Nevzdáváme to - nová burza bitcoinů

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #45 kdy: 28. 11. 2013, 10:39:17 »
Nemyslím si, že právníci znají virtuál, php, sql.
OMG! Prosímtě, ve jménu létajícího špagetového monstra, nespouštěj to! Tohle fakt nedí srandička typu stodvacátejprvní slevomat. Nech si poradit, myslíme to s tebou dobře.

Otázka zda vlastní stroj nebo nějaké VPSko... čím si pomůžu, když tam budu mít vlastní stroj? Stejně ho musím mít v nějakém datahouse, kam mají všichni přístup?
Tyvole. Ufff. Prosímtě uvědom si, že jsi sem nastoupil jakože máš bombasupr vychytanou bezpečnost a ať ti to teda někdo hackne, když na to má!
...a od té doby tady jeden příspěvek za druhým dokazuješ jenom absolutní nekompetentnost. Fakt tě prosím, nespouštěj to. Dal jsi do toho určitě spoustu práce a doufáš v parádní výdělek, ale fakt to nespouštěj. Ještě je čas. Prostě tu práci zahoď, ožel, rozluč se s tím nápadem a ber to jako poučení do budoucna. Můžeš o tom i povyprávět na FailConu. Bude to super, zviditelníš se, dostaneš se do podvědomí a někdo uvidí, že máš všech pět pohromadě, umíš dělat i bolestivá rozhodnutí a nabídne ti nějakou super spolupráci, na které ty prachy fakt vyděláš.

Nebo jestli se toho nápadu úplně vzdát nezvládneš, předělej to na RO online grafovací site kurzů BTC, LTC a použitých ponožek. Hlavně opusť myšlenku směnárny!

Dej na dobře míněné rady, ještě je čas.

PS: FYI - bitcoiny na server ani nikde jinde nebudou.
Ano, četl jsem to. A podle mě to na věci nic nemění. Slibuješ někomu posílat nějaké peníze na základě nějakých transakcí. Hraješ si s ohněm.


Pavel 'TIGER' Růžička

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #46 kdy: 28. 11. 2013, 10:46:41 »
A nemáš tam něco k tématu?

Tématem je přesně co? Děravá BTC burza? Už jsi názor slyšel, načež jsi lidi uraženě vyzval k tomu, ať to teda nabouraj, když tvrděj, že to je taková díra. Já jsem si jen dovolil upozornit ctěné obecenstvo, že nabourávat se do stroje na výzvu jakéhosi Nováka, když není jasné, co to vůbec je za stroj, jestli mu patří a zda je takovýto souhlas oprávněn udělit, nebude zrovna jeden z nejlepších nápadů. Notabene s tím, že by tady veřejně prezentovali své poznatky se zalogovanou IP adresou.  ::)

Nehledě na to, jaký to má smysl nabourávat se do nějakého dema? Jo až bude plná verze, tak to bude jiný adrenalin, hlavně pro provozovatele. Zdarma někomu ukazovat jeho chyby ... celkem naivní. A když, tak se stejně ohradí, že to není chyba. Takový arogantní blb ať jde do zadeke!

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #47 kdy: 28. 11. 2013, 10:48:15 »
Prosím, ještě jednou si přečtěte jak to vlastně má fungovat. Vedete akademickou diskuzi na něco, co tam není.

Jak u blbejch. To, zda tam "fyzicky" (už to samo o sobě je úplně absurdní) nějaké virtuální peníze jsou nebo ne, s tím, co jsem zmínil, nemá co dělat. Nebo co si jako mám dalšího přečíst o vašich představách o fungování "burzy virtuálních měn"? Komu není rady, tomu není pomoci.

V celku má. Nejsou tam ani klíče k žádným peněženkám. Je to jen soupis pravidel, jak má docházet k vyrovnání závazků. Celá burza pracuje s korunami a ne s BTC. Takže ano, pokud jde o právo, musí to provozovat právnická osoba provozující finanční služby malého rozsahu - vyžaduje registraci u ČNB. Proto to taky ještě není v ostrém.

