Localbitcoins Update | Биткоин форум

   Несколько отчетов, которые отозвали были заморожены и не покинувшие "в ожидании" государство. (3:52 вечера EST)

   Персонал опубликовал обновление в блоге -> http://localbitcoins.blogspot.com/2014/04/initial-response-regarding.html Они делают заявление о том, что произведенные пользователи не имеют включен второй фактор. (4:22 вечера EST)

   Сотрудники исправил свой пост признавая, что они подтвердили три случая людей с вторым фактором, имеющими средствами украдены. Они говорят, что эти инциденты не затрагивают большое количество пользователей. (4:30 EST)

   Персонал подтверждает, что изымает может быть отложено, пока этот беспорядок сортируется. (4:38 EST)

   На конференции по этому вопросу, все пострадавшие торговцы в посещаемости сообщили LocalBitcoins еще не представили какой-либо ответ на поддержку билетов. (8:00 вечера EST)

   Случаи этой формы атаки по всей видимости, начались ~ 48 часов назад, монеты появляются отозванными на внешний адрес, несмотря на 2fa. (8:34 вечера EST)

   Отозвали были полностью заморожены в течение более часа в настоящее время. (9:38 вечера EST)

Любой парень Localbitcoiners здесь? У меня есть в настоящее время активный список (ов). Просто интересно Whats лучший курс действий?

Видимо, пытаясь Вывод делает вас восприимчивым к XSS атаки.

^^^ я только что вошел в мою localbitcoins.com счет. Ничего не знаком. Но я отозвала все свои монеты 2 месяца назад, и у меня нет больше никаких монет в моем счете. Другие объявления продам / куплю видимы.

Цитата: bryant.coleman 18 апреля 2014 года, 5:18:57 AM

Очень хорошо, что вы проверить, возгласы Бри

Надеюсь, что нет ничего слишком серьезно - Хотя больше людей на их форуме сообщают недостающие монеты с 2fa включена - Волноваться

поэтому лучше не выводить монеты из localbitcoins сейчас?

Цитата: chandan123 18 апреля 2014 года, 5:54:30 AM

поэтому лучше не выводить монеты из localbitcoins сейчас?

К сожалению, не может быть много помощи Chandan, все еще пытаясь узнать больше - Выплаты, возможно, зависит от JavaScript, некоторые люди рекомендуют отключить, если вы собираетесь делать попытку вывода?

Я связался еще один друг продавца моего, потому что теперь мы оба оставляя в списках активных до Localbitcoins команды сделать еще одно обновление.

Команда Localbitcoins имеет довольно солидную историю, и всегда целесообразно фиксируя любые вопросы.

Цитата: Rockhound 18 апреля 2014 года, 5:40:19 AM

Несмотря на то что больше людей на их форуме сообщают недостающие монеты с поддержкой 2fa - Тревожные

По словам админов Localbitcoins, только 3 человека с 2fa потеряли свои монеты. Является ли реальное число больше, чем это? Если это так, то этот случай напоминает мне о горе GOx. Народ GOx также утверждал, первоначально, что нарушение не было серьезным.

Цитата: bryant.coleman 18 апреля 2014 года, 6:29:23 AM

Любая операция бизнес изначально будет претендовать на проблему не быть серьезным в противном случае не было бы массовая паника. В обоих случаях (серьезные и несерьезные), было бы лучше, чтобы претендовать на пониженную степень тяжести просто потому, что это правда, если она не является серьезной, и если его не покупает вам время, чтобы исправить или красть, прежде чем люди начинают подозревать, и паника снятие и найти его не работает.

Цитата: Rockhound 18 апреля 2014 года, 6:11:23 AM

спасибо . но Отключение JavaScript делает кнопку вывести нефункциональным я думаю
собирался попробовать снять, но позвольте мне ждать в течение дня

Цитата: Свет от 18 апреля 2014 года, 6:32:50 AM

Знаешь что? Я планировал продать 1 BTC (для приказного) завтра на Localbitcoins (В моей стране, вывод Фиата Bitstamp / BTC-E может занять много времени). Похоже, мне придется конвертировать его где-нибудь в другом месте.

