JSON-RPC пароль | Биткоин форум

		Биткоин Форум > Разработка и Техническое Обсуждение
JSON-RPC пароль

18 июля 2010, 8:49:22 PM	# 1
Satoshi Сообщения: 364 Цитировать по имени цитировать ответ	Re: JSON-RPC пароль Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru Я загрузил в SVN моих изменений добавить пароль к JSON-RPC. Если вы настроены на строительство, пожалуйста, проверьте его. Переключатель -server заменяется -rpcpw =<пароль>, Который также используется с bitcoind. Bitcoin -rpcpw =<пароль> - работает с JSON-RPC порт открытым bitcoind -rpcpw =<пароль> - демон с паролем Если у вас есть лучшее представление для имени коммутатора, дайте мне знать, но имейте в виду, что есть в конечном итоге будет пароль для шифрования базы данных тоже. Я не уверен, но я думаю, что они могут захотеть использовать разные пароли для двоих. Это дает предупреждение, если вы не установите пароль. Все команды теперь требуют пароля в качестве первого параметра. Он скажет вам, что если вы запустите "bitcoind помощь", Центральный код: // Проверка пароля если (params.size () < 1 \|\| Титулы [0] .type ()! = str_type) бросить runtime_error ("Первый параметр должен быть пароль."); если (PARAMS [0] .get_str ()! = strRPCPassword) { если (strRPCPassword.size () < 15) Сон (50); начинаются = strRequest.end (); Е ("ThreadRPCServer неправильного пароля попытки \ п"); бросить runtime_error ("Неверный пароль."); } Любые комментарии по этим решениям? 1) если (strRPCPassword.size () < 15) Сон (50); - это означает, что, если это короткий пароль, он будет ждать 50ms после каждой попытки. Это может быть использовано как атака DoS, но я понял, если это короткий пароль, это более важно для защиты от грубой силы проверки пароля. Это может сказать аутсайдерам ли пароль меньше 15 символов, но меньше 15 не все, что следует отметить, что большинство паролей меньше чем 15. Если вы хотите, чтобы закрыть возможность DoS, просто использовать пароль из 15 символов или более. 2) начинают = strRequest.end (); - если это один запрос с несколькими вызовами, я выбрасываю остальное, если один имеет плохой пароль. Это так что вы не можете наполнить его с миллионами попыток ввода пароля в одном пакете. Как вы думаете, это правильно делать? (Множественный вызов, вероятно, почти никогда не используется в любом случае) Я также установил две дублирующие команды, перечисленные в помощь: getaddressesbylabel <метка> getbalance getblockcount getblocknumber getconnectioncount getdifficulty getgenerate получить данные getlabel getnewaddress [метка] getreceivedbyaddress [Minconf = 1] getreceivedbylabel <метка> [Minconf = 1] Помогите listreceivedbyaddress [Minconf = 1] [includeempty = ложь] listreceivedbylabel [Minconf = 1] [includeempty = ложь] sendtoaddress <количество> [Комментарий] [комментарии к] setgenerate <генерировать> [Genproclimit] setlabel <метка> стоп

Как заработать Биткоины?
Без вложений. Не майнинг.

19 июля 2010, 12:44:52 AM	# 2
Laszlo Сообщения: 199 Цитировать по имени цитировать ответ	Re: JSON-RPC пароль Получил 1806 Биткоинов Реальная история. Я предполагаю, что это нормально для удаленно делать это, но если ваше беспокойство в том, что кто-то на ту же машину UNIX может украсть ваш биткойно это все равно не поможет, потому что они могут увидеть командную строку в / Proc, сверху, пс и т.д. Он мог читать пароль на стандартном ввод или использование Readline или что-то, чтобы защититься от этой конкретной вещи, по крайней мере. Позволять ему передается в командной строке не хорошо, на мой взгляд. Еще лучше было бы использовать ключевой файл, то вы можете использовать разрешения UNIX, чтобы сделать его доступным для чтения только этому пользователю, вроде как SSH делает .. то bitcoind может иметь файл «authorized_keys» с открытыми ключами. Во всяком случае я не имею в виду, чтобы быть ослом, но командная строка, что это просто ложное чувство безопасности.

