Открытые рейтинги страдают от той же самой проблемы, как общий Open Source делает; источник не только открыт для "правильные люди", Поэтому речь идет о том, что неправильно они могут быть больше, чем за кон к потенциальному мошеннику.
Допустим, пользователь ABC имеет хороший рейтинг на # Bitcoin-ОТЦ, доносчик X идет проверить рейтинги и узнает его. Переход к другой сети / форум и захватывает ник ABC, выбирает цель и получить его доверие просит его проверить "его" рейтинг на # Bitcoin-ОТЦ.
Таким образом, мое предложение, чтобы избежать открытой экспозиции хорошо / плохо номинальных пользователей. Как? По хэширования их прозвища.
Вместо того, чтобы показать список, как:
Abc +5
CBE +4
декабрь +1
и т.д...
не показывает список на всех, но поле ввода для пользователя задачи поиска кого-то.
Так что давайте говорить, что я хочу знать, рейтинг Abc, я вхожу Abc и система двойной md5 это - предотвратить разворот md5 / трещин. Система проверяет, то для пользователя ключа (а не имя пользователя, потому что сама система не должна записывать их) со значением: 2018fe1c88d674e910db7ca3fe77e04f
Это может сделать strtolower либо на регистрацию и поиска избегайте регистрозависимого поиска пользователя и может быть также использована для адреса электронной почты; Тот же метод, не записывает адрес, но его хэш.
При отображении данных, нам нужно показать пользователю, который оценил его. Кто-то получил рейтинг + от того же пользователя снова и есть более чем подозрительно. Таким образом, здесь мы можем отобразить CRC32 имя_пользователь хэш оценщиков.
Почему CRC32, а не просто показать хэш? Легко, CRC32 гораздо меньше контрольная сумма, и гораздо проще для визуального сравнения, чем MD5.
Что вы думаете об этой идее?
|
|
||||||
27 февраля 2011, 1:04:16 AM
|
# 1 |
Сообщения: 1162
цитировать ответ |
Re: [ПРОЕКТ] ARS - Advanced рейтинговой системы
Взлом Биткоин адресов.
500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru |
|
|
|
Как заработать Биткоины?
Без вложений. Не майнинг.
|
27 февраля 2011, 1:28:47 AM
|
# 2 |
|
Сообщения: 2884
цитировать ответ |
Re: [ПРОЕКТ] ARS - Advanced рейтинговой системы
Получил 1806 Биткоинов
Реальная история. Это не решает вообще. Мошенник будет использовать только имя, они знают, что существует в целевой системе.
котировка система двойной md5 это - предотвратить разворот md5 / трещин. Не используйте MD5 для ничего, связанных с безопасностью. Это было сломано. Удвоение не помогает, если вообще. Если вам нужен 160-битный хэш, используйте RIPEMD-160. |
|
|
|
|
27 февраля 2011, 10:39:29 AM
|
# 3 |
|
Сообщения: 1162
цитировать ответ |
Re: [ПРОЕКТ] ARS - Advanced рейтинговой системы
MD5 не было "сломанный", это было "грубой вынуждены"/ Атакован словарей и так далее. Но если я дам вам MD5 хэш не существует на тех, "растрескивание баз данных" Вы не можете реверс известково его.
Удвоение это, как соление хэша сам по себе. Да, вы пришли, чтобы узнать, соль представляет собой 32-низший + цифровая строка, но удача на декодировании этого. Возможности 35 ^ 32 (2,57 Ч 10 ^ 49) только для декодирования основного хэша. Но теперь, это справедливо для всех хеширований, RIPEMD-160 включен, ни один из них не является грубой силой иммунной, если вы не будете использовать переменные привязываться к HardwareID или что-то конкретное для машины вычисления основного хэша; но это означало бы, что если этот компьютер ломается ваши данные идут с ним. MD5 только что был вокруг довольно долго, а некоторые "милая" Российские ребята даже поставить сайты для поиска для хэшей в их дБ, то Радужные таблицы ... Я хорошо знаю об этом. Во всяком случае, это не то, что "связанные с безопасностью," как хранить пароли на открытом воздухе, то для скрытия uname / электронной почты. И вам нужен алгоритм хеширования легко и быстро. Мошенник, используя имя, которое он знает, что существует не то же самое, как мошенник, чтобы иметь список опубликован где-то, где даже можно сравнить рейтинги и подобрать более подходящие для его намерений. Мой проект не "волшебный анти-мошенник", Потому что нет такой вещи, но попытка сделать жизнь сложнее. |
|
|
|
|
27 февраля 2011, 12:45:20 PM
|
# 4 |
|
Сообщения: 644
цитировать ответ |
Re: [ПРОЕКТ] ARS - Advanced рейтинговой системы
MD5 не было "сломанный", это было "грубой вынуждены"/ Атакован словарей и так далее. Но если я дам вам MD5 хэш не существует на тех, "растрескивание баз данных" Вы не можете реверс известково его. Проблема не с грубым форсированием или с помощью радужных таблиц; скорее, проблема с тем, как устойчивый хэш является атаки столкновения. MD5 было показано семь лет назад, чтобы быть устойчивым без столкновений; RIPE-MD 160 до сих пор считается столкновения устойчивы. Википедия имеет больше деталей.Удвоение это, как соление хэша сам по себе. Да, вы пришли, чтобы узнать, соль представляет собой 32-низший + цифровая строка, но удача на декодировании этого. Возможности 35 ^ 32 (2,57 Ч 10 ^ 49) только для декодирования основного хэша. Но теперь, это справедливо для всех хеширований, RIPEMD-160 включен, ни один из них не является грубой силой иммунной, если вы не будете использовать переменные привязываться к HardwareID или что-то конкретное для машины вычисления основного хэша; но это означало бы, что если этот компьютер ломается ваши данные идут с ним. MD5 только что был вокруг довольно долго, а некоторые "милая" Российские ребята даже поставить сайты для поиска для хэшей в их дБ, то Радужные таблицы ... Я хорошо знаю об этом. Во всяком случае, это не то, что "связанные с безопасностью," как хранить пароли на открытом воздухе, то для скрытия uname / электронной почты. И вам нужен алгоритм хеширования легко и быстро. Мошенник, используя имя, которое он знает, что существует не то же самое, как мошенник, чтобы иметь список опубликован где-то, где даже можно сравнить рейтинги и подобрать более подходящие для его намерений. Мой проект не "волшебный анти-мошенник", Потому что нет такой вещи, но попытка сделать жизнь сложнее. |
|
|
|
|
27 февраля 2011, 12:55:58 PM
|
# 5 |
|
Сообщения: 1162
цитировать ответ |
Re: [ПРОЕКТ] ARS - Advanced рейтинговой системы
Проблема не с грубым форсированием или с помощью радужных таблиц; скорее, проблема с тем, как устойчивый хэш является атаки столкновения. MD5 было показано семь лет назад, чтобы быть устойчивым без столкновений; RIPE-MD 160 до сих пор считается столкновения устойчивы. Википедия имеет больше деталей. К сожалению, это будет аксессуар не существенным. Существенным является создание способа защиты и обеспечения Рейтеры и рейтинги ID. Если идет хэширования больше влево или правее, является Techincal вопрос / nerdness быть решены в ходе самого развития. Для ориентира здесь он должен быть широко доступны, необратимы и быстрый алгоритм. MD5, RIPE, ША ... не совсем имеет большое значение. |
|
|
|
|
27 февраля 2011, 1:00:09 PM
|
# 6 |
|
Сообщения: 644
цитировать ответ |
Re: [ПРОЕКТ] ARS - Advanced рейтинговой системы
Проблема не с грубым форсированием или с помощью радужных таблиц; скорее, проблема с тем, как устойчивый хэш является атаки столкновения. MD5 было показано семь лет назад, чтобы быть устойчивым без столкновений; RIPE-MD 160 до сих пор считается столкновения устойчивы. Википедия имеет больше деталей. К сожалению, это будет аксессуар не существенным. Существенным является создание способа защиты и обеспечения Рейтеры и рейтинги ID. Если идет хэширования больше влево или правее, является Techincal вопрос / nerdness быть решены в ходе самого развития. Для ориентира здесь он должен быть широко доступны, необратимы и быстрый алгоритм. MD5, RIPE, ША ... не совсем имеет большое значение. Edit: не означает необратимое, не имел в виду не столкновений. К сожалению ...! |
|
|
|
|
27 февраля 2011, 1:07:09 PM
|
# 7 |
|
Сообщения: 1162
цитировать ответ |
Re: [ПРОЕКТ] ARS - Advanced рейтинговой системы
Тем не менее столкновение нападение вряд ли будет проблемой, даже если MD5 был выбран, по простой причине; он не используется для ничего связанного с компьютером решения, а скорее к человеческому решению.
Одно было бы доносчик сказать: Перейти проверить мой ник, говоря ник Джон, на рейтинг сайта A - или - Перейти проверить «что-то совершенно нечетким и невозможно прочитать, что делает тот же хэш, как Джон» на рейтинг сайта A В то время как на компьютере: Джон и aiyho23 # 4072S""u3989hruiohefu9034 может быть тем же, что (как это на самом деле не понимает, что означает либо один), для человека это не так. (Примечание: для примера, я не вычислить ни хэш, я не знаю, если эта строка выдает один и тот же хэш, как Джон, может проверить, но не нужно, я думаю, вы не можете понять, что я имею в виду) |
|
|
|
|
27 февраля 2011, 1:23:52 PM
|
# 8 |
|
Сообщения: 644
цитировать ответ |
Re: [ПРОЕКТ] ARS - Advanced рейтинговой системы
Тем не менее столкновение нападение вряд ли будет проблемой, даже если MD5 был выбран, по простой причине; он не используется для ничего связанного с компьютером решения, а скорее к человеческому решению. Мое понимание вашего первоначального предложения - и извинения, если я неправильно поняли - это то, что мы не использовать "Джон", Алиса имеет хороший опыт работы с Джоном, поэтому она использует вашу рейтинговую систему. Это приводит к хэш, H ("Джон"), И "Гол"1. Боб затем задается вопросом, если Джон заслуживающим доверия, входит "Джон" в рейтинговой системе, система просматривает H ("Джон"), и возвращает "1",Одно было бы доносчик сказать: Перейти проверить мой ник, говоря ник Джон, на рейтинг сайта A - или - Перейти проверить «что-то совершенно нечетким и невозможно прочитать, что делает тот же хэш, как Джон» на рейтинг сайта A В то время как на компьютере: Джон и aiyho23 # 4072S""u3989hruiohefu9034 может быть тем же, что (как это на самом деле не понимает, что означает либо один), для человека это не так. (Примечание: для примера, я не вычислить ни хэш, я не знаю, если эта строка выдает один и тот же хэш, как Джон, может проверить, но не нужно, я думаю, вы не можете понять, что я имею в виду) Мэллори, который является вредоносным, можно увидеть все хэши (мы не верим в "безопасность через неизвестность", Так что мы должны предположить, что она в состоянии получить на хэш, либо путем взлома базы данных, путем подкупа оператора, вынюхиванию сетевого трафика, что угодно). Мэллори может атаковать хэши на досуге, пока она не найдет столкновения. Оказывается (гипотетически), что "А! 2Ј" имеет тот же MD5 хэш как "Джон", Мэллори затем регистрирует на другом сайте Bitcoin, используя имя пользователя "А! 2Ј", Чарли тогда приходит, задается вопросом, "А! 2Ј" заслуживает доверия, входит "А! 2Ј" в рейтинговой системе, система хэши "А! 2Ј", Получает тот же хэш как H ("Джон"), и возвращает "1", Чарли - неправильно, - считает, что Мэллори доверия. Каждый алгоритм хеширования подвержен атакам на день рождения, так что система всегда будет уязвимыми в долгосрочной перспективе. Тем не менее, мы знаем, что нападения на MD5 существуют, которые являются гораздо более эффективными, что атаки на день рождения - Мэллори может найти коллизию для "Джон" гораздо быстрее, чем с MD5 она может с более стойким алгоритмом. Опять же, извинение, если я неправильно понял предложенную систему, но, как я понимаю, она уязвима для атак столкновения (и я не могу думать о простом способе избежать этого), поэтому очень важно, чтобы использовать сильный алгоритм хеширования. |
|
|
|
|
27 февраля 2011, 1:48:38 PM
|
# 9 |
|
Сообщения: 1162
цитировать ответ |
Re: [ПРОЕКТ] ARS - Advanced рейтинговой системы
Вот вопрос LM;
Парень с ником, такие как АБВ! 2Ј уже не заслуживает доверия, потому что вы не можете его по буквам, ни вы будете в состоянии вспомнить. Потому что кто его проверка является человек, не является простым, если (передача == Н (storedpass)) {Е ("OK% s хороший парень",Ник); } Некоторые дополнительные могут быть добавлены, как нечто PGP подписали или так, что добавляет вид бизнеса ориентированный стиль Facebook для такой системы оценки. Итог, однако, одна вещь, быть хорошим или плохим, также зависит от простоты и практичности. Прийти к пользователю и сказать, «вычислить этот хэш вам требуется Lib-xpto, Lib-xpto.so.2, Lib-idonnowhat ...», это не очень хорошая вещь. Независимо от того, сколько безопасности это может добавить к уравнению, это создает больше хлопот для использования, чем безопасность она обеспечивает. Кроме того, идея хешей компрометации это не вызывает беспокойства, опять же, они используются, чтобы запутать реальное имя пользователя на публичном пространстве, а не аутентификации по их собственным. Вы даже не можете публиковать и перечислить его ... до сих пор не вопрос вообще. Если моя проблема будет хэш, чтобы видеть, я хотел бы использовать нестандартный алгоритм. XOR строка с помощью простого ключа OpenSSL или запроса или какого-либо другого случайного не-шаблона / повторяется 1000 CHARS + строки, и вы получите себе самое простой из неразрывных алгоритмов, без ключа. Я намерен, однако допускаю, что пользователи могут вводить их уже хэш строки вместо их ник или адрес электронной почты. В сюжете: Вы можете ввести Джон, но если вы не хотите, чтобы передать "Джон" или даже пусть моя система знает или ассоциировать, вы можете ввести его уже хэшируются. |
|
|
|
|
27 февраля 2011, 2:01:51 PM
|
# 10 |
|
Сообщения: 644
цитировать ответ |
Re: [ПРОЕКТ] ARS - Advanced рейтинговой системы
Вот вопрос LM; Согласитесь, в определенной степени с этим. Тем не менее, я использую некоторые чертовски глупые имена пользователей, время от времени, и тем больше денег участвует тем больше вероятность того, что мое имя пользователя будет использовать Base64 или Base95 символы ... (само собой разумеется, что мои пароли всегда Base95). Это также возможно (скорее всего, даже), что Мэллори будет ждать, пока она не найдет коллизию, что только включает в себя буквы, или Base32 ("shi93grl" кажется правдоподобным имя пользователя, например).Парень с ником, такие как АБВ! 2Ј уже не заслуживает доверия, потому что вы не можете его по буквам, ни вы не сможете вспомнить. Потому что кто его проверка является человек, это не просто, если (передача == H (storedpass)) {печать ("OK% s хороший парень",Ник); } Некоторые дополнительные могут быть добавлены, как нечто PGP подписали или так, что добавляет вид бизнеса ориентированный стиль Facebook для такой системы оценки. Итог, однако, одна вещь, быть хорошим или плохим, также зависит от простоты и практичности. Прийти к пользователю и сказать, «вычислить этот хэш вам требуется Lib-xpto, Lib-xpto.so.2, Lib-idonnowhat ...», это не очень хорошая вещь. Независимо от того, сколько безопасности это может добавить к уравнению, это создает больше хлопот для использования, чем безопасность она обеспечивает. Хорошо ... это может быть просто мне не понять ваше предложение. Я думал, что ваша система будет делать хэширование - пользователю не потребуются какие-либо инструментов вообще. Как я понял это, пользователь ("Алиса") Входит в имя пользователя ("Джон") В вашу систему, а также системные хэш "Джон" и смотрит хэш возвращает результат?Кроме того, идея хешей компрометации это не вызывает беспокойства, опять же, они используются, чтобы запутать реальное имя пользователя на публичном пространстве, а не аутентификации по их собственным. Вы даже не можете публиковать и перечислить его ... до сих пор не вопрос вообще. Правильно, но если Мэллори компрометирует хэш Джона, она затем может претендовать на Джона. Имя пользователя Джона является запутанным, но Бобу и Чарли, похоже, Мэллори может быть Джон. Боб и Чарли как доверие Mallory - на основе Алиса доверяя Джон. |
|
|
|
|
27 февраля 2011, 2:21:28 PM
|
# 11 |
|
Сообщения: 1162
цитировать ответ |
Re: [ПРОЕКТ] ARS - Advanced рейтинговой системы
Да, есть обоснованные опасения, и я тоже бы их. Именно поэтому вторичная аутентификация человека и понятнее должен умереть.
Сама система призвана быть разработаны, чтобы обеспечить полную анонимность по желанию, обеспечивают также некоторые местные приложения с открытым кодом, чтобы сделать хэширование на локальном компьютере пользователя. Скажем, Джон хочет быть оценен, но не хочет, чтобы сайт, чтобы знать, что он Джон, он просто захватывает один из хэширования приложений для своих ОС, хэш себя и зарегистрировать хэш. Затем он может заполнить некоторую информацию / намеки он может думать полезно, кто будет проверять; например. Я просто использовать сеть Freenode. Я просто использовать Bitcoin форум. Или подписать с его частным ключом «лиса перепрыгивает через ленивую собаку» текстовый файл, оставив Там его открытый ключ. Когда пользователь выходит, чтобы проверить его рейтинг будет вся эта информация доступна. Скажем, кто-то на Undernet с ником Джон попросил Алису посмотреть его, но Джон говорит, что он просто использует FreeNode ... что-то не так, и Алиса не будет доверять "что" Джон. Алиса также может проверить ввод Джона или с помощью локального приложения, чтобы сделать математику и ввести хэш. Поле для ввода хэша должно быть под вкладкой Дополнительно с предупреждениями, чтобы не делать хэш-запросы, если пользователь не дает ничего, кроме хэша, или около того. РЕДАКТИРОВАТЬ: Кроме того, и очевидно, что сайт не принимает решений для пользователя, просто намерение предоставить некоторые "доказательства" в веб-криминалистике о ID и скорости пользователя. Мы можем также добавить последние 20 IP-адресов, откуда пользователь получал доступ его рейтинг счета от для экземпляра, затемненные после пройти GeoIP Country. Сказать; Последние 20 IP-адреса пользователя: 25/02/2011 12.xxx.xxx.24 Китай <--- OOOPS! Возможно скомпрометированы ... пользователь скорее прийти с хорошей историей, почему он на Китае в настоящее время 24/02/2011 200.xxx.xxx.234 США 23/02/2011 200.xxx.xxx.123 США Что делать, если он использует TOR? Ну, что добавляет к уровню недоверия. Нижняя линия, сайт дает инструмент не совет и не закрывает любую сделку. Последнее высказывание должно исходить от кого проверяет его. |
|
|
|
|
28 февраля 2011, 12:48:22 AM
|
# 12 |
|
Сообщения: 1162
цитировать ответ |
Re: [ПРОЕКТ] ARS - Advanced рейтинговой системы
Добавление материала к этому проекту, образец того, что может быть использовано как печать одобрения (не такого размера, очевидно). Пара ключ / URL будет сгенерирован и вход туда с помощью GD.
работа будет вид: Код: |
|
|
|
|
1 марта 2011, 12:37:41 AM
|
# 13 |
|
Сообщения: 532
цитировать ответ |
Re: [ПРОЕКТ] ARS - Advanced рейтинговой системы
Возможно, мы могли бы использовать платежные адреса, вместо этого?
Это немного скомпрометировать аспект анонимности, но только для торговца, который предположительно не ищет анонимность, в любом случае. |
|
|
|
|
1 марта 2011, 3:47:28 AM
|
# 14 |
|
Сообщений: 75
цитировать ответ |
Re: [ПРОЕКТ] ARS - Advanced рейтинговой системы
Я запутался, почему вы хотите рейтинги в сущности быть анонимными? Зачем возиться с хэш-части на всех?
|
|
|
|
|
1 марта 2011, 5:40:51 AM
|
# 15 |
|
Сообщения: 532
цитировать ответ |
Re: [ПРОЕКТ] ARS - Advanced рейтинговой системы
Я запутался, почему вы хотите рейтинги в сущности быть анонимными? Зачем возиться с хэш-части на всех? Точно ... Торговцы не хотят анонимности, они хотят респ. Клиенты могут хотеть остаться неизвестным, но Bitcoin предусматривает, что превосходно. Подобно тому, как мы все показывать наш бумажник адрес в надежде получить совет или такой для делаешь хорошую работу, торговец будет показывать его, чтобы получить компенсацию. Это будет связано, через что-то подобное изображение / код BCEmporium писал выше, в базу данных торговых оценок. В сочетании со службой условного депонирования, с держателем депозитного делает рейтинг (простой Sucess / незачет "голосование" система будет достаточно), система может быть относительно игры-доказательства. Или, по крайней мере, больше работы к игре, чем это было бы просто быть честным. |
|
|
|
|
1 марта 2011, 12:29:54 PM
|
# 16 |
|
Сообщения: 1162
цитировать ответ |
Re: [ПРОЕКТ] ARS - Advanced рейтинговой системы
Я запутался, почему вы хотите рейтинги в сущности быть анонимными? Зачем возиться с хэш-части на всех? Оценка не только для продавцов, но обе стороны. Логотип выше образец для торговых частей, которые хотели бы использовать. Хеширования часть для предотвращения кражи ID, основанную на сравнении. |
|
|
|
Как заработать Биткоины?
Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包
bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru
3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW
Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包
bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru
3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW
Регистрация для новых участников, на данный момент не доступна. Просим извинения за временные неудобства.