скорее всего, инсайдерская работа.

Слишком много раз я вижу Bitcoin услуги поставили свои hotwallets на удаленных серверах. что делает его еще хуже, они положили его на удаленных серверах, которые принимают Bitcoin. это немного светящийся неоновый знак того, что говорят, что хостинг-провайдер знает все о Bitcoin и имеет полный доступ к исходному коду. поэтому независимо от того, сколько безопасности поставщик услуг или клиенты используют не для предотвращения внешних вторжений. нет ничего, чтобы остановить инсайдер ..

История показала, что большинство взломов были на самом деле внутри рабочие места .. будет Bitcoin провайдеры когда-либо узнать. пользователи будут сервис когда-либо узнать

не хранить большие суммы для длительных периодов на услуги третьих лиц.

Теперь водозабор работает в LBC?

Цитата: пандит 18 апреля 2014 года, 1:16:56 PM

Теперь водозабор работает в LBC?

Приветствия Пандит, как долго он вас?

Цитата: franky1 18 апреля 2014 года, 7:38:10 AM

Вы можете быть правы мой брат, другие думают, что это возможно - просто занимает одно плохое яблоко! Я надеюсь, что они в полной мере обеспечить это в ближайшее время.

Цитата: Rockhound 18 апреля 2014 года, 1:46:55 PM

Цитата: пандит 18 апреля 2014 года, 1:16:56 PM

Теперь водозабор работает в LBC?

Приветствия Пандит, как долго он вас?

на самом деле я прошу, если кто отзывать из них БТД

Цитата: пандит 18 апреля 2014 года, 2:38:22 PM

Цитата: Rockhound 18 апреля 2014 года, 1:46:55 PM

Цитата: пандит 18 апреля 2014 года, 1:16:56 PM

Теперь водозабор работает в LBC?

Приветствия Пандит, как долго он вас?

на самом деле я прошу, если кто отзывать из них БТД

лол Mybad - Да, так что некоторые пользователи сообщают о том, что снятие денег обрабатываются. 45 минут для полного Подтверждения.

Localbitcoins Team недавно опубликовал следующее: http://localbitcoins.blogspot.fi/2014/04/investigation-report-of-claimed.html

Я все еще жду еще объявления говорят "все хорошо / обеспечить"

Если вы собираетесь попробовать только убедитесь, что у вас есть 2fa и запустить проверку на вирусы первым.

Цитата: franky1 18 апреля 2014 года, 7:38:10 AM

LocalBitcoins ответ команды:

Этот случай также весьма маловероятно, что внутренняя работа. LocalBitcoins регистрирует все действия, сделанные его сотрудниками поддержки и разработчиками в журнал аудита, поэтому потенциал злоупотребления привилегиями персонала легко раскрыта. Двухфакторная аутентификация кода и пароли не доступны обслуживающий персонал. Кроме того, это будет не очень рационально инсайдер атаковать против одного конкретного пользователя и его / ее кошелька только если инсайдер будет иметь доступ ко всем кошелькам.

Это ответ, который я отправил на блоге LocalBitcoins:

котировка

Из данной информации, кража зависит от 1) сессии угона и 2) скомпрометирована 2fa. Хотя это, безусловно, свидетельствует о зараженном устройстве пользователя, LocalBitcoins необходимо принимать более активные действия для подавления угона сессий.

Даже при включенном 2fa, запросы, которые исходят от пользователя с другого IP-адреса и браузер, чем то, что было записано в инициировании сессии должен быть дан ответ, немедленно уничтожая эту сессию и просит пользователя Reauthenticate. В данном конкретном случае, запрос на вывод был связан с IP-адресом и агента пользователя заголовка, которые были различимо отличается от той, которая была записана в начале сессии. В результате, запрос должен быть помечен как подозрительный и отрицал.

