Не принимали меня это давно: http://i.imgur.com/y905u.png
Да, она проходит все "испытатели", Оповещение остановило выполнение скрипта, но после того, что есть "Не изменен", Я использовал MS Paint, чтобы удалить контрольную сумму и потенциально уникальные идентификаторы.
Не стесняйтесь игнорировать / думаю, что это подделка / и т.д. на свой страх и риск (злоумышленник может изменить ее, чтобы отправить пароль на их сервер). Я не планирую выпустить доказательство концепции, если нет достаточного спроса на нее.
Я ничего не имею ничего против blockchain.info, но я не буду беспокоить найти цитату blockchain.info говоря, как они принимают грузы предосторожностей (неэффективная) безопасности .. Просто сказать вашему blockchain бумажник не является безопасным.
|
|
||||||
23 декабря 2012, 12:00:22 PM
|
# 1 |
Сообщения: 910
цитировать ответ |
Re: Blockchain.info не безопасно - Мой кошелек Пароль Stealer (Передает «Verifier»)
Взлом Биткоин адресов.
500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru |
|
|
|
Как заработать Биткоины?
Без вложений. Не майнинг.
|
23 декабря 2012, 12:29:47 PM
|
# 2 |
|
Сообщения: 686
цитировать ответ |
Re: Blockchain.info не безопасно - Мой кошелек Пароль Stealer (Передает «Verifier»)
|
|
|
|
|
23 декабря 2012, 12:40:42 PM
|
# 3 |
|
Сообщения: 1369
цитировать ответ |
Re: Blockchain.info не безопасно - Мой кошелек Пароль Stealer (Передает «Verifier»)
смотреть.
|
|
|
|
|
23 декабря 2012, 1:43:49 PM
|
# 4 |
|
Сообщения: 910
цитировать ответ |
Re: Blockchain.info не безопасно - Мой кошелек Пароль Stealer (Передает «Verifier»)
Вы только что изменили JavaScript в вашем собственном браузере. Javascript является Bitcoin-клиентом, и если вы изменяете клиент, то, конечно, вы можете изменить его, чтобы напечатать пароль или закрытые ключи и т.д. Было бы тривиальным изменить Bitcoin-Qt источника, чтобы добавить окно предупреждения, который печатает пароль в аналогичным образом.
Это, как работает сервис, на стороне клиента. |
|
|
|
|
23 декабря 2012, 2:26:59 PM
|
# 5 |
|
Сообщения: 2436
цитировать ответ |
Re: Blockchain.info не безопасно - Мой кошелек Пароль Stealer (Передает «Verifier»)
Не могли бы вы быть более конкретным относительно того, что "не безопасно" предполагается иметь в виду и какой тип атаки можно было бы сделать с этим?
Насколько я могу сказать сейчас: что piuk говорит, вы просто показывая свой собственный пароль. EDIT: только что видел ваш другой поток о ТЮРЬМЕ и BLOCKCHAIN.INFO и дерьмо? Я с трудом веруя, не имеют какой-то личных проблем с blockchain.info. Это чистая FUD в моих глазах. |
|
|
|
|
23 декабря 2012, 3:39:04 PM
|
# 6 |
|
Сообщения: 714
цитировать ответ |
Re: Blockchain.info не безопасно - Мой кошелек Пароль Stealer (Передает «Verifier»)
должны были бы конечный пользователь установить браузер-плагин для достижения этой цели ...
|
|
|
|
|
23 декабря 2012, 4:24:08 PM
|
# 7 |
|
Сообщения: 2016
цитировать ответ |
Re: Blockchain.info не безопасно - Мой кошелек Пароль Stealer (Передает «Verifier»)
. . . Просто говоря, ваш кошелек blockchain не является безопасным. Это просто глупо. Вы написали свою собственную программу, чтобы сделать то, что вы хотите это сделать, то вы запускали эту программу, и вы расстроены, что ваша программа делает то, что Вы проектировали это делать? Как это отличается от перезаписи Bitcoin-Qt программы, компиляции, а затем запустить его. Глупо, просто глупо. |
|
|
|
|
23 декабря 2012, 4:26:41 PM
|
# 8 |
|
Сообщения: 210
цитировать ответ |
Re: Blockchain.info не безопасно - Мой кошелек Пароль Stealer (Передает «Verifier»)
это не действительно ли проблема только если "отметка" скачал ваш клиент Bitcoin вместо реальной?
