším problémem je spekulativní povaha, kdy jediné co si lze za BTC vyměnit jsou jiné peníze. Pokud ale bude přibývat jiných míst, kde a jak BTC využít, jejich hodnota se bude stabilizovatČili problém vejce a slepice neboli http://en.wikipedia.org/wiki/Critical_mass_(sociodynamics)
... policii primárně zajímá "hodnota" ukradených věcí a ne, jestli to jsou fungující hodiny po pradědečkovi staré 100 let, ke kterým má člověk citový vztah, který si cení na milión.
... policii primárně zajímá "hodnota" ukradených věcí a ne, jestli to jsou fungující hodiny po pradědečkovi staré 100 let, ke kterým má člověk citový vztah, který si cení na milión.
FYI, v novém občanském zákoníku už toto nějak zakotveno je, takže moje rada je nekrást po 1.1.2014 fungující hodiny po pradědečkovi.
V případě sporu by toto rozhodoval soud a ten by se asi podivil, jak může být zaměnitelný virtuální bitcoin předmětem zvláštní obliby.Tady přece vůbec nejde o žádnou zvláštní oblibu, to zas jenom Petr plácl úplnou kravinu, která s tím vůbec nesouvisí.
A nebyl jsi odejít? Kdybys takhle heroicky bránil produkty naší firmy, tak by se nerozmýšlel a měl bys padáka hned. ;D
Naštěstí žádná firma neexistuje (-ovala, nevím jak jsou na tom teď).
A ta Paradogs byla co?
Je v tom takový „drobný“ rozdíl, že v případě té sousedské výpomoci to není nelegální – zákon na to pamatuje a takovýhle drobný přivýdělek je od daně osvobozený a ani se nepřiznává. Samozřejmě něco jiného je, pokud se tím někdo živý.Pane Novák, tohle není na hraně zákona ale daleko za hranou zákona. Cituji Vás : " Ale jdi... Firma může dál podnikat v Kč aleJde o to, že to neprokážete... Bitcoinová síť je v zásadě anonymní. Uvidíte tam, že Franta přes dva prostředníky převedl bitcoiny Lojzovi. Ale už nezjistíte, že ti prostředníci byli nějaké firmy, co jim za ten převod poskytly službu.
Je to jako u té sousedské výpomoci. On mi poseká trávník a já mu za to nechám něco ze zabíjačky. A to i v příapdě, že jsem řezník na ŽL. Chtějte po něm, aby se z takového obchodu platily daně.
A ta Paradogs byla co?
Placeholder. Ale jo, taky mi to prislo divný psát tam údaje existující firmy jako placeholder (já to tam nepsal).
Jinak předpokládám, že hodně kritizujete korupci politiků. To tak bývá, že lidé, kteří sami schvalují krádež (a obhajují to slovy „nejde to prokázat“) to samé chování u jiných kritizují. Mimochodem, těch, co si mysleli, že něco nepůjde prokázat, jsou plné věznice.
To, že něco nepůjde s bitcoiny prokázat, je asi stejné, jako že máte absolutně bezpečný nějaký počítačový systém. Jenže v praxi bývají i v tom software díry, a když už je software dost bezpečný, ukáže se, že nejslabší článek zabezpečení je člověk. Bitcoinová síť je v zásadě anonymní jen do té doby, dokud budete obchodovat bitcoiny za bitcoiny. Což ale nemá smysl. Jenže dříve či později za ty bitcoiny budete chtít nakoupit chleba nebo letadlo, ale musíte z anonymního světa vystoupit.
To jste si jako jen tak vybrali nějakou firmu a její údaje tam plácli?
No to asi těžko. ::) Na to přijdete.
No to asi těžko. ::) Na to přijdete.
S důvěryhodností jste si teda hlavu nelámali ...
Dobrý den,
chtěl bych se zde vyjádřit jako člen projektu bitStock.cz. Za prvé se chci omluvit za některé výroky z naší strany, protože se občas necháme zbytečně unést. Rozhodně nikoho z Vás nechceme vyzývat k útokům. Já osobně si velmi vážím a moc děkuji za Vaše cenné rady. Chceme dosáhnout maximální možné bezpečnosti a kvality. To co jsme v současné době vypustili je demo, které se teprve testuje. Nejsme dokonalí a chtěli jsme demo vypustit co nejdříve vzhledem k velkému konkurenčnímu tlaku. Samozřejmě, že na finální aplikaci bude kladen mnohem větší důraz.