A pokud by došlo k vykradení korunových účtů... jako že nemůže protože peníze jsou ve skutečnosti v bance... ale může dojít k vypsání nepokrytých závazků, tak nebezpečí je tu hlavně pro provozovatele, který bude mít závazek vyplatit peníze, které nemá na sběrném účtu. Pak se může stát, že zkrachuje, ale na tohle naše legislativa má páky (exekuce, a podobně).

Proto říkám, že vykrást to nikdo nemůže. A provozovatel si musí vést ještě oddělenou evidenci závazků mimo internet, tím chrání zejména sám sebe. Celá aplikace přitom v ostrém nepotvrdí jediný obchod do té doby, dokud to provozovatel nepotvrdí ve své dedikované evidenci. Něco jako potvrzení prodávajícímu: "ano, skutečně, kupující má u nás připravené peníze, které vám můžeme po splnění závazku převést". Jinak navzdory všem těm směšným úšklebkům že to běží na virtuálu a že tam je php/mysql a zkoumání, zda má systém ssháčko a neustále opakování jednoho pokusu kdy dotyčný narazil na chybu... z počátku bude evidence a potvrzování probíhat paralelně ručně člověkem.

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #48 kdy: 28. 11. 2013, 10:51:36 »
kdyby to nedejbože někdo posoudil tak, že BTC je dle českého práva měna, tak mají dotyční na krku min. přestupek/správní delikt s pálkou do 5 MKč za provozování směnárny bez oprávnění uděleného ČNB.
I kdyby to neposoudil jako měnu, o co by vlastně šlo?

Dejme tomu, že si udělám službu WeatherStock, kde mi pan X pošle peníze na účet s příkazem "pokud bude zítra na Žuráni víc než 10 stupňů Celsia, pošli peníze panu Y". A já podle zveřejněné teploty na Žuráni pak pošlu nebo nepošlu.

Pokud to nebude posuzováno jako zprostředkování finanční transakce, bude to určitě minimálně nepovolený hazard nebo něco podobného, ale dost těžko si umím představit, že by to stát nechal být jako úplně v pohodě podnikání.

Btw, celý je to fakt o depresi. Proč dopsíchkulek musí pořád někdo u nás vymýšlet nějaký kraviny na hraně zákona, letadla, návody jak na mateřské vydělat miliony, MLM, kokotiny (a ještě k tomu absolutně technologicky neinvenční)? To fakt doprčic nemůžeme normálně poctivě dělat svoji práci a říct si za to o normální poctivý peníze?! Kurňa už, fakt!

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #49 kdy: 28. 11. 2013, 10:53:12 »
PS: FYI - bitcoiny na server ani nikde jinde nebudou.
[/quote]
Ano, četl jsem to. A podle mě to na věci nic nemění. Slibuješ někomu posílat nějaké peníze na základě nějakých transakcí. Hraješ si s ohněm.
[/quote]

No celá bitcoinová síť je postavená na transakcích v blocích. Pokud jí nevěříš, bitcoiny si neopatřuj.


Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #50 kdy: 28. 11. 2013, 10:55:05 »
Btw, celý je to fakt o depresi. Proč dopsíchkulek musí pořád někdo u nás vymýšlet nějaký kraviny na hraně zákona, letadla, návody jak na mateřské vydělat miliony, MLM, kokotiny (a ještě k tomu absolutně technologicky neinvenční)? To fakt doprčic nemůžeme normálně poctivě dělat svoji práci a říct si za to o normální poctivý peníze?! Kurňa už, fakt!

Předpokládám, že vůběc netušíte, kde BitCoiny rostou. Proč trolujete na diskuzi o bitcoinech?

donnie.tb

Re:Nevzdáváme to - nová burza bitcoinů
« Odpověď #51 kdy: 28. 11. 2013, 10:56:05 »
Stroj patri me. Takze vklidu, mate souhlas, ale budte jemni :) (pokud nekdo opravdu stoji o overeni, necht mi napise na mail a domluvime se).