Конечно, такая политика не может быть в состоянии предотвратить кражи в данном конкретном случае. Если злоумышленник сможет получить не только-только разрешения на чтение, но и разрешения выполнения на устройстве пользователя, то злоумышленник мог бы послать запрос непосредственно с устройства пользователя, используя существующий сеанс, и запрос не будет появляться подозрительными к серверу , Если злоумышленник сможет получить доступ как пароль пользователя и 2fa код, то злоумышленник может просто создать новую сессию в любом месте, а затем отправить запрос на снятие.

Тем не менее, это вызывает тревогу, обнаружив, что безопасность управления сеансами в LocalBitcoins конечно не хватает. Принимая более активный подход к безопасности сеанса поможет подавлять атаки и укрепить доверие к платформе LocalBitcoins. Хороший технический обзор этой темы можно найти здесь: https://wblinks.com/notes/secure-session-management-tips/

Для тех, кто использует LocalBitcoins, самый безопасный курс действий 1) позволяет 2fa и 2) выход из системы после каждой сессии. Выход из закроет сеанс пользователя, и без каких-либо активных сеансов вы не восприимчивы к попытке угона сессии.

Так это выглядит, как учетная запись пользователя была взломана с помощью пользовательского устройства? Интересно, если LBTC сделал что-нибудь подозрительное здесь?

Цитата: Rishodi 18 апреля 2014 года, 6:56:39 PM

Это ответ, который я отправил на блоге LocalBitcoins:

котировка

Спасибо за входной Rishodi! Является ли сеанс выхода из системы можно с помощью активного списка?

18 апреля 2014, 4:45:30 AM	# 1
Rockhound Сообщения: 224 Цитировать по имени цитировать ответ	Re: Обновление Localbitcoins Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru Несколько отчетов, которые отозвали были заморожены и не покинувшие "в ожидании" государство. (3:52 вечера EST) Персонал опубликовал обновление в блоге -> http://localbitcoins.blogspot.com/2014/04/initial-response-regarding.html Они делают заявление о том, что произведенные пользователи не имеют включен второй фактор. (4:22 вечера EST) Сотрудники исправил свой пост признавая, что они подтвердили три случая людей с вторым фактором, имеющими средствами украдены. Они говорят, что эти инциденты не затрагивают большое количество пользователей. (4:30 EST) Персонал подтверждает, что изымает может быть отложено, пока этот беспорядок сортируется. (4:38 EST) На конференции по этому вопросу, все пострадавшие торговцы в посещаемости сообщили LocalBitcoins еще не представили какой-либо ответ на поддержку билетов. (8:00 вечера EST) Случаи этой формы атаки по всей видимости, начались ~ 48 часов назад, монеты появляются отозванными на внешний адрес, несмотря на 2fa. (8:34 вечера EST) Отозвали были полностью заморожены в течение более часа в настоящее время. (9:38 вечера EST) Любой парень Localbitcoiners здесь? У меня есть в настоящее время активный список (ов). Просто интересно Whats лучший курс действий? Видимо, пытаясь Вывод делает вас восприимчивым к XSS атаки.

18 апреля 2014, 5:18:57 AM	# 2
bryant.coleman Сообщения: 1652 Цитировать по имени цитировать ответ	Re: Обновление Localbitcoins Получил 1806 Биткоинов Реальная история. ^^^ я только что вошел в мою localbitcoins.com счет. Ничего не знаком. Но я отозвала все свои монеты 2 месяца назад, и у меня нет больше никаких монет в моем счете. Другие объявления продам / куплю видимы.

18 апреля 2014, 5:40:19 AM	# 3
Rockhound Сообщения: 224 Цитировать по имени цитировать ответ	Re: Обновление Localbitcoins Цитата: bryant.coleman 18 апреля 2014 года, 5:18:57 AM ^^^ я только что вошел в мою localbitcoins.com счет. Ничего не знаком. Но я отозвала все свои монеты 2 месяца назад, и у меня нет больше никаких монет в моем счете. Другие объявления продам / куплю видимы. Очень хорошо, что вы проверить, возгласы Бри Надеюсь, что нет ничего слишком серьезно - Хотя больше людей на их форуме сообщают недостающие монеты с 2fa включена - Волноваться

18 апреля 2014, 5:54:30 AM	# 4
chandan123 Сообщения: 201 Цитировать по имени цитировать ответ	Re: Обновление Localbitcoins поэтому лучше не выводить монеты из localbitcoins сейчас?

18 апреля 2014, 6:11:23 AM	# 5
Rockhound Сообщения: 224 Цитировать по имени цитировать ответ	Re: Обновление Localbitcoins Цитата: chandan123 18 апреля 2014 года, 5:54:30 AM поэтому лучше не выводить монеты из localbitcoins сейчас? К сожалению, не может быть много помощи Chandan, все еще пытаясь узнать больше - Выплаты, возможно, зависит от JavaScript, некоторые люди рекомендуют отключить, если вы собираетесь делать попытку вывода? Я связался еще один друг продавца моего, потому что теперь мы оба оставляя в списках активных до Localbitcoins команды сделать еще одно обновление. Команда Localbitcoins имеет довольно солидную историю, и всегда целесообразно фиксируя любые вопросы.

18 апреля 2014, 6:29:23 AM	# 6
bryant.coleman Сообщения: 1652 Цитировать по имени цитировать ответ	Re: Обновление Localbitcoins Цитата: Rockhound 18 апреля 2014 года, 5:40:19 AM Несмотря на то что больше людей на их форуме сообщают недостающие монеты с поддержкой 2fa - Тревожные По словам админов Localbitcoins, только 3 человека с 2fa потеряли свои монеты. Является ли реальное число больше, чем это? Если это так, то этот случай напоминает мне о горе GOx. Народ GOx также утверждал, первоначально, что нарушение не было серьезным.

18 апреля 2014, 6:32:50 AM	# 7
Легкий Сообщения: 714 Цитировать по имени цитировать ответ	Re: Обновление Localbitcoins Цитата: bryant.coleman 18 апреля 2014 года, 6:29:23 AM По словам админов Localbitcoins, только 3 человека с 2fa потеряли свои монеты. Является ли реальное число больше, чем это? Если это так, то этот случай напоминает мне о горе GOx. Народ GOx также утверждал, первоначально, что нарушение не было серьезным. Любая операция бизнес изначально будет претендовать на проблему не быть серьезным в противном случае не было бы массовая паника. В обоих случаях (серьезные и несерьезные), было бы лучше, чтобы претендовать на пониженную степень тяжести просто потому, что это правда, если она не является серьезной, и если его не покупает вам время, чтобы исправить или красть, прежде чем люди начинают подозревать, и паника снятие и найти его не работает.

18 апреля 2014, 7:22:21 AM	# 8
chandan123 Сообщения: 201 Цитировать по имени цитировать ответ	Re: Обновление Localbitcoins Цитата: Rockhound 18 апреля 2014 года, 6:11:23 AM К сожалению, не может быть много помощи Chandan, все еще пытаясь узнать больше - Выплаты, возможно, зависит от JavaScript, некоторые люди рекомендуют отключить, если вы собираетесь делать попытку вывода? Я связался еще один друг продавца моего, потому что теперь мы оба оставляя в списках активных до Localbitcoins команды сделать еще одно обновление. Команда Localbitcoins имеет довольно солидную историю, и всегда целесообразно фиксируя любые вопросы. спасибо . но Отключение JavaScript делает кнопку вывести нефункциональным я думаю собирался попробовать снять, но позвольте мне ждать в течение дня

