[PULL ЗАПРОС] Cors поддержку | Биткоин форум

		Биткоин Форум > Разработка и Техническое Обсуждение
[PULL ЗАПРОС] Cors поддержку

7 января 2011, 7:23:45 PM	# 1
Гэвин Андресен Сообщения: 1652 Цитировать по имени цитировать ответ	Re: [PULL REQUEST] поддержка CORS Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru https://github.com/bitcoin/bitcoin/pull/23 Cross Origin Resource Sharing позволяет поддержки серверов кросс-происхождения Javascript. Она поддерживается последними браузерами (хотя поддержка IE это ... разные), и включает в себя отправку CORS заголовки в ответах. Добавление это позволяет Javascript код работает в браузере, чтобы соединиться с любым Bitcoin / bitcoind, что позволяет RPC соединения с IP-адреса браузера и имеет право Rpc имя пользователя / пароль. Изменения кода минимальны (4 строки кода в заголовке вывода CORS). Благодаря tcatm для реализации и тестирования.

Как заработать Биткоины?
Без вложений. Не майнинг.

7 января 2011, 8:33:01 PM	# 2
Дав Сообщения: 1372 Цитировать по имени цитировать ответ	Re: [PULL REQUEST] поддержка CORS Получил 1806 Биткоинов Реальная история. Будет ли это быть включено по умолчанию?

7 января 2011, 8:35:44 PM	# 3
tcatm Сообщения: 337 Цитировать по имени цитировать ответ	Re: [PULL REQUEST] поддержка CORS Цитата: Дав от 07 января 2011 года, 8:33:01 PM Будет ли это быть включено по умолчанию? Ага. Он просто добавляет два заголовка так браузеры не жалуются при использовании JSON-RPC через домены.

11 января 2011, 12:53:33 PM	# 4
Гэвин Андресен Сообщения: 1652 Цитировать по имени цитировать ответ	Re: [PULL REQUEST] поддержка CORS Даву сказал (по желанию GitHub тяговой): котировка Я думаю, что это должно быть явно разрешено со стороны клиента Bitcoin, в противном случае любой сайт может начать спокойно bruteforcing имя пользователя / пароль из клиента. Если вы открыли доступ к rpcport, то я не думаю, что поддержка CORS добавляет существенную уязвимость к паролю скотине-форсирование. Я полагаю, это означает, что 10-летний не-программист может повторно ввести имя пользователя и пароль на веб-сайт, чтобы попытаться отладочным заставляйте rpcpassword ... но кто-то может писать или запустить сценарий мог бы просто написать грубую Forcer что не работает в браузере. И, если подумать об этом, поворачиваясь на CORS явно не остановить десять-летний, либо: они могли бы просто повторно перейти к URL-адресу Http: // ваш-bitcoind машина: 8332 / и попробовать различные имена пользователей / пароли. Кроме того, bitcoind уже имеет анти-перебор форсирования кода. Единственная уязвимость, я мог себе представить, с CORS является то, что это может стимулировать людей, чтобы добавить: rpcallowip = * ... их bitcoin.conf, поэтому они могут подключаться к Bitcoin с любого IP-адреса. И я волнуюсь, что они могут не беспокоить настройки SSL, в этом случае их RPC имя пользователя / пароль будет отправлен по сети в незашифрованном виде.

11 января 2011, 1:12:51 PM	# 5
Дав Сообщения: 1372 Цитировать по имени цитировать ответ	Re: [PULL REQUEST] поддержка CORS Ну, что я хочу сказать, что если клиент Bitcoin свободно доступен из скрипта на моей странице, я могу ткнуть администратор / пароль при каждом посетителе, который проходит и сумел ограбить 2% из них.

11 января 2011, 4:59:29 PM	# 6
tcatm Сообщения: 337 Цитировать по имени цитировать ответ	Re: [PULL REQUEST] поддержка CORS Еще одна идея: Force SSL по умолчанию и не добавлять CORS (не работает над SSL в любом случае), а затем использовать прокси-сервер, как SSLserver.py от JS-пульта дистанционного управления, который служит Javascript UI и прокси RPC вызовы через другое соединение SSL.