19 июля 2010, 1:25:12 AM	# 3
Мартин Сообщения: 150 Цитировать по имени цитировать ответ	Re: JSON-RPC пароль Боюсь, я должен согласиться с Ласло здесь, используя сертификат / файл_ключа будет гораздо более безопасным. Сказать, что, спасибо за добавление некоторой безопасности к API JSON

19 июля 2010, 4:43:13 AM	# 4
Satoshi Сообщения: 364 Цитировать по имени цитировать ответ	Re: JSON-RPC пароль Верно, что это совсем немного лучше. Можете ли вы дать мне какие-нибудь примеры других вещей, что делает это таким образом? (И то, что командная строка выглядит) Основное изменение вы говорите здесь вместо -rpcpw = при запуске bitcoind, вы будете использовать переключатель, который задает текстовый файл, чтобы пойти и прочитать его от, не так ли? (Любые идеи, что я должен назвать переключатель?)

19 июля 2010, 12:02:39 PM	# 5
Гэвин Андресен Сообщения: 1652 Цитировать по имени цитировать ответ	Re: JSON-RPC пароль В Bitcoin Смесители (производство и испытание), в настоящее время работают с этим изменением. Я был смущен для немного, так как пароль задается LAST в командной строке, но первым в списке Params JSON-RPC. Я согласен, что чтение пароля командной строки из файла будет более удобным и более безопасным. Я постараюсь сделать некоторые исследования о том, как другие проекты решения аутентификации JSON-RPC.

19 июля 2010, 12:30:03 PM	# 6
Гэвин Андресен Сообщения: 1652 Цитировать по имени цитировать ответ	Re: JSON-RPC пароль Передача BitTorrent клиент делает проверку подлинности JSON-RPC; видеть "Дистанционное управление" раздел: https://trac.transmissionbt.com/wiki/ConfigurationParameters Например. setting.json файл может выглядеть следующим образом: Код: { "RPC с поддержкой": 1 "Rpc-аутентификации требуется": 1, "Rpc-пароль": "XXXXXXXXXX", "Rpc-порт": 9091, "Rpc-имя пользователя": "XXXXXXXXXX", "RPC-белый список с поддержкой": 1 "Rpc-белый список":"127.0.0.1,192.168. . " } Оно использует «Основная» аутентификация HTTP (Авторизация: основной base64 (имя пользователя: пароль) в заголовках HTTP).

19 июля 2010, 3:20:35 PM	# 7
Гэвин Андресен Сообщения: 1652 Цитировать по имени цитировать ответ	Re: JSON-RPC пароль После дальнейших исследований ... Я думаю, что подход передачи, в сочетании с существующим "разрешить только соединения от 127.0.0.1" хорошее короткий / среднесрочное решение. Ввод имени пользователя: пароль в settings.json файла в каталоге Aught Bitcoin работать хорошо (с Bitcoin можно уже разобрать JSON). И держать материал аутентификации от командной строки и в HTTP-заголовки вместо тех Params запроса JSON является красивым и чистым. В долгосрочной перспективе, "правильно" способ сделать проверку подлинности, безопасный JSON-RPC это с клиентской стороны сертификатов и HTTPS. Но это похоже, что это будет много работы по реализации и а большой кривой обучения для пользователей, чтобы выяснить, как генерировать сертификаты стороны клиента и как получить обе стороны соединения JSON-RPC с использованием их. И я даже не уверен, полномасштабное решение сертификата клиента решить проблему вредоносных Javascript делают запросы JSON-RPC через запросы XMLHttpRequest к локальной машине; если пользователь установил сертификат клиента в браузере (потому что возможно был щегольской JSON-RPC с питанием веб-интерфейс к управлению Bitcoin), будет браузер автоматически отправляет сертификат клиента, если вредоносный веб-сайт сделал запросы?

19 июля 2010, 4:20:50 PM	# 8
Satoshi Сообщения: 364 Цитировать по имени цитировать ответ	Re: JSON-RPC пароль Таким образом, вы удаляете файл настроек в ~ / .bitcoin каталог, который звучит лучше. в "пароль не установлен" предупреждение, он может сказать вам, где файл и что делать. Что является наиболее популярным и общие настройки формата файла? HTTP базовая аутентификация должна быть рассмотрена. В реальной практике, хотя, это больше работы для веб-разработчиков, чтобы выяснить, как задать пароль через некоторый дополнительный параметр в HTTP или JSON-RPC обертке, чем просто вставить дополнительный параметр в начале списка параметров. Как вы думаете? Есть ли получить HTTP базовой аутентификации нам дополнительные преимущества? Перемещение его из списка параметров, но тогда вам все равно придется конкретным его в более эзотерическом месте, я не уверен, это чистая победа. Цитата: Гэвин Андресен 19 июля 2010, 12:02:39 PM Я был смущен для немного, так как пароль задается LAST в командной строке, но первым в списке Params JSON-RPC. Я согласен, что чтение пароля командной строки из файла будет более удобным и более безопасным. Вы также путаешь меня, что вы имеете в виду? Я сделал что-то непредусмотренное?

