Příspěvky

391

/dev/null / Re:Nevzáváme to - nová burza bitcoinů

« kdy: 28. 11. 2013, 10:20:09 »

Já bych hlavně fakt nepodceňoval to právní riziko. Je to nakládání s penězma, zprostředkování nějakých převodů peněz odněkud někam na základě nějakých pravidel. Velice snadno se to může dostat k soudu - třeba tak, že bitstock zvaliduje nějakou transakci a já budu tvrdit, že jsem ji chtěl provést za poloviční cenu a že jsem tím přišel o sto tisíc. Provozovat něco takového jako živnostník (!!!!!) na virtuálu (!!) napsané v PHP nad SQL nebo kýho čerta (!!!!!!!), to by mohlo ČNB dost zajímat.

Nemyslím si, že právníci znají virtuál, php, sql. A z hlediska zákona to až tak nehraje roli. Otázka zda vlastní stroj nebo nějaké VPSko... čím si pomůžu, když tam budu mít vlastní stroj? Stejně ho musím mít v nějakém datahouse, kam mají všichni přístup? I kdyby to znamenalo, že v kritickém případě mi někdo na tom stroji šlohne disk, aby mi prošel co tam mám (zabezpečení obejde). Maximálně, že bych tam šifroval partition, ale i na to nelze spoléhat.

Dvojí, trojí evidence dedikovaně, tam samozřejmě je/bude. Právní otázky bych fakt tady neřešil. Nejsem právní a ani nebudu provozovatelem jako živnostník. Bude to zarušeně právnická osoba.

Lidi, fakt neblbněte! Jako BTC jsou cool, všichni to víme, je to bezva, je to nová éra, nikdo to nechápe, nastupuje věk Johnny Mnemonica atd. atd. ale ono fakt kvůli tomu skončit za katrem nemá cenu. Neblbněte.

PS: FYI - bitcoiny na server ani nikde jinde nebudou.

Ondřeji Nováku, měl by ses nad sebou zamyslet, chováš se přinejmenším divně, radí ti tu lidé, kteří o tom zjevnně něco vědí a nikoho lepšího asi neseženeš. Hacker bude nejspíš pár úrovní na nějakým Rumem nebo gamerem a určitě se s tebou nebude obtěžovat. Konkrétně Rum ti napsal to, že se tím ani nemá smysl zabývat. Nenapsal ti, že dobrý, že to vypadá bezpečně, napsal ti, že to máš hodně blbě. Myslíš, že si jen honí triko?

Myslíš ten script kiddies? Viděl jsem logy z toho útoku. Byl to nějaký skript, který zkoušel běžné útoky. Jo, že měl štěstí a narazil spíš na chybu, než na problém zabezpečení.

Fakt si myslíš, že když ti deset lidí opakovaně řekne, že to máš blbě, že to všichni dělají jen aby tě nasrali?
 

Tak většina tu jen troluje, to jsem si zvyknul. Psi štěkají, ale demo jede bez problému dál.

392

/dev/null / Re:Nevzáváme to - nová burza bitcoinů

« kdy: 28. 11. 2013, 10:06:00 »

No, to je výtečné. Na hostingu mám taky účet, jako tisíce dalších zákazníků. Doporučuju k pozornosti část "bez omezení oprávněně" 

A nemáš tam něco k tématu?

393

/dev/null / Re:Nevzáváme to - nová burza bitcoinů

« kdy: 28. 11. 2013, 10:00:58 »

LOL!

Ondřeji Nováku, pokud se zeptáš, jestli to máš a nebo nemáš bezpečné, pak bys měl poslouchat, co ti ty lidé říkají.
Pokud je hrnek už předem plný, znovu ho nenaplníš.
Ťeď tu kvičíš, že to máš superbezpečné, protože ti to lidé kritizují, ale jestli to chápu správně, tak to jsou ti dobří lidé, kteří ti tvoje bitcoinky neukradnou, zloděj se ti možná nebude smát, ale ojebe tě jako starou couru!

