reklama

Nevzdáváme to - nová burza bitcoinů

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #15 kdy: 28. 11. 2013, 09:10:49 »
Pokud nechcete jenom maskovat problémy s SQL injection, ale chcete je skutečně řešit, nemůžete žádným způsobem vkládat uživatelská data do SQL příkazů, ale musíte SQL příkaz a data oddělit – použijte prepared statements buď s PDO nebo s mysqli.
Nejenom to. Taky můžeme jenom doufat, že tohle je jenom frontendová tabulka, kde je uložená historie transakcí pro účely zobrazování a pány nenapadla taková kravina jako přímo v SQL transakce párovat :)
A v čem bych to jako měl párovat? Co myslíte, že proces párování zahrnuje? Jenom to párování není přímo dostupné z formulářů a ani přímo závislé na zaslaných datech přes GET / POST. Uživatel vyplní příkaz, ten se zařadí do databáze a pak se na to vrhne takový malý démonek. Ale platnou transakci bude v ostrém ověřovat ještě nezávislý dedikovaný stroj. Teď zatím nemá co ověřovat, nejsou tam reálné peníze (takže by všechny transakce zamítl)

Btw, jakou přesnost má UNIX_TIMESTAMP? Jestli na vteřiny, tak to není dostatečná přesnost ani pro frontend.

Jak to souvisí? UNIX_TIMESTAMP se myslím používá jen proto, že k formátování datumu a času je vyžadován.

reklama


gamer

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #16 kdy: 28. 11. 2013, 09:14:58 »
Je nějaký důvod, aby tam běželo veřejně přístupné ssh?
Kód: [Vybrat]
ssh root@www.bitstock.cz
The authenticity of host 'www.bitstock.cz (195.140.255.66)' can't be established.
RSA key fingerprint is 70:26:97:a1:48:42:6a:0e:ee:98:10:22:a3:74:fa:c3.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'www.bitstock.cz,195.140.255.66' (RSA) to the list of known hosts.
root@www.bitstock.cz's password:
Kdyby mě to bavilo, zkusím třeba slovníkový útok na heslo roota.

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #17 kdy: 28. 11. 2013, 09:18:41 »
Je nějaký důvod, aby tam běželo veřejně přístupné ssh?
Kód: [Vybrat]
ssh root@www.bitstock.cz
The authenticity of host 'www.bitstock.cz (195.140.255.66)' can't be established.
RSA key fingerprint is 70:26:97:a1:48:42:6a:0e:ee:98:10:22:a3:74:fa:c3.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'www.bitstock.cz,195.140.255.66' (RSA) to the list of known hosts.
root@www.bitstock.cz's password:
Kdyby mě to bavilo, zkusím třeba slovníkový útok na heslo roota.

Nebudu vás trápit a poradím vám. Zkuste RIPE dotaz na IP adresu. Jinak všichni známe rsa klíče, takže si hrajte.

Ale jsem zklamanej, čekal jsem lepší pokusy, zatím nic moc.

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #18 kdy: 28. 11. 2013, 09:25:51 »
A v čem bych to jako měl párovat? Co myslíte, že proces párování zahrnuje? Jenom to párování není přímo dostupné z formulářů a ani přímo závislé na zaslaných datech přes GET / POST. Uživatel vyplní příkaz, ten se zařadí do databáze a pak se na to vrhne takový malý démonek. Ale platnou transakci bude v ostrém ověřovat ještě nezávislý dedikovaný stroj. Teď zatím nemá co ověřovat, nejsou tam reálné peníze (takže by všechny transakce zamítl)
Tak to je v pořádku, omlouvám se za malování čerta ne zeď. Jestli tam máte takového malého démonka, tak to je ok.

Jenom tak od oka, kolik myslíte, že jste schopní tímhle způsobem obsloužit požadavků za sekundu?