19 июля 2010, 4:58:48 PM	# 9
Гэвин Андресен Сообщения: 1652 Цитировать по имени цитировать ответ	Re: JSON-RPC пароль Цитата: Satoshi от 19 июля 2010 года, 4:20:50 PM Таким образом, вы удаляете файл настроек в ~ / .bitcoin каталог, который звучит лучше. в "пароль не установлен" предупреждение, он может сказать вам, где файл и что делать. Что является наиболее популярным и общие настройки формата файла? Вы задаете непростые вопросы! Наиболее распространенные: вероятно, Окна INI файлы, так как Windows, является наиболее распространенной ОС. Я бы лоббировать для использования JSON; это (в основном) подмножество YAML (который является общим выбором для конфигурационных файлов), так что любой JSON или YAML парсер будет читать. котировка HTTP базовая аутентификация должна быть рассмотрена. В реальной практике, хотя, это больше работы для веб-разработчиков, чтобы выяснить, как задать пароль через некоторый дополнительный параметр в HTTP или JSON-RPC обертке, чем просто вставить дополнительный параметр в начале списка параметров. Как вы думаете? Есть ли получить HTTP базовой аутентификации нам дополнительные преимущества? Я думаю, что единственное большое преимущество состоит в том, что он держит аутентификацию, где она принадлежит на транспортном уровне, так что если в будущем, вы делать хочу пойти с полноценным HTTPS с сертификатами API не должны изменяться. котировка Цитата: Гэвин Андресен 19 июля 2010, 12:02:39 PM Я был смущен для немного, так как пароль задается LAST в командной строке, но первым в списке Params JSON-RPC. Я согласен, что чтение пароля командной строки из файла будет более удобным и более безопасным. Вы также путаешь меня, что вы имеете в виду? Я сделал что-то непредусмотренное? Нет, я просто спутать "команда" с "параметр"И сделал это: Код: > bitcoind помощь Ошибка: Первый параметр должен быть пароль. > bitcoind <мой пароль> Помогите ошибка: неизвестная команда: <мой пароль> >bitcoind помощь <мой пароль> ... это работает.

19 июля 2010, 5:23:28 PM	# 10
Василий Свиридов Сообщения: 104 Цитировать по имени цитировать ответ	Re: JSON-RPC пароль Если bitcoind быть более общесистемного демон? При аутентификации PAM и поддержку для всех пользователей системы, а не только один запустить его? Как сканирование /home/*/.bitcoin папки для файла бумажника и обеспечивает доступ как имя пользователя и системный пароль ...

19 июля 2010, 10:53:12 PM	# 11
Laszlo Сообщения: 199 Цитировать по имени цитировать ответ	Re: JSON-RPC пароль Если вы используете другой клиент JSON-RPC, что вы написали вы можете позаботиться, чтобы защитить пароль, но с использованием Bitcoin двоичного кода как клиент и передавая пароль в командной строке имеет тот же вопрос, как запустить демон с ним. Это по-прежнему виден каждому пользователю, что путь. Так как сервер и клиентский режим вызова нужно использовать файл и не принимает пароль в командной строке. Как правило, такие программы, как это не запустится, если режим на файл не 600 или что-то подобное, потому что это означает, что другие пользователи могут читать.

21 июля 2010, 12:05:20 AM	# 12
Satoshi Сообщения: 364 Цитировать по имени цитировать ответ	Re: JSON-RPC пароль Тем не менее нужно знать, что это наиболее типичный формат файла настроек на Linux. Есть ли стандартное расширение файла? Я никогда не видел файл настроек с помощью JSON, и это не выглядит очень дружен с человеком все, что необходимо, чтобы быть в кавычках. Я думаю, что я обычно вижу, как: # комментарий = значение параметра Есть ли файл настроек, что в Boost,? Когда вы используете bitcoind выдавать команды из командной строки в качестве клиента, мы можем это получить пароль из файла настроек, то тоже? Гэвин отметил, что я забыл увеличиваю столбец чисел в CommandLineRPC, так что ток -rpcpw = реализация не работает прямо из командной строки с параметрами нестроковыми. (JSON-RPC отлично) Все еще в стадии строительства.