Všichni křičí, že to není bezpečné, ale ještě nikdo to neprokázal. O tom to je. Všechno to je jen akademická diskuze. Prostě blbé kecy a skutek utek.

Ano, kdyby to byl váš stroj, tak to trestný čin není, protože "Trestný čin nespáchá, kdo jedná na základě svolení osoby, jejíž zájmy, o nichž tato osoba může bez omezení oprávněně rozhodovat, jsou činem dotčeny." (§ 30 odst. 1 tr. zákoníku).

No on je to virtuál. Můj stroj fyzicky to není. Ale mám na něm účet jako další vývojáři. Virtualmaster je poskytovatel VPS. Proto je tam povolený třeba SSHčko

394

/dev/null / Re:Nevzáváme to - nová burza bitcoinů

« kdy: 28. 11. 2013, 09:56:30 »

Prosím, nabourejte se tam.

Určitě. Já se budu na výzvu nějakého Nováka nabourávat do stroje, který Novákovi vůbec nepatří. Jste normální, že vyzýváte lidi k páchání trestného činu?

A kdyby to byl můj stroj, tak to trestný čin není? Divná logika

395

/dev/null / Re:Nevzáváme to - nová burza bitcoinů

« kdy: 28. 11. 2013, 09:47:01 »

Aha, takže když někdo nabourá www.bitstock.cz (což není váš stroj), tak je to vlastně úplně v pohodě, protože do vaší aplikace se tím pádem nikdo nedostal... Tak teď už jsem zcela klidný, tohle hacknout nejde!

Prosím, nabourejte se tam.

396

/dev/null / Re:Nevzáváme to - nová burza bitcoinů

« kdy: 28. 11. 2013, 09:46:42 »

Kristepane... Když jsem tady posledně napsal, že takhle to dopadá, když si BTC směnárny a burzy založí každý, kdo má do zadeke díru a umí zbastlit stránku v PHP, tak jsem se doslechl, že jsem prý škodolibý posměváček.

Pane poškozený, vy tvrdíte, že jste vám byly odcizeny virtuální peníze. Jak k tomu došlo?
No, já jsem je schoval k nějakému Novákovi.
A vy jste ho nějak předtím znal?
Neeee, proč??? Já ho našel na internetu.
A běžně si peníze ukládáte k neznámým lidem, když vám to navrhnou?
No to neeee, copak jsem debil?
A proč jste si je tedy uložil k panu Novákovi?
Noooo, když von psal, ať to nevzdáváme. Mě už vokradli předtím za poslední měsíc dvakrát, ale Novák říkal, že tentokrát to fakt vyjde, že ta jeho směnárna se určitě vykrást nedá.

 

Doporučuju si nejprve přečíst jak služba funguje... Pak něco pište.

397

/dev/null / Re:Nevzáváme to - nová burza bitcoinů

« kdy: 28. 11. 2013, 09:38:45 »

Nebudu vás trápit a poradím vám. Zkuste RIPE dotaz na IP adresu. Jinak všichni známe rsa klíče, takže si hrajte.

Promiňte, asi vám nerozumím. Chcete řict, že www.bitstock.cz není váš stroj? Nebo chcete říct, že na www.bitstock.cz neběží databáze (to bych předpokládal ). Mimochodem taky by na sebe SSH nemuselo všechno nabonzovat:
SSH-2.0-OpenSSH_5.9p1 Debian-5ubuntu1

Není. A?
Kde by měla běžet? Domníváte se, že umístění databáze na jiný stroj zvýší bezpečnost celého systému. To jsou takové vzdušné zámky.

Když někdo kompromituje frontend, je naprosto šumák, kde běží databáze, protože ji může z kompromitovaného frontendu plně ovládat. Navíc tohle je demo. V ostrém bude dedikovaný stoj, který se nebude fungovat jako server  (bude se umět připojit ven, ale nikdo se nedostane dovnitř), který bude ověřovat všechny transakce separátně oproti své databázi.