=====

Jak to ten Filip Hráček dobře vystihl! http://www.runtime.cz/2013/09/konec-dobrych-casu.html

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #19 kdy: 28. 11. 2013, 09:29:13 »
Na mysql_real_escape bych rozhodně nespoléhal, to není zabezpečení, ale pokus o zamaskování problému. Víte, jak mysql_real_escape funguje a jaké má předpoklady pro bezpečné použití? Jednak musíte zajistit, že programátor na každý vstup od uživatele tu funkci aplikuje právě jednou. To zajistíte jedině tak, že si to programátor ohlídá, otestovat to moc nejde – to není zrovna bezpečný přístup. Druhá věc je, že ta funkce má fungovat přesně inverzně k parseru SQL dotazů v použité MySQL. Opravdu jste si jist, že ve vaší verzi PHP je ta funkce přesně inverzní k vaší verzi MySQL? Že se to nezmění s nějakým minor updatem PHP nebo MySQL?

Pokud nechcete jenom maskovat problémy s SQL injection, ale chcete je skutečně řešit, nemůžete žádným způsobem vkládat uživatelská data do SQL příkazů, ale musíte SQL příkaz a data oddělit – použijte prepared statements buď s PDO nebo s mysqli.

Jako beru to. Jediný co mě na prepared statements vadí je jejich naprosto nepoužitelná syntaxe. Taže máme vlastní prepared statements a zatím se to dělá tak, že se na označená místa vkládají řetězce po escapaci. Nevím proč by se měla syntaxe dotazů měnit. Jiné jazyky používají taky escapování a dodnes to nikomu nevadilo. XML, JSON, prakticky každý formát používá escapy. Proč to vadí u MySQL? Co z toho je reálná hrozba a co nějaká mediální honička proti lamerům? Máte nějaký reálný útok zkrz real_escape? Rád si to přečtu, zcela opravdu (strýček google mi nepomohl).

S prepared statement samozřejmě umím, ale přišlo mi to... pomalejší... komplikovanější. Nicméně není problém kdykoliv přepnout můj systém prepared statement na ten v mysqli (prostě se jen ty argumenty 1:1 přepíší a vynechávky se nahradí otazníkama)

reklama


gamer

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #20 kdy: 28. 11. 2013, 09:34:04 »
Nebudu vás trápit a poradím vám. Zkuste RIPE dotaz na IP adresu. Jinak všichni známe rsa klíče, takže si hrajte.
Promiňte, asi vám nerozumím. Chcete řict, že www.bitstock.cz není váš stroj? Nebo chcete říct, že na www.bitstock.cz neběží databáze (to bych předpokládal :) ). Mimochodem taky by na sebe SSH nemuselo všechno nabonzovat:
SSH-2.0-OpenSSH_5.9p1 Debian-5ubuntu1

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #21 kdy: 28. 11. 2013, 09:35:01 »
Tak to je v pořádku, omlouvám se za malování čerta ne zeď. Jestli tam máte takového malého démonka, tak to je ok.

Jenom tak od oka, kolik myslíte, že jste schopní tímhle způsobem obsloužit požadavků za sekundu?

Nevím, kolik jsme schopni, ale plánujeme jednotky obchodů ZA MINUTU! Nevěřím tomu, že by zde byla až taková poptávka

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #22 kdy: 28. 11. 2013, 09:38:45 »
Nebudu vás trápit a poradím vám. Zkuste RIPE dotaz na IP adresu. Jinak všichni známe rsa klíče, takže si hrajte.
Promiňte, asi vám nerozumím. Chcete řict, že www.bitstock.cz není váš stroj? Nebo chcete říct, že na www.bitstock.cz neběží databáze (to bych předpokládal :) ). Mimochodem taky by na sebe SSH nemuselo všechno nabonzovat:
SSH-2.0-OpenSSH_5.9p1 Debian-5ubuntu1

Není. A?
Kde by měla běžet? Domníváte se, že umístění databáze na jiný stroj zvýší bezpečnost celého systému. To jsou takové vzdušné zámky. :D

Když někdo kompromituje frontend, je naprosto šumák, kde běží databáze, protože ji může z kompromitovaného frontendu plně ovládat. Navíc tohle je demo. V ostrém bude dedikovaný stoj, který se nebude fungovat jako server  (bude se umět připojit ven, ale nikdo se nedostane dovnitř), který bude ověřovat všechny transakce separátně oproti své databázi.

gamer

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #23 kdy: 28. 11. 2013, 09:43:49 »
Aha, takže když někdo nabourá www.bitstock.cz (což není váš stroj), tak je to vlastně úplně v pohodě, protože do vaší aplikace se tím pádem nikdo nedostal... Tak teď už jsem zcela klidný, tohle hacknout nejde!