18 апреля 2014, 7:28:50 AM	# 9
bryant.coleman Сообщения: 1652 Цитировать по имени цитировать ответ	Re: Обновление Localbitcoins Цитата: Свет от 18 апреля 2014 года, 6:32:50 AM Любая операция бизнес изначально будет претендовать на проблему не быть серьезным в противном случае не было бы массовая паника. В обоих случаях (серьезные и несерьезные), было бы лучше, чтобы претендовать на пониженную степень тяжести просто потому, что это правда, если она не является серьезной, и если его не покупает вам время, чтобы исправить или красть, прежде чем люди начинают подозревать, и паника снятие и найти его не работает. Знаешь что? Я планировал продать 1 BTC (для приказного) завтра на Localbitcoins (В моей стране, вывод Фиата Bitstamp / BTC-E может занять много времени). Похоже, мне придется конвертировать его где-нибудь в другом месте.

18 апреля 2014, 7:38:10 AM	# 10
franky1 Сообщения: 1890 Цитировать по имени цитировать ответ	Re: Обновление Localbitcoins скорее всего, инсайдерская работа. Слишком много раз я вижу Bitcoin услуги поставили свои hotwallets на удаленных серверах. что делает его еще хуже, они положили его на удаленных серверах, которые принимают Bitcoin. это немного светящийся неоновый знак того, что говорят, что хостинг-провайдер знает все о Bitcoin и имеет полный доступ к исходному коду. поэтому независимо от того, сколько безопасности поставщик услуг или клиенты используют не для предотвращения внешних вторжений. нет ничего, чтобы остановить инсайдер .. История показала, что большинство взломов были на самом деле внутри рабочие места .. будет Bitcoin провайдеры когда-либо узнать. пользователи будут сервис когда-либо узнать не хранить большие суммы для длительных периодов на услуги третьих лиц.

18 апреля 2014, 1:16:56 PM	# 11
брамин Сообщений: 68 Цитировать по имени цитировать ответ	Re: Обновление Localbitcoins Теперь водозабор работает в LBC?

18 апреля 2014, 1:46:55 PM	# 12
Rockhound Сообщения: 224 Цитировать по имени цитировать ответ	Re: Обновление Localbitcoins Цитата: пандит 18 апреля 2014 года, 1:16:56 PM Теперь водозабор работает в LBC? Приветствия Пандит, как долго он вас?

18 апреля 2014, 1:49:38 PM	# 13
Rockhound Сообщения: 224 Цитировать по имени цитировать ответ	Re: Обновление Localbitcoins Цитата: franky1 18 апреля 2014 года, 7:38:10 AM скорее всего, инсайдерская работа. Слишком много раз я вижу Bitcoin услуги поставили свои hotwallets на удаленных серверах. что делает его еще хуже, они положили его на удаленных серверах, которые принимают Bitcoin. это немного светящийся неоновый знак того, что говорят, что хостинг-провайдер знает все о Bitcoin и имеет полный доступ к исходному коду. поэтому независимо от того, сколько безопасности поставщик услуг или клиенты используют не для предотвращения внешних вторжений. нет ничего, чтобы остановить инсайдер .. История показала, что большинство взломов были на самом деле внутри рабочие места .. будет Bitcoin провайдеры когда-либо узнать. пользователи будут сервис когда-либо узнать не хранить большие суммы для длительных периодов на услуги третьих лиц. Вы можете быть правы мой брат, другие думают, что это возможно - просто занимает одно плохое яблоко! Я надеюсь, что они в полной мере обеспечить это в ближайшее время.

18 апреля 2014, 2:38:22 PM	# 14
брамин Сообщений: 68 Цитировать по имени цитировать ответ	Re: Обновление Localbitcoins Цитата: Rockhound 18 апреля 2014 года, 1:46:55 PM Цитата: пандит 18 апреля 2014 года, 1:16:56 PM Теперь водозабор работает в LBC? Приветствия Пандит, как долго он вас? на самом деле я прошу, если кто отзывать из них БТД

18 апреля 2014, 2:55:10 PM	# 15
Rockhound Сообщения: 224 Цитировать по имени цитировать ответ	Re: Обновление Localbitcoins Цитата: пандит 18 апреля 2014 года, 2:38:22 PM Цитата: Rockhound 18 апреля 2014 года, 1:46:55 PM Цитата: пандит 18 апреля 2014 года, 1:16:56 PM Теперь водозабор работает в LBC? Приветствия Пандит, как долго он вас? на самом деле я прошу, если кто отзывать из них БТД лол Mybad - Да, так что некоторые пользователи сообщают о том, что снятие денег обрабатываются. 45 минут для полного Подтверждения. Localbitcoins Team недавно опубликовал следующее: http://localbitcoins.blogspot.fi/2014/04/investigation-report-of-claimed.html Я все еще жду еще объявления говорят "все хорошо / обеспечить" Если вы собираетесь попробовать только убедитесь, что у вас есть 2fa и запустить проверку на вирусы первым.

18 апреля 2014, 2:56:13 PM	# 16
Rockhound Сообщения: 224 Цитировать по имени цитировать ответ	Re: Обновление Localbitcoins Цитата: franky1 18 апреля 2014 года, 7:38:10 AM скорее всего, инсайдерская работа. Слишком много раз я вижу Bitcoin услуги поставили свои hotwallets на удаленных серверах. что делает его еще хуже, они положили его на удаленных серверах, которые принимают Bitcoin. это немного светящийся неоновый знак того, что говорят, что хостинг-провайдер знает все о Bitcoin и имеет полный доступ к исходному коду. поэтому независимо от того, сколько безопасности поставщик услуг или клиенты используют не для предотвращения внешних вторжений. нет ничего, чтобы остановить инсайдер .. История показала, что большинство взломов были на самом деле внутри рабочие места .. будет Bitcoin провайдеры когда-либо узнать. пользователи будут сервис когда-либо узнать не хранить большие суммы для длительных периодов на услуги третьих лиц. LocalBitcoins ответ команды: Этот случай также весьма маловероятно, что внутренняя работа. LocalBitcoins регистрирует все действия, сделанные его сотрудниками поддержки и разработчиками в журнал аудита, поэтому потенциал злоупотребления привилегиями персонала легко раскрыта. Двухфакторная аутентификация кода и пароли не доступны обслуживающий персонал. Кроме того, это будет не очень рационально инсайдер атаковать против одного конкретного пользователя и его / ее кошелька только если инсайдер будет иметь доступ ко всем кошелькам.

18 апреля 2014, 6:56:39 PM	# 17
Rishodi Сообщений: 79 Цитировать по имени цитировать ответ	Re: Обновление Localbitcoins Это ответ, который я отправил на блоге LocalBitcoins: котировка Из данной информации, кража зависит от 1) сессии угона и 2) скомпрометирована 2fa. Хотя это, безусловно, свидетельствует о зараженном устройстве пользователя, LocalBitcoins необходимо принимать более активные действия для подавления угона сессий. Даже при включенном 2fa, запросы, которые исходят от пользователя с другого IP-адреса и браузер, чем то, что было записано в инициировании сессии должен быть дан ответ, немедленно уничтожая эту сессию и просит пользователя Reauthenticate. В данном конкретном случае, запрос на вывод был связан с IP-адресом и агента пользователя заголовка, которые были различимо отличается от той, которая была записана в начале сессии. В результате, запрос должен быть помечен как подозрительный и отрицал. Конечно, такая политика не может быть в состоянии предотвратить кражи в данном конкретном случае. Если злоумышленник сможет получить не только-только разрешения на чтение, но и разрешения выполнения на устройстве пользователя, то злоумышленник мог бы послать запрос непосредственно с устройства пользователя, используя существующий сеанс, и запрос не будет появляться подозрительными к серверу , Если злоумышленник сможет получить доступ как пароль пользователя и 2fa код, то злоумышленник может просто создать новую сессию в любом месте, а затем отправить запрос на снятие. Тем не менее, это вызывает тревогу, обнаружив, что безопасность управления сеансами в LocalBitcoins конечно не хватает. Принимая более активный подход к безопасности сеанса поможет подавлять атаки и укрепить доверие к платформе LocalBitcoins. Хороший технический обзор этой темы можно найти здесь: https://wblinks.com/notes/secure-session-management-tips/ Для тех, кто использует LocalBitcoins, самый безопасный курс действий 1) позволяет 2fa и 2) выход из системы после каждой сессии. Выход из закроет сеанс пользователя, и без каких-либо активных сеансов вы не восприимчивы к попытке угона сессии.

18 апреля 2014, 7:03:18 PM	# 18
kittucrypt Сообщения: 233 Цитировать по имени цитировать ответ	Re: Обновление Localbitcoins Так это выглядит, как учетная запись пользователя была взломана с помощью пользовательского устройства? Интересно, если LBTC сделал что-нибудь подозрительное здесь?

18 апреля 2014, 7:26:31 PM	# 19
Rockhound Сообщения: 224 Цитировать по имени цитировать ответ	Re: Обновление Localbitcoins Цитата: Rishodi 18 апреля 2014 года, 6:56:39 PM Это ответ, который я отправил на блоге LocalBitcoins: котировка Из данной информации, кража зависит от 1) сессии угона и 2) скомпрометирована 2fa. Хотя это, безусловно, свидетельствует о зараженном устройстве пользователя, LocalBitcoins необходимо принимать более активные действия для подавления угона сессий. Даже при включенном 2fa, запросы, которые исходят от пользователя с другого IP-адреса и браузер, чем то, что было записано в инициировании сессии должен быть дан ответ, немедленно уничтожая эту сессию и просит пользователя Reauthenticate. В данном конкретном случае, запрос на вывод был связан с IP-адресом и агента пользователя заголовка, которые были различимо отличается от той, которая была записана в начале сессии. В результате, запрос должен быть помечен как подозрительный и отрицал. Конечно, такая политика не может быть в состоянии предотвратить кражи в данном конкретном случае. Если злоумышленник сможет получить не только-только разрешения на чтение, но и разрешения выполнения на устройстве пользователя, то злоумышленник мог бы послать запрос непосредственно с устройства пользователя, используя существующий сеанс, и запрос не будет появляться подозрительными к серверу , Если злоумышленник сможет получить доступ как пароль пользователя и 2fa код, то злоумышленник может просто создать новую сессию в любом месте, а затем отправить запрос на снятие. Тем не менее, это вызывает тревогу, обнаружив, что безопасность управления сеансами в LocalBitcoins конечно не хватает. Принимая более активный подход к безопасности сеанса поможет подавлять атаки и укрепить доверие к платформе LocalBitcoins. Хороший технический обзор этой темы можно найти здесь: https://wblinks.com/notes/secure-session-management-tips/ Для тех, кто использует LocalBitcoins, самый безопасный курс действий 1) позволяет 2fa и 2) выход из системы после каждой сессии. Выход из закроет сеанс пользователя, и без каких-либо активных сеансов вы не восприимчивы к попытке угона сессии. Спасибо за входной Rishodi! Является ли сеанс выхода из системы можно с помощью активного списка?

18 апреля 2014, 7:27:08 PM	# 20
Rockhound Сообщения: 224 Цитировать по имени цитировать ответ	Re: Обновление Localbitcoins Coindesk, обзор событий: http://www.coindesk.com/localbitcoins-releases-investigation-report-site-wallet-issues/

Заголовок