398

/dev/null / Re:Nevzáváme to - nová burza bitcoinů

« kdy: 28. 11. 2013, 09:35:01 »

Tak to je v pořádku, omlouvám se za malování čerta ne zeď. Jestli tam máte takového malého démonka, tak to je ok.

Jenom tak od oka, kolik myslíte, že jste schopní tímhle způsobem obsloužit požadavků za sekundu?

Nevím, kolik jsme schopni, ale plánujeme jednotky obchodů ZA MINUTU! Nevěřím tomu, že by zde byla až taková poptávka

399

/dev/null / Re:Nevzáváme to - nová burza bitcoinů

« kdy: 28. 11. 2013, 09:29:13 »

Na mysql_real_escape bych rozhodně nespoléhal, to není zabezpečení, ale pokus o zamaskování problému. Víte, jak mysql_real_escape funguje a jaké má předpoklady pro bezpečné použití? Jednak musíte zajistit, že programátor na každý vstup od uživatele tu funkci aplikuje právě jednou. To zajistíte jedině tak, že si to programátor ohlídá, otestovat to moc nejde – to není zrovna bezpečný přístup. Druhá věc je, že ta funkce má fungovat přesně inverzně k parseru SQL dotazů v použité MySQL. Opravdu jste si jist, že ve vaší verzi PHP je ta funkce přesně inverzní k vaší verzi MySQL? Že se to nezmění s nějakým minor updatem PHP nebo MySQL?

Pokud nechcete jenom maskovat problémy s SQL injection, ale chcete je skutečně řešit, nemůžete žádným způsobem vkládat uživatelská data do SQL příkazů, ale musíte SQL příkaz a data oddělit – použijte prepared statements buď s PDO nebo s mysqli.

Jako beru to. Jediný co mě na prepared statements vadí je jejich naprosto nepoužitelná syntaxe. Taže máme vlastní prepared statements a zatím se to dělá tak, že se na označená místa vkládají řetězce po escapaci. Nevím proč by se měla syntaxe dotazů měnit. Jiné jazyky používají taky escapování a dodnes to nikomu nevadilo. XML, JSON, prakticky každý formát používá escapy. Proč to vadí u MySQL? Co z toho je reálná hrozba a co nějaká mediální honička proti lamerům? Máte nějaký reálný útok zkrz real_escape? Rád si to přečtu, zcela opravdu (strýček google mi nepomohl).

S prepared statement samozřejmě umím, ale přišlo mi to... pomalejší... komplikovanější. Nicméně není problém kdykoliv přepnout můj systém prepared statement na ten v mysqli (prostě se jen ty argumenty 1:1 přepíší a vynechávky se nahradí otazníkama)

400

/dev/null / Re:Nevzáváme to - nová burza bitcoinů

« kdy: 28. 11. 2013, 09:18:41 »

Je nějaký důvod, aby tam běželo veřejně přístupné ssh?

Kód: [Vybrat]

ssh root@www.bitstock.cz
The authenticity of host 'www.bitstock.cz (195.140.255.66)' can't be established.
RSA key fingerprint is 70:26:97:a1:48:42:6a:0e:ee:98:10:22:a3:74:fa:c3.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'www.bitstock.cz,195.140.255.66' (RSA) to the list of known hosts.
root@www.bitstock.cz's password: 

Kdyby mě to bavilo, zkusím třeba slovníkový útok na heslo roota.

Nebudu vás trápit a poradím vám. Zkuste RIPE dotaz na IP adresu. Jinak všichni známe rsa klíče, takže si hrajte.

Ale jsem zklamanej, čekal jsem lepší pokusy, zatím nic moc.

401

/dev/null / Re:Nevzáváme to - nová burza bitcoinů

« kdy: 28. 11. 2013, 09:10:49 »

Pokud nechcete jenom maskovat problémy s SQL injection, ale chcete je skutečně řešit, nemůžete žádným způsobem vkládat uživatelská data do SQL příkazů, ale musíte SQL příkaz a data oddělit – použijte prepared statements buď s PDO nebo s mysqli.