Co se týká bezpečnosti finančních prostředků na našich účtech, tak si nejsem jist, zda rozumím Vašim obavám. Aplikace sama peníze nikam posílat nebude. A pokud bychom si chtěli peníze uživatelů nechat, patrně nás čeká soud a celkem jistě vězení. To je riziko, se kterým do toho jdeme, ale život je boj :) V dnešní době existuje spousta brokerských společností, které mají peníze uživatelů u sebe, některé jsou dokonce jen ltd a moc lidí to nezaráží. Výhodou je, že finanční prostředky jsou dohledatelné, pokud nemáte na účtu kreditní kartu. Zatímco ukládání bitcoinu na burze je čistý hazard. Co se právních aspektů týče, vezte, že je konzultujeme s odbornými poradci. Nemáme zájem dělat nelegální business.
Cena BTC oproti předvčerejšku poloviční.
předpokládám, že mBTC je nějaká úplně jiná kryptoměna a že spousta hejlů na to skočí.Cena BTC oproti předvčerejšku poloviční.
To jsem zvědavej, kdy to zas budou předělávat zpátky... ;D ;D ;D
(http://i42.tinypic.com/1426lfk.png)
předpokládám, že mBTC je nějaká úplně jiná kryptoměna a že spousta hejlů na to skočí.
předpokládám, že mBTC je nějaká úplně jiná kryptoměna a že spousta hejlů na to skočí.
mam taky pocit, ze s tymto vyrokom ste akurat tak za hlupaka... UTFG
předpokládám, že mBTC je nějaká úplně jiná kryptoměna a že spousta hejlů na to skočí.Jistě, já jsem ten druh hlupáka, který nemusí běhat na policii s trestním oznámením na neznámého pachatele a zakládat facebookové skupiny na téma "Kam zmizely moje prachy".
hustýý, během jednoho dne spadl bitcoin z 1200 dolaru pod 800$. to by byla zadek, kdyby jeden den euro stalo 27kč a druhý den 18kč :-DTo jsou dětské nemoci. Až bude jeden BTC za milion dolarů, už se to stávat nebude.
Až bude jeden BTC za milion dolarů, už se to stávat nebude.
3. Chcete pusobit seriozne a prodat reseni? Nepoustejte ke slovu cloveka jako je Ondrasek Novaku.
je to ten, který měl dokonce na rootu rozhovor (http://www.root.cz/clanky/rozhovor-s-ondrejem-novakem-vyvojarem-hry-brany-skeldalu/). Rozhodně si nepřipadám mladý a nezkušený.Za hru všechna čest, ale nějak nevidím, jak ze schopnosti napsat hru v C pro DOS pramení schopnost napsat webovou burzovní aplikaci v PHP. A už vůbec nevím, jak to souvisí s tím, že neumíš komunikovat a zjevně ani řídit takhle citlivý projekt.
3. Chcete pusobit seriozne a prodat reseni? Nepoustejte ke slovu cloveka jako je Ondrasek Novaku.
FYI - vzhledem k tomu, že celý projekt jel až do dema podle mých not tak se rozhodně nepovažuju za podřadného programátora... ale skoro by se dalo říct, že jsem to sem postun z pozice vedoucího.
A v tom je právě důvod mého odchodu a ukončení spolupráce, prostě ostatní členové začali mít pocit, že jejich názor je taky důležitý. To jistě ano, ale beze mě :P
Pokud ještě někoho zajímá, kdo je to ten mladý nezkušený pan Ondřej Novák, tak jo... je to ten, který měl dokonce na rootu rozhovor (http://www.root.cz/clanky/rozhovor-s-ondrejem-novakem-vyvojarem-hry-brany-skeldalu/). Rozhodně si nepřipadám mladý a nezkušený. Ano uznávám svou chybu, nedefinoval jsem rozsah penetračních testů, předpokládal jsem zejména test vlastní aplikace, protože mě nenapadlo, že někdo bude zkoumat vlastní server, který já považuju za bezpředmětný, pokud jde o demo. Původně jsem dokonce chtěl demo rozběhnout na nějakém web hostingu, kde by se případný útočník dozvěděl, že na serveru je dokonce spuštěné FTPčko :) Nakonec se tam našel někdo s aktivním účtem u virtualmasteru.
Jinak FYI : Aby si člověk mohl rozběhnout zabezpečenou farmu, tak to musí něčím zaplatit. Aby to měl správně účetně, musí nejprve vzniknout firma. Na založení firmy je potřeba mít finance. A finance nerostou jen tak na stromě. A i když peníze jsou, není to operace, která se dá zařídit ze dne na den. Rozběhnout demo bylo víceméně rychlejší.
Myslel jsem si, že čtenáři rootu jsou tak inteligentní, že jim tyhle věci dojdou. Nedošli, trochu jsem to přecenil. Omlouvám se, příště budu chytřejší. Nicméně opakuju ještě jednou. Jsem momentálně out z toho byznysu, nelituju toho, právě pracuju na nečem úplně jiným, třeba si to zase někdy nechám odtestovat na rootu :D
Mějte se, trollům zdar. ;)
Najednou není založení firmy ze dne na den? Nebylo zde zmiňováno, že již máte za sebou několik úspěšných projektů?Opakuju, obracíš se na špatného člověka. Já ty texty nepsal, ani neschvaloval. Třeba časem pochopíš důvod ukončení spolupráce. Jako že nebyl jediný který jsem napsal.
největším trollem vlákna jsi byl ty sám, protože za celou dobu jsi vůbec nic nenapsal k věci, jen si všechno hloupě okecával a
Za hru všechna čest, ale nějak nevidím, jak ze schopnosti napsat hru v C pro DOS pramení schopnost napsat webovou burzovní aplikaci v PHP. A už vůbec nevím, jak to souvisí s tím, že neumíš komunikovat a zjevně ani řídit takhle citlivý projekt.
největším trollem vlákna jsi byl ty sám, protože za celou dobu jsi vůbec nic nenapsal k věci, jen si všechno hloupě okecával a
To záleží, jak kdo pochopil téma. Třeba nějaký anonym co si říká Tygr ho nejspíš nepochopil.
celý projekt jel až do dema podle mých not
skoro by se dalo říct, že jsem to sem postun z pozice vedoucího.
To je jako naprogramovat aukro. Se podívejte na bitcash, kde je ten citlivý projekt napsaný v PHPBB a kde si lidi vyměnují bitcoiny tak, že si napíšou do internetového fóra. Citlivý projekt z toho dělají lidi, kteří tomu moc nerozumí.Ne. Citlivý projekt jste z toho udělali vy, právě proto (!!!) že jste to neudělali jako jednoduchý meeting point, kde si lidi můžou vyměnit kontakty a poté poslat peníze a btc. Ani jste to neudělali jako jednoduchou escrow službu. Ani jako aukci. Udělali jste to jako burzu. Proč jsem se asi tak ptal na ty stoplossy? No právě proto, abych zjistil, jak moc jste se zbláznili - jak moc vám zlatá horečka zatemnila zrak...
FYI - dávno neprogramuju pod DOSem :DNo ale svoji ne-nezkušenost (čili zkušenost?) jsi neilustroval rozhovorem na rootu o tom, jak jsi v PHPku napsal elektronické bankovnictví. Ilustroval jsi ji hrou pro DOS.
Ne. Citlivý projekt jste z toho udělali vy, právě proto (!!!) že jste to neudělali jako jednoduchý meeting point, kde si lidi můžou vyměnit kontakty a poté poslat peníze a btc. Ani jste to neudělali jako jednoduchou escrow službu. Ani jako aukci. Udělali jste to jako burzu. Proč jsem se asi tak ptal na ty stoplossy? No právě proto, abych zjistil, jak moc jste se zbláznili - jak moc vám zlatá horečka zatemnila zrak...