11 января 2011, 5:30:39 PM	# 7
bitcoinex Сообщения: 350 Цитировать по имени цитировать ответ	Re: [PULL REQUEST] поддержка CORS Это очень опасно! Браузер самая глючная программа на типичном компьютере! Без браузера высаживают в SELinux Я не хочу эту функциональность - с вытекающей сайта браузер может прочитать пароль из конфигурационного файла и украсть деньги. Такие ошибки все еще происходит. Я не могу предложить решение этой проблемы. Я думаю, что обычные пользователи должны продолжать использовать GUI-клиент, а не использовать bitcoind + браузер плагины и т.д.

11 января 2011, 5:54:31 PM	# 8
Гэвин Андресен Сообщения: 1652 Цитировать по имени цитировать ответ	Re: [PULL REQUEST] поддержка CORS Цитата: bitcoinex от 11 января 2011 года, 5:30:39 PM Браузер самая глючная программа на типичном компьютере! Без браузера высаживают в SELinux Я не хочу эту функциональность - с вытекающей сайта браузер может прочитать пароль из конфигурационного файла и украсть деньги. Такие ошибки все еще происходит. поддержка CORS ничего не меняет. Если браузер имеет ошибку, которая позволяет JavaScript-код чтения локальной файловой системы, ТОГДА JavaScript код может получить RPC имя пользователя / пароль из файла bitcoin.conf. И если код JavaScript может сделать это, то он может послать RPC команды bitcoind работает на локальном хосте (потому что, как ни удивительно, политика общего происхождения не применит для локального хоста: urls-- мы узнали, что урок здесь шесть месяцев или около того назад) , Все это верно сейчас, с отпущенной Bitcoin / bitcoind.

12 января 2011, 12:29:05 AM	# 9
j16sdiz Сообщений: 37 Цитировать по имени цитировать ответ	Re: [PULL REQUEST] поддержка CORS Цитата: bitcoinex от 11 января 2011 года, 5:30:39 PM Это очень опасно! Браузер самая глючная программа на типичном компьютере! Без браузера высаживают в SELinux Я не хочу эту функциональность - с вытекающей сайта браузер может прочитать пароль из конфигурационного файла и украсть деньги. Такие ошибки все еще происходит. Я не могу предложить решение этой проблемы. Я думаю, что обычные пользователи должны продолжать использовать GUI-клиент, а не использовать bitcoind + браузер плагины и т.д. CORS просто снять защиту XSS - вы знаете, эти куки кражи или контент-нагар вещи - это не делать ничего плагинов / расширений / локальной файловой системе. У браузера есть ошибка для чтения локальной файловой системы? Может быть. будет ли это CORS связанных? Очень маловероятно - CORS работает на другом уровне абстракции.

18 января 2011, 7:38:42 PM	# 10
Гэвин Андресен Сообщения: 1652 Цитировать по имени цитировать ответ	Re: [PULL REQUEST] поддержка CORS Я не думаю, что у нас есть консенсус, что CORS в Bitcoin является хорошей идеей, так что я не буду тянуть это сейчас. маленький прокси-сервер tcatm является хорошим решением.

20 января 2011, 10:41:45 AM	# 11
Дав Сообщения: 1372 Цитировать по имени цитировать ответ	Re: [PULL REQUEST] поддержка CORS Цитата: Гэвин Андресен 18 января 2011 года, 7:38:42 PM Я не думаю, что у нас есть консенсус, что CORS в Bitcoin является хорошей идеей, так что я не буду тянуть это сейчас. маленький прокси-сервер tcatm является хорошим решением. Давай Гэвин быть самоуверенным! Если пользователи не нравится, они будут раскошелиться

« Предыдущая тема | Следующая тема »

Как заработать Биткоины?

Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包

bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru

3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW