Příspěvky

406

/dev/null / Re:Nevzáváme to - nová burza bitcoinů

« kdy: 28. 11. 2013, 01:53:07 »

Máš to děravý, že bych tě nenechal hlídat ani nezavřenou žumpu

Abych byl konkrétní, už jen to, že je možné sosnout banner: https://www.bitstock.cz/index.php
Apache/2.2.22 (Ubuntu) Server at www.bitstock.cz Port 443
Kromě toho, že pro 2.2.22 je exploit, že vím, že to asi jede na ubuntu a tak dále.

Hned vykecáš všechno i co nevíš:

Error in query: SELECT signature, title, status FROM stock WHERE signature = ; SELECT id, name, last_price, currency FROM exchange WHERE stock_signature= ;</script>'; SELECT signature, title FROM stock WHERE status='opened' ORDER BY stock.order;    SELECT trade.id,UNIX_TIMESTAMP(trade.created) AS date, trade.amount, trade.price, trade.state FROM trade JOIN command ON trade.sellCmd = command.id JOIN wallet ON command.walletid = wallet.id WHERE wallet.currency = ' ORDER BY trade.created DESC LIMIT 13; CALL generateDOMparallel();</script>', 10);

Atd, atd, tím vůbec nemá smysl ztrácet čas, jak říkám, ani zavřenou žumpu 

OK, vzdávám to, pouč mě, jak jsi obešel mysql_real_escape...

407

/dev/null / Nevzdáváme to - nová burza bitcoinů

« kdy: 27. 11. 2013, 23:45:57 »

Hledám dobrovolníky pro odtestování demo aplikace chystané burze bitcoinů. Uvidíte sami, že celý koncept burzy je diametrálně odlišný od toho, co jsme doposud na českém trhu viděli. Rozjezd aplikace byl urychlen zejména po crashi carlosovy směnárny bitcash jako výzva "umíme to lépe zabezpečit".

A jak správně každý hacker ví, že se nedá po internetu nedá hacknout počítač, který není připojen k internetu, stejně tak se nedá vykrást bitcoinová směnárna, ve které nejsou žádné bitcoiny.

Přijďte ochutnat a vyzkoušet si demo. Budeme vděčný za každý nahlášený problém. Pokud nám někdo chce ukázat, "že to fakt neumíme zabezpečit", tak ať to zkusí prolomit. Nejlepšího hackera naší demo aplikace odměníme. (hack != DDoS útok).

https://www.bitstock.cz

Na demu každý začíná se 100kKč. Všechny obchody jsou jen "jako". Bitcoiny nepřevádějte, potvrzení o převodu lze v demu snadno nafejkovat (nebude uznáno jako hack).

Ostrý start se chystá v brzké době.

408

Odkladiště / Re:Bitcash.cz hacknut

« kdy: 12. 11. 2013, 15:03:36 »

co je T+3?

To znamená, že když na burze uzavřeš obchod, neznamená to, že bys byl hned majitelem akcí nebo peněz. Ale máš 3 dny na vypořádání a teprve po třech dnech je transakce vypořádána (ovšem samozřejmě za cenu, kterou jsi zobchodoval před těmi třemi dny).

Teoreticky bys celé tři dny obchodovat bez nutnosti mít peníze a bitcoiny a teprve pak bys musel splnit své závazky vyplývající z obchodování.. ale třeba bys žádné neměl, protože bys všechny pozice během těch tří dnů zase uzavřel a třeba i se ziskem.

409

Odkladiště / Re:Bitcash.cz hacknut

« kdy: 12. 11. 2013, 14:58:11 »

Už asi chápu, proč na pražské burze je vypořádání T+3. Ono to není od věci.

410

Odkladiště / Re:Bitcash.cz hacknut

« kdy: 12. 11. 2013, 14:47:57 »

Může mi někdo přiblížit, jaké peníze na té burze byly uloženy?

Burza dokáže fungovat bez peněz. Na burze se vyměňují závazky. Nesplnění závazku může znamenat, že obě strany získají na sebe spojení a pak si to musí vyříkat soudně nebo mimosoudně. Maximálně bych chápal, pokud by tam bylo něco jako krátkodobá úschovna, tam pak skutečně asi nějaká záruka té burzy musí být. Ale to bych viděl jako optional.

411

O serveru Root.cz / Nejde mi blog

« kdy: 24. 04. 2013, 15:58:35 »

Zdravím

po dlouhé době jsem chtěl zase něco napsat na blog a háže mi to 403 Forbidden.  Bez možnosti se přihlásit.

díky.

412

Vývoj / Re:C++ a MySQL pro začátečníka

« kdy: 23. 01. 2013, 09:17:20 »

http://tangentsoft.net/mysql++/

Sakra to je děsné API. Jen jsem nahlédnul a začalo se mi dělat zle.

Já nevím, ale já jako začátečník potřebuju jen operaci mysql_query a vhodné zpracování předaných výsledků. Jo ano, je fajn, když to umí formátovat query pomocí patternů jako to dělá printf a ještě je lepší, když si to poradí s escapováním řetězců (automaticky). Co víc si má člověk od mysql přát?

413

Distribuce / Re:Ubuntu: nikdo nezná root heslo

« kdy: 17. 12. 2012, 10:04:28 »

Já jsem myslel, že smyslem sudo je možnost provést rootovský úkol aniž bych musel někomu dávat heslo na roota. Když svůj účet kompromituje (třeba někomu prozradí své heslo), tak mu ten přístup jednoduše odeberu aniž bych přitom ovlivnil ostatní uživatele. Obecně si myslím, že není dobré sdílet jedno heslo vícero lidma a sudo mi umožňuje právě tomuto se vyhnout.