Parádní čtverečkový dungeon by na konzolích mohl udělat díru do světa!No já si to tedy nemyslím :) Nicméně Napoleon (Jindřich Rohlík) se už pustil do předělání Bran Skeldalu na IPhone. Vybral na tom na startovači 180tisic.
Taktak, nemám rád smutné pozice.skoro by se dalo říct, že jsem to sem postun z pozice vedoucího.Vedoucí, který nemůže ovlivnit ani placeholder, je fakt smutná pozice.
Ne. Citlivý projekt jste z toho udělali vy, právě proto (!!!) že jste to neudělali jako jednoduchý meeting point, kde si lidi můžou vyměnit kontakty a poté poslat peníze a btc. Ani jste to neudělali jako jednoduchou escrow službu. Ani jako aukci. Udělali jste to jako burzu. Proč jsem se asi tak ptal na ty stoplossy? No právě proto, abych zjistil, jak moc jste se zbláznili - jak moc vám zlatá horečka zatemnila zrak...Vy? Klidně mi tykej.Tykal. "udělali"Tady je vidět, jaký máš mezery v pochopení burzy. Vidíš jen spekulace, máš o tom informace maximálně tak z Blesku. Primární smysl burzy je, že jedna strana chce prodat a druhá nakoupit a je jí jedno, kdo je protistrana...:) Měl jsem cukání dát ti sem graf vývoje portfolia, ale prdím na to. Zas by to někdo chápal jako že si tady honím triko. Řekněme teda, že jsem taky už nějakou dobu drobný investor.
Tak mi prosím vysvětli, jak jsi přišel na to, že vidím jenom spekulace. Naopak si zakládám na tom, že jsem hodně konzervativní dlouhodobý investor, který se rozhoduje zásadně podle fundamentu. Jednou jsem to neudělal a škaredě se spálil.K čemu escrow? Aby se to dalo dobře vyloupit? To je mnohem nebezpečnější, než mít reálné peníze v bance. Když vydám příkaz k výplatě, budu pod ním podepsaný, banka ho přijme jen od autorizované osoby. Ta osoba za to ručí.A ten váš princip, že uvolníte peníze až tehdy, když bude transakce zapsaná v blockchainu, ten se od principu escrow liší jak?Co máš proti příkazům pro geeky? Někdo chce nakoupit, když nastane nějaká situace... Proč by tam takový příkaz neměl být?:) :)
No já nevím, asi to znám jenom z Blesku, ale podle mě na malém trhu, se kterým si kdokoli s jenom trochu větší částkou peněz může manipulovat jak se mu zlíbí, je stoploss extrémně nebezpečný. Ale asi se mýlím, ty to neznáš z Blesku, tak máš asi pravdu :))Stoploss mi pomohl předejít ztrátě, tedy přesně to, k čemu se používá.Ano. Přesně tak se používá a přesně tak na VELKÝCH trzích, se kterými nikdo není schopen manipulovat, funguje.Takže fakt netuším, proč by ti to mělo vadit.Tak si přečti tuhle diskusi pár stránek zpátky, tam jsem se ti to snažil vysvětlit.
A ten váš princip, že uvolníte peníze až tehdy, když bude transakce zapsaná v blockchainu, ten se od principu escrow liší jak?
Dobře, ale kdo tě nutí to používat?Co máš proti příkazům pro geeky? Někdo chce nakoupit, když nastane nějaká situace... Proč by tam takový příkaz neměl být?:) :)
No já nevím, asi to znám jenom z Blesku, ale podle mě na malém trhu, se kterým si kdokoli s jenom trochu větší částkou peněz může manipulovat jak se mu zlíbí, je stoploss extrémně nebezpečný. Ale asi se mýlím, ty to neznáš z Blesku, tak máš asi pravdu :))
Tak já nevím, ale v Blesku psali, že escrow funguje tak, že chci něco koupit od pána X, dám peníze do úschovny, pán X mi to něco pošle a až já potvrdím, že mi to přišlo, úschovna dá panu X peníze.Jo takhle. Já jen že jsi si stěžoval, že tam nemáme escrow. Tím jsem nabyl dojmu, že myslíš bitcoinovou escrow. Byla tam holt navržena korunová escrow. Je to i technický problém. Kdy uvolnit peníze? Když na blockchainu uvidím transakci, tak mám jistotu, že nastal ten správný čas. Pokud to budu dělat obráceně, tedy přes bitcoinovou escrow, kdo mi řekne, že došlo k transakci v korunách? Banka mi to neřekne. Maximálně, že bych použil platební portál. A i tam je nebezpečí, že platící nakonec přesvědčí banku, že k žádné transakci nedošlo (což může i v případě korunové úschovny, ale tam je to problém mezi provozovatelem úschovny a klientem a netahá se do toho druhá strana).
Když
"úschovna" -> váš sběrný účet v bance
a
"já potvrdím" -> je to v blockchainu
tak dostanu ten model, který jsi tady prezentoval, že jste chtěli implementovat.
Jo takhle. Já jen že jsi si stěžoval, že tam nemáme escrow.Nestěžoval. Říkal jsem (asi nejasně), že kdybyste udělali podstatně jednodušší službu (escrow, aukci, meetingpoint) a netahali do toho burzu, udělali byste líp.
Ne. Citlivý projekt jste z toho udělali vy, právě proto (!!!) že jste to neudělali jako jednoduchý meeting point [...] Ani jste to neudělali jako jednoduchou escrow službu. Ani jako aukci.
Jo takhle. Já jen že jsi si stěžoval, že tam nemáme escrow.Nestěžoval. Říkal jsem (asi nejasně), že kdybyste udělali podstatně jednodušší službu (escrow, aukci, meetingpoint) a netahali do toho burzu, udělali byste líp.
A to jako jak? Ne vážně, mne by to zajímalo. Jak zajistíš, že se tam nenajdou výtečníci, kteří budou prodávat co nemají, nebo jiní výtečníci, kteří nebudou ochotni zaplatit to co koupí. A další výtečníci, kteří nepřiznají, že jim bylo zaplaceno.Tak, jak jste to chtěli udělat vy? Na jedné straně úschovnu na koruny a na druhé straně blockchain?
A jak bys zajistil cenu? To se budou jednotlivé bitcoiny dražit jako na aukru? A co když nechci koupit jeden bitcoin ale jen jeho setinu a jsou tam jen tací, kteří prodávají celé bitcoiny? Nebo jim budeš nařizovat cenu tahanou z americké burzy? (a co kurz USD/CZK?). Kdo bude určovat cenu? Pouze prodávající? Mohl by určit cenu i kupující?...Ne, cena by byla fixně stanovena na nulu.
Tak, jak jste to chtěli udělat vy? Na jedné straně úschovnu na koruny a na druhé straně blockchain?
Haha.A jak bys zajistil cenu? ...Ne, cena by byla fixně stanovena na nulu.
Peníze se převáděly jakmile se by se objevil záznam v blockchainu.Jak jste se chtěli bránit útoku (ne)opakováním transakce? Tj. prodám bitcoiny na vaší burze tak, aby transakce, kterou budete v blockchainu hledat, už nedávno proběhla, nebo ji provedu za jiným účelem později. Např. pokud bude trafika přijímat bitcoiny a zároveň bude se stejnou peněženkou obchodovat na burze, budu tvrdit, že moje platba za noviny byla zároveň splacením transakce dojednané na vaší burze.
Jak jste se chtěli bránit útoku (ne)opakováním transakce?
Tj. prodám bitcoiny na vaší burze tak, aby transakce, kterou budete v blockchainu hledat, už nedávno proběhla, nebo ji provedu za jiným účelem později. Např. pokud bude trafika přijímat bitcoiny a zároveň bude se stejnou peněženkou obchodovat na burze, budu tvrdit, že moje platba za noviny byla zároveň splacením transakce dojednané na vaší burze.
Vzhledem k tomu, jak je pro některé u bitcoinu důležitá anonymita -- proč není na bitstock.cz explicitně a důrazně uvedeno, že párujete bitcoinovou peněženku se skutečnou identitou osoby prostřednictvím bankovního účtu?