|
|
|
|
|
23 декабря 2012, 4:26:48 PM
|
# 9 |
|
Сообщения: 430
цитировать ответ |
Re: Blockchain.info не безопасно - Мой кошелек Пароль Stealer (Передает «Verifier»)
Ах, дайте ему отдохнуть, он явно не понимает, как эти яваскрипта работы Испытателей.
|
|
|
|
|
23 декабря 2012, 4:34:53 PM
|
# 10 |
|
Сообщения: 2016
цитировать ответ |
Re: Blockchain.info не безопасно - Мой кошелек Пароль Stealer (Передает «Verifier»)
это не действительно ли проблема только если "отметка" скачал ваш клиент Bitcoin вместо реальной? Да, я считаю, что это называется "фишинга",Создание веб-страницу, которая выглядит как веб-сайт blockchain.info в. Используя методы социальной инженерии, пытаются обмануть людей в случайно приходят на ваш сайт в то время как обманывая их, полагая, что они находятся на реальном сайте blockchain.info. Получить их ввести свой пароль. Такой обман может использовать URL-адрес, такой как blockchain.com, blockchain.net, blockchain.edu, blickchain.info, b1ockchain.info, bl0ckchain.info, bitchain.info и т.д. |
|
|
|
|
23 декабря 2012, 10:19:27 PM
|
# 11 |
|
Сообщения: 910
цитировать ответ |
Re: Blockchain.info не безопасно - Мой кошелек Пароль Stealer (Передает «Verifier»)
Вы только что изменили JavaScript в вашем собственном браузере. Javascript является Bitcoin-клиентом, и если вы изменяете клиент, то, конечно, вы можете изменить его, чтобы напечатать пароль или закрытые ключи и т.д. Было бы тривиальным изменить Bitcoin-Qt источника, чтобы добавить окно предупреждения, который печатает пароль в аналогичным образом. Только я не изменял. Это S уязвимость системы безопасности, вы никогда не пытаться сделать криптографию с JavaScript.Это, как работает сервис, на стороне клиента. Я мог бы сделать, скажем, Chrome Bitcoin наблюдател плагин. Затемнение код для предотвращения обнаружения, и ждать, пока люди войти с blockchain. Если вы сделали настольный клиент, это не произошло бы из-за песок бокса. Во всяком случае, я буду работать на атаки на основе сети в настоящее время. |
|
|
|
|
23 декабря 2012, 10:29:38 PM
|
# 12 |
|
Сообщения: 430
цитировать ответ |
Re: Blockchain.info не безопасно - Мой кошелек Пароль Stealer (Передает «Verifier»)
|
|
|
|
|
23 декабря 2012, 10:30:11 PM
|
# 13 |
|
Сообщения: 910
цитировать ответ |
Re: Blockchain.info не безопасно - Мой кошелек Пароль Stealer (Передает «Verifier»)
Можно сделать форму входа, плагины не могут захватить, кстати.
|
|
|
|
|
23 декабря 2012, 10:32:02 PM
|
# 14 |
|
Сообщения: 1892
цитировать ответ |
Re: Blockchain.info не безопасно - Мой кошелек Пароль Stealer (Передает «Verifier»)
@OP: вы можете более точно объяснить, что вы сделали?
|
|
|
|
|
23 декабря 2012, 10:53:32 PM
|
# 15 |
Сообщения: 628
цитировать ответ |
Re: Blockchain.info не безопасно - Мой кошелек Пароль Stealer (Передает «Verifier»)
@OP: вы можете более точно объяснить, что вы сделали? Он посмотрел в свою собственную системную память и был поражен тем, чтобы открыть материал. |
|
|
|
|
24 декабря 2012, 3:35:58 PM
|
# 16 |
|
Сообщения: 2436
цитировать ответ |
Re: Blockchain.info не безопасно - Мой кошелек Пароль Stealer (Передает «Verifier»)
@OP: вы можете более точно объяснить, что вы сделали? Он посмотрел в свою собственную системную память и был поражен тем, чтобы открыть материал. В своем последнем посте он сказал, что он сумел сделать плагин для браузера, который был в состоянии читать, когда пользователь PW вошел в него на blockchain.info. Это было бы серьезной угрозой. |
|
|
|
|
25 декабря 2012, 1:32:23 AM
|
# 17 |
|
Сообщения: 628
цитировать ответ |
Re: Blockchain.info не безопасно - Мой кошелек Пароль Stealer (Передает «Verifier»)
@OP: вы можете более точно объяснить, что вы сделали? Он посмотрел в свою собственную системную память и был поражен тем, чтобы открыть материал. В своем последнем посте он сказал, что он сумел сделать плагин для браузера, который был в состоянии читать, когда пользователь PW вошел в него на blockchain.info. Это было бы серьезной угрозой. Вот как это должно работать. Когда вы открываете бумажник Blockchain, вы открываете его в собственной памяти компьютера. Ваш собственный браузер будет читать на свой пароль, потому что ему нужно, чтобы расшифровать ваш кошелек в памяти. Да, есть уязвимость, когда вы набираете пароль и использовать его для расшифровки вашего кошелька, так как вы можете перехватить пароль в тот момент (с помощью кейлоггера или вредоносного программного обеспечения). Но в этом нет ничего нового, что уязвимость существовала всегда. Если вы используете программное обеспечение официального Bitcoin и введите пароль для расшифровки вашего кошелька, вы имеете такую же уязвимость. Ваш пароль будет существовать в виде расшифрованного в системной памяти в определенный момент времени. Мы считаем риск приемлемым просто потому, что RAM настолько изменчивы. Разница между blockchain.info и других интернет-кошельков является то, что точка отказа находится на каждом компьютере пользователя, вместо того, чтобы быть сам сервер. ТЛ; др TradeFortress является троллинг. |
|
|
|
|
25 декабря 2012, 1:38:50 AM
|
# 18 |
|
Сообщения: 910
цитировать ответ |
Re: Blockchain.info не безопасно - Мой кошелек Пароль Stealer (Передает «Verifier»)
@OP: вы можете более точно объяснить, что вы сделали? Он посмотрел в свою собственную системную память и был поражен тем, чтобы открыть материал. В своем последнем посте он сказал, что он сумел сделать плагин для браузера, который был в состоянии читать, когда пользователь PW вошел в него на blockchain.info. Это было бы серьезной угрозой. Есть много способов, чтобы предотвратить это. Javascript запутать вхождение паролей. Ловушки события щелчка так, чтобы другие JS на странице не могут связать щелчок слушателя к нему (Gmail делает это для некоторых функций). Не иметь статический идентификатор для ввода пароля, а не случайным образом и назначить его. Etc и т.д. и т.п. |
|
|
|
|
25 декабря 2012, 3:18:18 AM
|
# 19 |
|
Сообщения: 910
цитировать ответ |
Re: Blockchain.info не безопасно - Мой кошелек Пароль Stealer (Передает «Verifier»)
Вредоносные расширения браузера представляют собой тип вредоносных программ, и это в основном пользователи обязано убедиться, что они имеют чистую ОС при работе с финансовыми сайтами. Нет Bitcoin пользователи не должны быть запущены случайные исполняемые, и если вы используете какие-либо Bitcoin сайтов вы не должны устанавливать случайные расширения (в частности, те, которые просят разрешения на запуск на blockchain.info/Mt.Gox/instawallet и т.д.). Текущая версия Js проверяющего специально позволяет других расширений продолжать запускать скрипты.
Multisig является единственным полным доказательством решением этой проблемы. |
|
|
|
|
25 декабря 2012, 9:01:37 AM
|
# 20 |
|
Сообщения: 2436
цитировать ответ |
Re: Blockchain.info не безопасно - Мой кошелек Пароль Stealer (Передает «Verifier»)
может кто-нибудь объяснить мне, что такое расширение браузера может сделать?
Я понимаю, что плагин, который может "получить доступ к данным на всех веб-страниц" Можно законно (С точкой зрения браузера ценных бумаг) получить доступ к паролю, когда пользователи обращаются blockchain.info. OP сделал это звучит как злонамеренное расширение, которое может - скажет - читать ваши данные на bitcoincharts.com (какой-то образом расширить опыт пользователя или любой другие) может получить доступ к паролю blockchain.info и отправить его домой. Хороший пример может быть Adblock, который должен быть в состоянии получить доступ (чтение и манипулировать) содержание всех страниц, которые вы посещаете, а также должно быть в состоянии использовать сетевые подключения для обновления фильтра. Я не могу найти какие-либо расширения, связанные с настройками безопасности в хроме. Вот некоторая информация для разработчиков: http://developer.chrome.com/extensions/contentSecurityPolicy.html. Кто-нибудь в курсе и может спасти меня некоторое чтение? |
|
|
|
Как заработать Биткоины?
Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包
bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru
3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW
Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包
bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru
3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW
Регистрация для новых участников, на данный момент не доступна. Просим извинения за временные неудобства.