414

Vývoj / Re:Kombinace Java a C++

« kdy: 06. 12. 2012, 10:54:21 »

Já tyhle dva jazyky v praxi střídám podle zadání projektu. používám ale jenom podmnožinu obou jazyků, kterou mám dobře zvládnutou a zbytek ignoruju. Skalní C++ vývojáři by se asi občas dost zhrozili třeba nad návrhem tříd, který je hodně javovský. Myslím, že se takový člověk sehnat dá, ale určitě bude mít nižší produktivitu než specialista na jeden jazyk a nebude to tak kvalitní kód. Ne vždycky na tom ale záleží,

Naopak to není nic špatného, pokud nezapomínáte uvolňovat paměť (chytré ukazatele atd), pak používáním javovského stylu nemůžete nic pokazit. Je to pořád lepší, než v C++ používat Cčkovský styl.

415

Software / Re:SSL obnoveni private key z existujiciho certifikatu

« kdy: 04. 12. 2012, 13:43:28 »

To je vlastne taky pravda. Dekuju za utvrzeni toho, ceho jsem se obaval No coz, za blbost se plati. Oznamim to vyssim mistum. Diky za rychlou reakci

Teď ještě, jestli to je vaše chyba, nebo chyba někoho jiného. V tom druhém případe hodně štěstí, v tom prvním upřímnou soustrast.

416

Software / Re:SSL obnoveni private key z existujiciho certifikatu

« kdy: 04. 12. 2012, 13:38:37 »

Hm, to nejsou dobre zpravy. geotrust.com vyzaduje 2048bit delku klice, tudiz predpokladam, ze slaby nebude. Jde mi o to, ze takhle budu muset jit za sefem, at vyplazne znova 120 euro, coz se mu libit moc nebude.
Takze pokud mam CRT + CA a chybi mi KEY file, neexistuje zpusob jak dany certifikat znovu pouzit? Proste jedine reseni, cely proces znova?

Ano, to je princip zabezpečení. Ztráta jakékoliv půlky znamená, že je druhá půlka nepoužitelná. Kdyby bylo možné z certifikátu vygenerovat původní klíč, pak by celé zabezpečený bylo k ničemu.

417

Software / Re:Btrfs a spotřeba CPU při kompresi

« kdy: 03. 12. 2012, 10:41:01 »

-Komprese Matrosky je zanedbatelna, coz se dalo cekat. Ale to neni tak zle, protoze na NT 4.0 takove soubory zabiraly po kompresi vice mista, nez pred ni.

To se mi nezdá, jestli jde o kompresi pomocí vestavěné komprese ve Windows, tak ta funguje tak, že komprimuje po 64KB blocích a bloky ukládá komprimovaně pouze v případě, že se podaří změnšit blok aspoň o jeden sektor/cluster, jinak se uloží nezkomprimovaný, proto se divím, že by to vyšlo komprimovaně větší.

(mimochodem, vývojáři z btrfs jsou v tomhle lameři, protože podle všeho komprimují celý soubor a to při každé změně znova a znova. Stejně funguje fusecompress, což činí tyto chabé pokusy linuxových vývojářů naprosto nepoužitelnými).

418

Vývoj / Re:Stahování souborů až po přihlášení

« kdy: 29. 10. 2012, 12:28:00 »

nejlíp zároveň s nastavením open_basedir. bez toho bych se bál jakékoliv php provozovat (nikdy nevíš, kdy tam někdo udělá díru.. ano, php obecně umí číst z libovolného adresáře i mimo www, tj. včetně /etc)

Myslím, že postačí před jméno souboru vložit "./" (aby tam nikdo nestrčil "/" nebo nedejbože "http://") a nejpřijmout žádný text obsahující dvě tečky, nebo ještě lépe zakázat i lomítka. Tím se tam nedostanou žádné cesty.

419

Sítě / Re:Praktické dotazy k IPv6

« kdy: 19. 09. 2012, 13:26:48 »

Tak to budete muset asi ty routery vybavit nějakou umělou inteligencí, aby dokázaly odvodit, jak ty koncové sítě mají přeadresovat.  Zatím imho neexistuje protokol, který by mezi routery říkal, jaký je prefix celé sítě (asi by to šlo šoupnout do BGP nebo IS-IS jako rozšířený atribut a z toho potom odvozovat adresu koncové sítě)

Cože? Já tedy nejsem odborník na současné programové vybavení routerů. A taky neznám vaši topologii sítě. Ale pokud to vezmu obecně, tak když budou routery od brány dostávat prefixy /56. je problém jim natvrdo nastavit ten další oktet aby dále oznamovaly prefix /64 s tím, že se nakonfigurují podle oznámeného prefixu /56?

Pokud je ta topologie ještě složitější, pak už to není o organizaci vnitřní / vnější síť a organizace by měla mít vlastní prefix, ne?

420

Sítě / Re:Praktické dotazy k IPv6

« kdy: 19. 09. 2012, 12:35:08 »

přeadresování bude pravděpodobně vyžadovat rekonfiguraci každého routeru.

Proč? Tak tam dejte switche 

Si myslím, že IPv6 routery by se měly umět překonfigurovat sami, když dostanou oznámení o změně prefixu. Představa, že budu při každé změně prefixu posílat pracovníka do terénu mi přijde naprosto ujetá. Snad proto to oznamování vzniklo ne?