Tak chce to trochu znát princip bitcoinu, jinak by Vás nenapadla tak naivní otázka. Ta transkace má samozřejmě datum a čas vzniku (přesněji unix-timestamp). Není tedy možné uznat transakci, která vznikla před vznikem závazku. Není ani možné uznat transakci 24 hodin po vzniku závazku.Tak chce to trochu znát princip, odkud se v nějakém systému bere čas, jinak by Vás nenapadla tak naivní odpověď. Odkud se bere datum a čas vzniku transakce, a odkud se bere datum a čas vzniku závazku? Asi už vám dochází, že pokud dokážu jeden z těch časů ovlivnit, dokážu i změnit pořadí toho, co bylo před a co po.
Z toho důvodu bylo v pravidlech uvedeno, že by si obchodníci měli pro obchodování na burze založit separátní adresy.Bylo uvedeno, nebo je to tam uvedeno stále? Jinak mi to připadá jako docela důležitá věc, která by neměla být jen zastrčená někde v pravidlech, ale měla by být uvedená všude možně, třeba v FAQ.
No kupující musí bitcoiny zaplatit převodem peněz ze svého účtu. Prodávajícího musíš zase na nějaký účet vyplatit. Z toho důvodu nevím, jak to udělat, aniž bych se vyhnul párování bitcoinových adres a bankovních účtu.Já jsem se neptal, proč je to tak uděláno, to je mi samozřejmě jasné. Já jsem se ptal, proč na to explicitně neupozorňujete uživatele. Spousta uživatelů bitcoinu věří v jeho anonymitu, takže nad tím nebudou přemýšlet a nedojde jim, že tady jsou ještě méně anonymní než obvykle.
Tak chce to trochu znát princip bitcoinu, jinak by Vás nenapadla tak naivní otázka. Ta transkace má samozřejmě datum a čas vzniku (přesněji unix-timestamp). Není tedy možné uznat transakci, která vznikla před vznikem závazku. Není ani možné uznat transakci 24 hodin po vzniku závazku.Tak chce to trochu znát princip, odkud se v nějakém systému bere čas, jinak by Vás nenapadla tak naivní odpověď. Odkud se bere datum a čas vzniku transakce, a odkud se bere datum a čas vzniku závazku? Asi už vám dochází, že pokud dokážu jeden z těch časů ovlivnit, dokážu i změnit pořadí toho, co bylo před a co po.
Z toho důvodu bylo v pravidlech uvedeno, že by si obchodníci měli pro obchodování na burze založit separátní adresy.Bylo uvedeno, nebo je to tam uvedeno stále? Jinak mi to připadá jako docela důležitá věc, která by neměla být jen zastrčená někde v pravidlech, ale měla by být uvedená všude možně, třeba v FAQ.
No kupující musí bitcoiny zaplatit převodem peněz ze svého účtu. Prodávajícího musíš zase na nějaký účet vyplatit. Z toho důvodu nevím, jak to udělat, aniž bych se vyhnul párování bitcoinových adres a bankovních účtu.Já jsem se neptal, proč je to tak uděláno, to je mi samozřejmě jasné. Já jsem se ptal, proč na to explicitně neupozorňujete uživatele. Spousta uživatelů bitcoinu věří v jeho anonymitu, takže nad tím nebudou přemýšlet a nedojde jim, že tady jsou ještě méně anonymní než obvykle.
Samozřejmě se myslí čas bloku, do kterého byla transakce zahrnuta, snad jste neuvažoval něco jiného. Čas bloku ovlivňuje miner, který první vydoloval blok.Útok tímto způsobem je pouze hypotetický a obtížně realizovaný.
To, že odpovídáte na něco jiného, než na co se vás ptám, to je úmysl nebo neschopnost? Ale dobře, z vaší odpovědi se dá usoudit, že čas transakce je libovolný a záleží jen na libovůli těžaře, kterého následně síť uzná za prvního, jaký čas tomu bloku nastaví. A vy prostě spoléháte na to, že tenhle čas bude ± odpovídat přesnému času. To jste to nemohl napsat rovnou? Mimochodem, pokud u zapojování bloků do sítě opravdu není nijak zajištěno, aby čas aspoň přibližně souhlasil s přesným časem, je to podle mne docela vážný problém protokolu, se kterým asi málokdo počítá.
Pak je tu čas systému, na kterém běží vlastní aplikace (přesněji databáze). Tam se čas syncuje pomocí NTP. Záleží na výběru poskytovatele. Jestli narážíte na to, že by čas mohl ovlivnit správce telehausu, ve kterém server běží a ze kterého si to syncuje čas obvykle?
Pokud používáte obyčejné veřejné nezabezpečené NTP, pak jste ISP vydání na milost a nemilost v tom, jak budete mít seřízený čas. Jiný útočník by to měl obtížnější, ale nezabezpečená varianta NTP prostě věří kterémukoli údaji o čase, který dostane.
Já pracuju se zabezpečením minimálně "stupně 2 a více"To zní vědecky!
Já pracuju se zabezpečením minimálně "stupně 2 a více"To zní vědecky!
ROFL...
Já pracuju se zabezpečením minimálně "stupně 2 a více"To zní vědecky!
ROFL...
Já pracuji v budově s úrovní zabezpečení proti zemětřesení 3. stupně, jsem taky borec?Pokud je to zabezpečení proti personálnímu zemětřesení, tak jo. ;)
Já pracuji v budově s úrovní zabezpečení proti zemětřesení 3. stupně, jsem taky borec?1. budova má jenom jedno patro
To já pro jistotu i hnědý kalhoty ;)Já pracuji v budově s úrovní zabezpečení proti zemětřesení 3. stupně, jsem taky borec?1. budova má jenom jedno patro
2. zemětřesení v té oblasti nikdy nebylo
3. mám bezpečnostní hnědý trenky!
Já pracuji v budově s úrovní zabezpečení proti zemětřesení 3. stupně, jsem taky borec?Na třetí stupeň Richterovy škály stačí pořádně bouchnout pěstí do stolu.
Klientem se rozumí fyzická či právnická osoba registrovaná na Burze Provozovatele, která je starší 18 let a není jakkoli omezena na svých právech.
Provozovatel nenese odpovědnost za jakékoli škody, ztráty zisku, ztrátu příjmů, ztrátu podnikání, ztrátu příležitosti, ztrátu dat, nepřímé nebo následné ztráty, ať již utrpěné ztráty vyplývají z úmyslného či nedbalostního jednání Klienta. Provozovatel dále neručí za škody způsobené chybami či úmyslným jednáním třetích stran.
Provozovatel si vyhrazuje právo na to, aby mohl kdykoliv ověřit obchody Klienta v případě podezření z ovlivňování cen. V případě, že se prokáže, že takové ovlivňování skutečně nastalo, vyhrazuje si Provozovatel právo zablokovat účet Klienta a udělit finanční pokutu, která bude závislá na míře způsobené škody.
A chtěl bych vidět jak to mají právně všechno ošetřeno.
náboženskou společnost posledního převteleni Ježíše.
Je vůbec možný to dát takhle rychle do kupy a hlavně do ostrého provozu?Demo aplikace byla za 14 dní. Ale je fakt, že to rozběhli na můj vkus moc rychle. Já jsem původně plánoval ostrému provozu dát tak tři možná čtyři měsíce. To bylo prý moc.
Vždyť takhle rychle nevznikne ani program na daňovou evidenci.
A chtěl bych vidět jak to mají právně všechno ošetřeno.
Ach, deti jsou nepoucitelne. uz i BitStamp zacina podezrele zamerne protahovat withrawals. Nu, hodne stesti, mile deti.
Ach, deti jsou nepoucitelne. uz i BitStamp zacina podezrele zamerne protahovat withrawals. Nu, hodne stesti, mile deti.
A nechceš už jít s tou archeologií do (_!_) ?
Ahoj! to je to, o čem je bezpečnost obchodování s kryptoměnami, ale může nastat nepříjemný okamžik.Takhle to nefunguje. Zkus si najít na Youtube nebo někde jinde nějaký intro pro začátečníky o tom, jak funguje blockchain. Žádný takovýhle riziko tam totiž vůbec není, z principu.
V okamžiku provedení transakce se může stát, že příjemce bude mít problémy s IP/VPN nebo s jinými síťovými záležitostmi a v tu chvíli dojde ke ztrátě prostředků odeslaných po drátě.
Z tohoto důvodu se obávám tématu kryptoměnových transakcí. :-[