Ano, planujeme novou burzu ktera je principem fugovani dost odlisna od ostatnich BTC burz/smenaren
(viz. schematko http://bitblog.cz/?p=225).

Jsme ve fazy dema, takze veci ladime a samozrejme na prvni miste je bezpecnost.
Tedy bezpecnost toho aby nemohlo dojit ke zfalsovani transakci a ve vysledku tak k vyplate penez nekam kam jit nemaji.

Kvuli bezpecnosti jsou v planu dedikovane stroje urcene jen a pouze na overovani transakci (tyto stroje budou jen minimalne pristupne a 99% casu budou uplne offline od site). Implementovane jsou zakladni prvky jako hashovani parametru web sessions apod.

Ondra se nachal trochu unest :), stale jsme ve fazy dema (demo jsem spustili vcera) takze tam jeste zbyva par veci doladit co se instalace tyce,

Ondra je vyborny programator a je hrdy na vnitni mechanismy ktere jsme implementovali (a stale jeste implementuje) pro zachovani bezpecnosti a konzistenci udaju o transakcich. Nicmene jak rikam jde o velice rane demo, takze se tam budou vyskytovat i veci typu zverejneni konkrenitho OS na kterem system bezi.

Neosetreny XSS ktery jste objevili je neprijemny ale i to je jeden z duvodu proc jsme demo vypustily do sveta, aby byly tyto bezpecnostni diry co nejdrive nalezeny a odstraneny. Prestoze aplikace jeste neni 100% kompletni, vime ze tady je spousta sikovnych lidi (ja ctu root v podstate kazdy den) kteri nam pripadne bezpecnostni problemy muzou pomuci rychle najit a my je budeme moci i rychle resit.

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #52 kdy: 28. 11. 2013, 10:56:55 »
jako že nemůže protože peníze jsou ve skutečnosti v bance...
Peníze jsou ve skutečnosti v bance, ale příkazy k převodům se do té banky posílají na základě čeho?! Ná základě toho, že tam běží "nějaký démonek", který prochází nějaká data a rozhodne "odeslat" nebo "neodeslat". Už jenom tohle stačí, doprčic!

...a to ještě vůbec nemluvím o tom, že ti nějaký šikula to tvoje slavný SQLko nabourá a číslo cílového účtu si prostě změní na svůj účet na Kajmanech.

JSH

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #53 kdy: 28. 11. 2013, 10:58:14 »
Teda tahle diskuze by se měla předepisovat místo šaratice.

Jako beru to. Jediný co mě na prepared statements vadí je jejich naprosto nepoužitelná syntaxe. Taže máme vlastní prepared statements a zatím se to dělá tak, že se na označená místa vkládají řetězce po escapaci.

Vy máte na autě hranaté kola :o Nehrká to? No trochu hrká, ale zase se neodkutálejí, když je odšroubuju.

No a až autor začne obchodovat s opravdovými penězmi : https://www.youtube.com/watch?v=geHLdg_VNww

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #54 kdy: 28. 11. 2013, 11:00:08 »
Předpokládám, že vůběc netušíte, kde BitCoiny rostou. Proč trolujete na diskuzi o bitcoinech?
Co jsou to BitCoiny docela vím, děkuji za optání. Proč myslíš, že jsem zítřejší kurz BTC přirovnal k zítřejší teplotě na Žuráni?

Mirage

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #55 kdy: 28. 11. 2013, 11:01:39 »
Nehledě na to, jaký to má smysl nabourávat se do nějakého dema? Jo až bude plná verze, tak to bude jiný adrenalin, hlavně pro provozovatele. Zdarma někomu ukazovat jeho chyby ... celkem naivní. A když, tak se stejně ohradí, že to není chyba. Takový arogantní blb ať jde do zadeke!

Vidíš to zdravě myslím!
On tu svojí burzu nezabil tím, že jak jí napsal, ale svým chováním.
Kdyby řekl, že to evidentně podcenil a s přiměřenou pokorou by se začal ptát, jak to tedy zabezpečit, jak to udělat lépe, myslím, že by dostal řadu rad a nakonec by z toho vypadl dobrý produkt. Takhle jen všechny naštal. Dost pochybuji, že se mu RUM ještě pokusí poradit, když ho Ondřej nazývá skriptovacím dítětem, gamer to už taky zalomil, Prýmek má trpělivost se všemi, ale taky to nakonec vzdá. Ondřej tak zůstane sám se svým produktem, který mu nikdo nebude hanět, proto bude naprosto spokojený.

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #56 kdy: 28. 11. 2013, 11:02:22 »
...a to ještě vůbec nemluvím o tom, že ti nějaký šikula to tvoje slavný SQLko nabourá a číslo cílového účtu si prostě změní na svůj účet na Kajmanech.

Okej, tak to zkuste. Teď ještě můžete, protože tabulky jsou R/W. Ale aplikace vám to nedovolí. V ostrým bude ta tabulka insert only, tedy co co je jednou vloženo už nejde změnit. Zabezpečení až na úrovni databáze.

Re:Nevzáváme to - nová burza bitcoinů
« Odpověď #57 kdy: 28. 11. 2013, 11:03:19 »
Jediný co mě na prepared statements vadí je jejich naprosto nepoužitelná syntaxe.
Mně tedy připadají mnohem přehlednější, než slepování řetězců. Ale to je věc názorů – nicméně pokud se rozhoduju mezi přehledností a bezpečností, musí – zvlášť v případě, kdy jde o něco důležitého, třeba o peníze – vyhrát bezpečnost.

Nevím proč by se měla syntaxe dotazů měnit.
Nejde o změnu syntaxe, ale o změnu v parsování věcí, které třeba ve standardu nejsou jasně řečené, případně v parsování příkazů, které jsou v rozporu se standardem.

Jiné jazyky používají taky escapování a dodnes to nikomu nevadilo. XML, JSON, prakticky každý formát používá escapy. Proč to vadí u MySQL?
Odborníkům na bezpečnost to samozřejmě vadí odjakživa. Ono nejde jen o samotné escapování, ale o to, jak je složité a jaké má varianty. V XML je velmi jednoduché a jasně definované, chybnou syntaxi parsery rovnou odmítnou – takže ten problém, že dva parsery stejný vstup rozparsují jinak, prakticky neexistuje. Úplně jiné je to třeba u HTML, kde se různé parsery chovají i záměrně jinak – třeba podmíněné komentáře v MSIE. No a MySQL je někde uprostřed, rozparsuje i dost nestandardní dotazy, a to samozřejmě otevírá možnost, že real_escape něco vyhodnotí jako „v pohodě, jsme uvnitř hodnoty“, ale parser MySQL to vyhodnotí jako součást SQL příkazu.

Máte nějaký reálný útok zkrz real_escape?
Nemám. Ale „umíme to lépe zabezpečit“ si rozhodně nespojuju s „víme o té hrozbě a umíme to snadno opravit, ale Googlem jsme nenašli informace o žádném reálném zneužití, tak budeme doufat, že to nikdo nezneužije zrovna proti nám“. Nevýhoda tohohle přístupu je také v tom, že to nikdo samozřejmě nebude zkoušet proti nějaké demoverzi, protože to není úplně snadné a motivace žádná. Až bude možné skrze ten web ukrást pár milionů, motivace bude výrazně vyšší a třeba se najde někdo, kdo si zjistí vámi používané verze MySQL a PHP, ty parsery si porovná a zjistí, jestli nějaká obskurní posloupnost znaků ten parser v PHP nezmate.

Každopádně zabezpečení by mělo předcházet známým hrozbám, ne jenom těm, které už někdo v praxi provedl a Google o tom něco najde. Nechcete být přece tím příkladem praktického zneužití, který Google jako první zaindexuje.

Když takhle přistupujete k SQL injection, jak asi přistupujete k jiným bezpečnostním hrozbám?

S prepared statement samozřejmě umím, ale přišlo mi to... pomalejší... komplikovanější.
Mně to připadá jednodušší, není důvod, aby to bylo pomalejší – naopak při dobré implementaci a podpoře serveru to bude rychlejší, protože serveru nemusí parsovat každý dotaz znova, ale jenom sáhne do cache pro již dříve zpracovaný dotaz, který u sebe má rovnou i prováděcí plán.

Pavel 'TIGER' Růžička

Re:Nevzdáváme to - nová burza bitcoinů
« Odpověď #58 kdy: 28. 11. 2013, 11:06:45 »
Stroj patri me. Takze vklidu, mate souhlas, ale budte jemni :) (pokud nekdo opravdu stoji o overeni, necht mi napise na mail a domluvime se).

Ano, planujeme novou burzu ktera je principem fugovani dost odlisna od ostatnich BTC burz/smenaren
(viz. schematko http://bitblog.cz/?p=225).

Jsme ve fazy dema, takze veci ladime a samozrejme na prvni miste je bezpecnost.
Tedy bezpecnost toho aby nemohlo dojit ke zfalsovani transakci a ve vysledku tak k vyplate penez nekam kam jit nemaji.

Kvuli bezpecnosti jsou v planu dedikovane stroje urcene jen a pouze na overovani transakci (tyto stroje budou jen minimalne pristupne a 99% casu budou uplne offline od site). Implementovane jsou zakladni prvky jako hashovani parametru web sessions apod.

Ondra se nachal trochu unest :), stale jsme ve fazy dema (demo jsem spustili vcera) takze tam jeste zbyva par veci doladit co se instalace tyce,

Ondra je vyborny programator a je hrdy na vnitni mechanismy ktere jsme implementovali (a stale jeste implementuje) pro zachovani bezpecnosti a konzistenci udaju o transakcich. Nicmene jak rikam jde o velice rane demo, takze se tam budou vyskytovat i veci typu zverejneni konkrenitho OS na kterem system bezi.

Neosetreny XSS ktery jste objevili je neprijemny ale i to je jeden z duvodu proc jsme demo vypustily do sveta, aby byly tyto bezpecnostni diry co nejdrive nalezeny a odstraneny. Prestoze aplikace jeste neni 100% kompletni, vime ze tady je spousta sikovnych lidi (ja ctu root v podstate kazdy den) kteri nam pripadne bezpecnostni problemy muzou pomuci rychle najit a my je budeme moci i rychle resit.

Tohle je sice pěkné, ale u takového projektu by to chtělo nějaký bezpečnostní audit od profíků a nespolehat na nás (komunitu). Ano i sem chodí profíci, ale nedivil bych se tomu, kdyby už ani tu stránku neotevřeli. Protože způsob jednání ze strany vašeho jednotlivce je poněkud zvláštní. Chcete pomoc a kope kolem sebe jak stará mula. Každý programátor ja nahraditelný! A nejhorší programátoři jsou tací, co si myslí, že nikdo jiný není lepší. Ty jsou pro projekty dost nebezpeční. Tým musí být dost silný, aby je dokázal korigovat ...

Mirage

Re:Nevzdáváme to - nová burza bitcoinů
« Odpověď #59 kdy: 28. 11. 2013, 11:08:42 »
Omlouvám se za OT:
proc jsme demo vypustily
To není ten Ondra, ale ta Ondra?
Jestli je Ondra stejně dobrý programátor, jako ty v gramatice, tak to hodně vysvětluje.
Pokud se někdo snaží působit seriózně, jako mluvčí seriózního projektu, měl by psát bez zásadních hrubek.