21 июля 2010, 12:30:26 AM	# 13
Мартин Сообщения: 150 Цитировать по имени цитировать ответ	Re: JSON-RPC пароль Вы могли бы сделать хуже, чем при использовании YAML для настройки

21 июля 2010, 5:51:34 AM	# 14
Satoshi Сообщения: 364 Цитировать по имени цитировать ответ	Re: JSON-RPC пароль Я исследовал форматы файла конфигурации, вот сравнение. YAML массивно. Я не уверен, что есть легкая легко построить библиотеку можно интегрировать в наш проект. Кажется, слишком много. JSON заманчиво, и я склонен любить его, но два главных загвоздок: 1) Нет комментариев! Как вы можете иметь конфигурационный файл, в котором вы не можете закомментировать строку, чтобы отключить его? 2) Не очень дружественный к пользователю придется "котировка" все строки, в том числе ключей, а также должны помнить запятую в конце строки. { "ключ" : "стоимость", } Я полагаю, мы могли бы легко предобработки JSON чтение конфигурационного файла одну строку в то время, усечение строки в любой символ # (и / или "//"?), Сцепить их в строку и передать его в формат JSON, так что вы можете пойти: # комментарий "ключ" : "стоимость", # По-прежнему должны помнить запятую "key2" : "стоимость"// комментарий, как это или оба Повышение имеет повышение :: program_options. Мы могли читать строки себя и кормить их в карту<строка, строка> mapConfig. в то время как (! ВФ) считанная строка если «#» найдено, укоротить линию Раскол линия первого «:» -> ключ, значение mapConfig.insert (ключ, значение) Если мы будем использовать следующий синтаксис: # комментарий ключ: значение ...и не позволяют пробельных отступов перед ключами, я думаю, мы были бы подмножеством YAML и может переключаться на YAML когда-нибудь, если нам нужно больше сложность. Если мы идем с собой разобранным, это не означает, что мы не можем использовать JSON на конкретных значениях параметров в случае необходимости. Если параметр необходим список или более структурированные данные, он всегда мог разобрать его значение как JSON: Ключ: ["item1", "item2", "item3"] Несмотря на то, что это должно быть на одной линии, то. Я предполагаю, что я склоняюсь к себе разобран mapConfig: # комментарий ключ: значение

21 июля 2010, 6:52:43 AM	# 15
Lachesis Сообщения: 210 Цитировать по имени цитировать ответ	Re: JSON-RPC пароль Простейшие конфигурационные файлы Linux обычно имеют форматы, которые выглядят примерно так: Код: # Как часто (в минутах), данные сохраняются, когда все интерфейс находится в автономном режиме OfflineSaveInterval 30 # сила сохранения данных при изменении состояния интерфейса (1 = включено, 0 = отключено) SaveOnStatusChange 1 # Файл, используемый для входа, если UseLogging установлен в 1 Журнальный файл "/var/log/vnstat.log" # Файл, используемый в качестве / файл блокировки демона Pid PidFile "/var/run/vnstat.pid" Стандартное расширение, если есть один, это .conf. Хэш (#) является наиболее распространенным символом комментария далеки. SEMICOLON (и C-стиль комментариев подрезать слишком. Я думаю, что хороший, человеческий-манипулируемые конфигурационный файл, который не является частью кошелька будет большим шагом вперед. Есть много вариантов, которые в настоящее время указаны в командной строке (noirc, например, или -minimizetotray), которые могли бы быть лучше, указанный в конфигурационном файле.

21 июля 2010, 8:50:40 AM	# 16
Мартин Сообщения: 150 Цитировать по имени цитировать ответ	Re: JSON-RPC пароль Из этих вариантов Satoshi, представленных, я бы с себя разобран файл с разделителем символов ключ / значение представляет собой пространство, как Lachesis предложил, особенно если это типичный формат, по крайней мере, одной ОС.