Nejenom to. Taky můžeme jenom doufat, že tohle je jenom frontendová tabulka, kde je uložená historie transakcí pro účely zobrazování a pány nenapadla taková kravina jako přímo v SQL transakce párovat

A v čem bych to jako měl párovat? Co myslíte, že proces párování zahrnuje? Jenom to párování není přímo dostupné z formulářů a ani přímo závislé na zaslaných datech přes GET / POST. Uživatel vyplní příkaz, ten se zařadí do databáze a pak se na to vrhne takový malý démonek. Ale platnou transakci bude v ostrém ověřovat ještě nezávislý dedikovaný stroj. Teď zatím nemá co ověřovat, nejsou tam reálné peníze (takže by všechny transakce zamítl)

Btw, jakou přesnost má UNIX_TIMESTAMP? Jestli na vteřiny, tak to není dostatečná přesnost ani pro frontend.

Jak to souvisí? UNIX_TIMESTAMP se myslím používá jen proto, že k formátování datumu a času je vyžadován.

402

/dev/null / Re:Nevzáváme to - nová burza bitcoinů

« kdy: 28. 11. 2013, 09:02:21 »

Dobře RUM, dobře

Sám tu tvrdíš, že to máte dobře zabezpečný a že když se to někomu povede lousknout, tak ho odměníte.

Ale to tvoje "k narušení bezpečnosti nedošlo" a "o co jde, je to demo ne", tak to mi nějak nehraje 

No ale vždyť nic nehacknul. Jenom donutil server zobrazit chybovou hlášku. Žádnou výhodu nezískal, ani peníze, ani kontrolu nad aplikací.

403

/dev/null / Re:Nevzáváme to - nová burza bitcoinů

« kdy: 28. 11. 2013, 07:31:20 »

ROFL

Naštěstí nikam jsi nepronikl: Ten odkaz vypadal takto.
[...] To sice není nic moc, ale k narušení bezpečnostni nedošlo...

Vyzrazení vnitřní struktury dat není narušení bezpečnosti? U takhle citlivé věci?

Jestli jsi nám chtěl demonstrovat, že o bezpečnosti vůbec nic nevíte, tak se ti to podařilo )

Tomuto typu bezpecnosti rikam security through obscurity. Co kdybych platformu vydal jako open source? I se znalosti vnitrno struktury bys ji nemel byt schopen narusit.

404

/dev/null / Re:Nevzáváme to - nová burza bitcoinů

« kdy: 28. 11. 2013, 02:23:45 »

Je to opravený, dík za spolupráci

(jo, hlásí to 500, ale to je záměr)

405

/dev/null / Re:Nevzáváme to - nová burza bitcoinů

« kdy: 28. 11. 2013, 02:09:59 »

Máš to děravý, že bych tě nenechal hlídat ani nezavřenou žumpu


Atd, atd, tím vůbec nemá smysl ztrácet čas, jak říkám, ani zavřenou žumpu 

OK, vzdávám to, pouč mě, jak jsi obešel mysql_real_escape...

Naštěstí nikam jsi nepronikl: Ten odkaz vypadal takto.


GET /index?market=cokoliv%3Cscript%3Ealert('Toto%20je%20%C3%BAsp%C4%9B%C5%A1n%C3%BD%20XSS%20%C3%BAtok.');%3C/script%3E

To že to vypisuje hlášku, to je schválně, protože to je ještě v testu. Ale jo, máš pravdu, nemusela by tam být, odstraním.... přesměruju vše do logů...

Přes escapaci jsi neprošel, chybová hláška mysql zní...

Error: Illegal mix of collations (ascii_bin,IMPLICIT) and (utf8_general_ci,COERCIBLE) for operation '='

To sice není nic moc, ale k narušení bezpečnostni nedošlo...