Lol Phirae

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #24 kdy: 28. 11. 2013, 09:45:51 »
Kristepane... Když jsem tady posledně napsal, že takhle to dopadá, když si BTC směnárny a burzy založí každý, kdo má do zadeke díru a umí zbastlit stránku v PHP, tak jsem se doslechl, že jsem prý škodolibý posměváček.

Pane poškozený, vy tvrdíte, že jste vám byly odcizeny virtuální peníze. Jak k tomu došlo?
No, já jsem je schoval k nějakému Novákovi.
A vy jste ho nějak předtím znal?
Neeee, proč??? Já ho našel na internetu.
A běžně si peníze ukládáte k neznámým lidem, když vám to navrhnou?
No to neeee, copak jsem debil?
A proč jste si je tedy uložil k panu Novákovi?
Noooo, když von psal, ať to nevzdáváme. Mě už vokradli předtím za poslední měsíc dvakrát, ale Novák říkal, že tentokrát to fakt vyjde, že ta jeho směnárna se určitě vykrást nedá.

 ;D ;D ;D

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #25 kdy: 28. 11. 2013, 09:46:42 »
Kristepane... Když jsem tady posledně napsal, že takhle to dopadá, když si BTC směnárny a burzy založí každý, kdo má do zadeke díru a umí zbastlit stránku v PHP, tak jsem se doslechl, že jsem prý škodolibý posměváček.

Pane poškozený, vy tvrdíte, že jste vám byly odcizeny virtuální peníze. Jak k tomu došlo?
No, já jsem je schoval k nějakému Novákovi.
A vy jste ho nějak předtím znal?
Neeee, proč??? Já ho našel na internetu.
A běžně si peníze ukládáte k neznámým lidem, když vám to navrhnou?
No to neeee, copak jsem debil?
A proč jste si je tedy uložil k panu Novákovi?
Noooo, když von psal, ať to nevzdáváme. Mě už vokradli předtím za poslední měsíc dvakrát, ale Novák říkal, že tentokrát to fakt vyjde, že ta jeho směnárna se určitě vykrást nedá.

 ;D ;D ;D

Doporučuju si nejprve přečíst jak služba funguje... Pak něco pište.

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #26 kdy: 28. 11. 2013, 09:47:01 »
Aha, takže když někdo nabourá www.bitstock.cz (což není váš stroj), tak je to vlastně úplně v pohodě, protože do vaší aplikace se tím pádem nikdo nedostal... Tak teď už jsem zcela klidný, tohle hacknout nejde!

Prosím, nabourejte se tam.

Pavel 'TIGER' Růžička

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #27 kdy: 28. 11. 2013, 09:48:17 »
Pánové a co když tam jsou ty mezery úmyslné? Na mne to tak alesoň působí. Protože to jak se to tu řeší, to je velmi, ale velmi zvláštní postup.

Lol Phirae

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #28 kdy: 28. 11. 2013, 09:54:23 »
Prosím, nabourejte se tam.

Určitě. Já se budu na výzvu nějakého Nováka nabourávat do stroje, který Novákovi vůbec nepatří. Jste normální, že vyzýváte lidi k páchání trestného činu?

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #29 kdy: 28. 11. 2013, 09:56:30 »
Prosím, nabourejte se tam.

Určitě. Já se budu na výzvu nějakého Nováka nabourávat do stroje, který Novákovi vůbec nepatří. Jste normální, že vyzýváte lidi k páchání trestného činu?
A kdyby to byl můj stroj, tak to trestný čin není? Divná logika

 

reklama