21 июля 2010, 12:11:10 PM	# 17
Гэвин Андресен Сообщения: 1652 Цитировать по имени цитировать ответ	Re: JSON-RPC пароль Я думаю, что нет такой вещи, а а "типичный" Файл настроек на Linux! Я просто сделал быстрый обзор 20 .conf файлов в / и т.д. на моей системе Debian, то и нашел: 1 файл используется "ключевое значение" 5 используется "ключ = значение" (На самом деле, пара была "ключ = значение", Позволяя пробелы вокруг "знак равно") 14 сделали свое дело. 14, которые сделали свое дело было по всей карте; от одного-значения-в-линии "ключ: значение" к полномасштабной XML. # является универсальный символ комментария в мире Linux. Мой голос был бы для: # комментарий ключ1 = значение1

21 июля 2010, 4:07:57 PM	# 18
Satoshi Сообщения: 364 Цитировать по имени цитировать ответ	Re: JSON-RPC пароль Цитата: Гэвин Андресен 21 июля 2010, 12:11:10 PM Я просто сделал быстрый обзор 20 .conf файлов в / и т.д. на моей системе Debian, то и нашел: 1 файл используется "ключевое значение" 5 используется "ключ = значение" Спасибо за этот опрос! я нахожу "ключевое значение" немного неестественно. Там должно быть более определенным разделителем между ключом и значением, которое предполагает назначение. Пространственные люди могут просто получать ленивые с помощью разделения функции их языка. ключ = некоторое полное предложение с пробелами в нем. # Кажется более ясным ключ некоторые полное предложение с пробелами в нем. # чем это Allright затем, отпускает с себя разобранным mapConfig, синтаксисом: # комментарий ключ = значение файл расширения .conf. Что имя файла, это ~ / .bitcoin / settings.conf или ~ / .bitcoin / bitcoin.conf или что? Я думаю, что мы лучше раздеть пробелы в начале и в конце ключа и значения. # Пользователь, который любит столбец отформатирован к = значение ключ = значение longerkey = это предложение было бы это # "это предложение было бы это" ключ = значение # думают, что это слишком хорошо nextkey = значение право = оправдано Нормальный синтаксис должен быть "ключ = значение", Но вы не можете винить людей за время от времени "ключ = значение",

21 июля 2010, 5:31:09 PM	# 19
Satoshi Сообщения: 364 Цитировать по имени цитировать ответ	Re: JSON-RPC пароль повышение :: program_options имеет то же самое "ключ = значение" формат. Гэвин отметил, мы можем использовать его в простой форме, как синтаксический анализатор не вдаваясь во всем эзотерический C ++ синтаксиса извлечения типизированного значения. Мы можем использовать больше возможностей, если мы хотим, чтобы позже. Давайте идти вперед с HTTP базовой аутентификации вместо пароля в качестве параметра.

22 июля 2010, 1:11:26 AM	# 20
Гэвин Андресен Сообщения: 1652 Цитировать по имени цитировать ответ	Re: JSON-RPC пароль Я вызвался осуществить это, и добился хорошего прогресса сегодня. Satoshi: Я должен иметь патчи для вас завтра. Готово: научить Bitcoin читать настройки из {BITCOIN_DIR} файла /bitcoin.conf, и добавил -conf = path_to_config_file.conf параметр командной строки. Готово: научить Bitcoin RPC требовать HTTP обычной проверки подлинности, и запросы с неправильным именем пользователя / паролем отклонять. TODO: научить Bitcoin командной строки RPC для добавления авторизации: заголовок. Вы не должны дать имя пользователя / пароль, то при управлении Bitcoin из командной строки, она будет читать их из файла bitcoin.conf и делать правильные вещи. TODO: диалоговое окно или debug.log предупреждение, если не rpc.user / rpc.password не установлен, объясняя, как установить. TODO: предел подбора пароля попытки, если rpc.password является < 15 символов. TODO: обновите страницу вики JSON-RPC После того, как все это будет сделано, и я послал патчи Satoshi, я собираюсь добавить еще пару вещей bitcoin.conf: порт = # для установки прослушивания порта (переопределение по умолчанию 8333) rpc.port = #, чтобы установить порт JSON-RPC (переопределение по умолчанию 8332) При существующем -datadir вариант, который сделает это легче для меня, чтобы запустить несколько биткойны на одном поле.

« Предыдущая тема | Следующая тема »

Как заработать Биткоины?

Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包

bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru

3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW