0
Другие записи за это число:
2014/10/02_litres - Электронные продажи и Пелевин
<< предыдущая заметкаследующая заметка >>
02 октября 2014
Олег Ховайко - уязвимость Биткоинов и остальных криптовалют?

Мой друг из далекой страны занимается всякими финансовыми разработками, в том числе криптовалютами. И обнаружил прелюбопытнейшую вещь. Вкратце оказывается:

1. Биткоин устроен так, что в нем (в коде) изначально вшиты два фиксированных адреса для установления соединений, удивитесь: http://checkip.dyndns.org и http://www.showmyip.com (второй давно уже не работает). Образно говоря, вся система связей сети Биткоин держится на неком ржавом гвоздике в ведомстве одного сомнительного сайтика.

2. Таким образом, в «час икс» при отключении этого несчастного http://checkip.dyndns.org система Биткоин сразу конечно не умрет, но начнет деградировать в плане связности, и в течение от 3 дней до недели (по оценкам Олега) в ней начнутся ощутимые проблемы.

3. Кроме того, при каждом запуске электронного кошелька загадочный checkip.dyndns.org получает информацию о вашем IP и знает, что вы запустили кошелек Биткоинов (и собрались, видимо, делать транзакции). А этого уже при хорошей организации слежки на стороне провайдера достаточно, чтобы отследить все дальнейшие транзакции.

4. Крайне любопытно ведет себя при этом администрация Биткоинов: несмотря на то, что эта тема уже возникала, они всячески пытаются замести вопрос под ковер и убрать его из веток обсуждения.

5. Ну и любопытная история связана с самими этими доменами и их владельцами. Из чего любой параноик волен предположить, что влиятельные силы приложили в свое время усилия, чтобы взять эту дырку под хороший контроль и бережно сохранять ее.

6. И всё это относится не только к Биткоинам, а практически ко всем криптовалютам (их сегодня больше 300), которые практически все унаследовали от Биткоинов этот код со вшитым именем сайта.

В общем, почитайте статью Олега, там интересно. Скопирую с его позволения к себе:

© Олег Ховайко http://emc.cc.st/detective-stun.html

Детективно-загадочная история

В которой участвуют dyn.com, Lochkeed Martin, Bitcoin, SIP-телефония, EmerCoin и много других людей и организаций, как известных, так и к известности не стремящихся.

Доброго дня, Читатель!

Хочу поделиться информацией об интересной истории, которая разворачивается на наших глазах.

Мы разрабатываем и развиваем криптовалюту EmerCoin (http://emercoin.com/). Валюта существует довольно долго, но мы не стремимся к дешёвой шумихе и надуванию спекулятивного пузыря, поэтому наш продукт малоизвестен в широких массах. Хотя EMC и на бирже торгуется, и имеется обменник, и участие в ряде проектов. Детали тут: http://emercoin.com/emercoin-services/

Основные усилия мы вкладываем не в шумиху, а в развитие технического превосходства, надежности, стабильности и прочего в том же роде.

Началась же история с простого и банального факта. Анализируя исходный код, унаследованный нами от PeerCoin-a (а им в свою очередь от BitCoin-a) мы обнаружили часть кода, где происходит получение внешнего IP адреса. Код написан был явно впопыхах, и для получения внешнего IP обращается к двум серверам, адреса которых «вшиты» в исходный код программы-кошелька:

http://checkip.dyndns.org

http://www.showmyip.com

Мы удивились, и решили проверить, как современный BitCoin справляется с этой задачей. И удивились ещё больше когда увидели, что старый код от Сатоши продолжает использоваться до сих пор, без каких бы то ни было изменений. Смотрите: https://github.com/bitcoin/bitcoin/blob/master/src/net.cpp, function GetMyExternalIP()

Причём продолжает использоваться как в самом Биткоине, так и во всех бесчисленных альтернативных криптовалютах, так или иначе базирующихся на оригинальном коде от Сатоши.

Небольшое исследование выяснило, что сервер http://www.showmyip.com в настоящее время недоступен, и все запросы кошельков за IP обрабатываются единственным оставшимся сервером http://checkip.dyndns.org.

Осознав этот факт, мы были просто шокированы. Подумать только! Новая экономика, декларируемая децентрализованность, полная независимость от правительств, многомиллиардные капиталы, одни правительства не знают, что с этим делать, другие — принимают какие-то законы.. А весь сетевой протокол этой новой экономики висит на одном-единственном ржавом гвозде по имени http://checkip.dyndns.org, скромно торчащем из карты штата New Hampshire!

Естественно, мы стали исследовать, обращал ли кто-либо внимание на этот вопиющий факт зависимости всей сети от единственного сервиса, предоставляемого какой-то небольшой и малоизвестной американской компанией, не входящей в SP500. И обнаружили ряд дискуссий и запросов на устранение этой уязвимости, например:

www.reddit.com/r/Bitcoin/comments/29zx7z/bitcoin_core_uses_s[...]

https://github.com/bitcoin/bitcoin/pull/3461

Однако, ответы разработчиков биткоина сводились к банальному: «Не обращайте внимания, и так работает, и даже если сервис будет недоступен для кого-то, ничего страшного не случится. Ну какие-то клиенты не смогут установить прямое соединение.. Но это же мелочи!» При этом игнорировались два факта:

Если сервер выйдет из строя, то сеть не рухнет, но прямые связи будут устанавливаться с пониженной вероятностью, что снизит связность сети, и, как следствие, надёжность. Это неприятно, но может быть, и не критично.

Каждый раз, когда кошелёк запрашивает свой внешний IP у http://checkip.dyndns.org, он, естественно, рапортует своей сигнатурой: «Эй! На этом IP-address запустился биткоин-кошелёк!». А это уже серьёзно. Ибо люди обычно запускают кошельки, когда им надо куда-то что-то заплатить или посмотреть приход. И связать время транзакций (которые все публичны) с временем запуска кошелька, тем самым получив IP кошелька, не так уж сложно. Ну а по IP можно узнать много интересного о подписчике, да..

Вы еще не до конца поняли, что это значит? А значит это то, что:

Весь криптовалютный мир в любой момент может быть разрушен по воле нескольких человек, движением пальца одного-единственного админа!

Этот таинственный админ знает каждого владельца каждого кошелька.

Мы осознали, какую серьёзную угрозу анонимности и прочим заявленным свойствам биткоина несёт эта централизация, и решили избавиться от неё в нашем проекте. Вместо единственного WEB-сайта мы использовали список из 263 STUN-серверов, которые помогают пройти через NAT-ы другой пиринговой сети — SIP-телефонии (ибо каждый SIP-телефон является и клиентом, и сервером). Для получения внешнего IP наш клиент обращается к случайным STUN-серверам, разбросанным по всему миру. Поэтому накопление истории запросов в любом из них уже не имеет смысла, так как в лучшем случае, сервер сможет собрать менее полпроцента случайных адресов, что делает собранный список практически бесполезным. Кроме того, мы приняли меры для того, чтоб избавиться от явной или постоянной сигнатуры запроса, и запрос EmerCoin-а сложно отличить от запроса любого SIP-аппарата или телефонного коммутатора. Таким образом, мы достигли своих целей: Избавились от централизованного сервера, в сотни раз увеличили надёжность сети, и удалили механизм, докладывающий на dyndns о местоположении кошельков.

После этого сделали анонс технического решения и обновлённого Emercoin-а как в нашей ветке форума, так и на форумах биткоина. В анонсе мы описали недостатки текущей системы, и наше решение. Анонсы здесь:

Русскоязычные:

https://forum.btcsec.com/index.php?/topic/3408-emercoin/page[...]

https://forum.btcsec.com/index.php?/blog/38/entry-258-stun-protokol-dlia-kriptovaliuty/

Англоязычные:

https://bitcointalk.org/index.php?topic=736721

https://bitcointalk.org/index.php?topic=362513.msg8359826#msg8359826

https://bitcointalk.org/index.php?topic=134731.0

О пункте 5: Кто-то когда-то тоже спрашивал «А не добавить ли STUN», но и его разработчики биткоина просто проигнорировали.

И тут начались настоящие чудеса:

Сообщение [3] было оперативно перенесено администраторами из широко читаемого технического форума в форума альтернативных валют, которые мало кому интересны. Хотя сообщение как раз имеет прямое указание на техническую уязвимость биткоина. На сообщение же [5] разработчики биткоина нам прямо указали, что не стоит поднимать эту старую тему: Also, your post is barely on topic and you've bumped a pretty old thread. Please don't do that. То есть налицо видна тенденция к заминанию темы биткоинщиками. Интересно также отношение различных комментаторов к нашему нововведению. Разработчики биткоина недовольны, и считают это глупостью ( Thats a really foolish method ). Зато другие люди, не связанные напрямую с разработкой и поддержкой биткоина, рассматривают наше нововведение как полезное и нужное. Вот парадокс!

Мы заинтересовались причиной такой негативной реакции строго очерченной группы людей, и начали выяснять, что ж такого интересного представляет собою так любимый ими dyndns.org, с которым они никак не хотят расставаться.

Давным-давно это была небольшая компания, предоставлявшая динамический DNS мелким пользователям бесплатно или за небольшую сумму. И если эта мелкая компания в 2010-м покупала мелкие бизнесы «из одного программиста и одного сервера» своей направленности (динамический DNS, и т.п.), то потом, после паузы, в 2013м фирма резко выросла, и стала скупать компании, владеющие собственными технологиями:

http://en.wikipedia.org/wiki/Dyn_(company)#Acquisitions

Заметим — технологиями мониторинга интернета, к динамическому DNS отношения не имеющими. А в начале 2014го, примерно как раз, когда были слушания в конгрессе США, и биткоин держался свыше $1000, компания закрыла поддержку бесплатных акаунтов:

http://dyn.com/blog/why-we-decided-to-stop-offering-free-acc[...]

А на платные взвинтила цену так, что по сравнимой цене можно арендовать статический IP. Таким образом, по сути, компания закрыла свой изначальный бизнес... Весь.. Кроме http://checkip.dyndns.org, который так любят разработчики биткоина. И который, по сути — технология мониторинга активности пользователей биткоин-кошельков. Возникает законное любопытство — откуда у компании появилось сразу столько денег, что она закрывает основной бизнес и бросает клиентскую базу, и при том в течение года скупает 3 компании с технологиями мониторинга сети, в добавок к «на халяву доставшейся от Сатоши»? Но понятно, что на этот вопрос вряд ли кто нам даст вразумительный ответ.

И, напоследок, мы решили выяснить, что же случилось с другим адресом, который использовал когда-то Сатоши — http://www.showmyip.com, и который сейчас почему-то не работает. И выяснилось, что он принадлежит некому Уэсли Кензи (Wesley Kenzie aka Securikai) из Канады, что подтверждается данными whois. Чем он занмался — http://safezone.cc/threads/tajpskvotter-vymogatel-popal-na-m[...] Но когда он перебежал дорогу Lochkeed Martin на почве киберсквоттинга, то был окорочен. Как раз вовремя. Только его твиттер и остался: https://twitter.com/securikai

Вот какие интересные совпадения бывают, не правда ли?

<< предыдущая заметка следующая заметка >>
пожаловаться на эту публикацию администрации портала
архив понравившихся мне ссылок
Оставить комментарий
Windows Firefox
 Казахстан
14
0
Павлик
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Ничего не получает "таинственный админ" кроме факта проверки кем-то своего IP - https://github.com/bitcoin/bitcoin/blob/master/src/net.cpp - строка 380. Даже id кошелька не передается ведь...
Выше по коду прямо указано чего делать если "ВСЁ ПРОПАЛО" - на любой хост вешается скриптик и всё работает дальше.
Всё просто - нет возможности определить свой внешний ip локально вот и взяли самый простой вариант)
Windows Safari Chrome
 Санкт-Петербург
2
1
beast
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
>кроме факта проверки кем-то своего IP

...и, как верно замечено в статье, приблизительного времени совершения транзакции.
Windows Firefox
 Казахстан
1
0
Павлик
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Там же майнинг идет - все транзакции "тут же" дублируются всем участникам сети. У меня есть серьезные сомнения в практической ценности этой информации. Да к тому же ip-4 адреса кончились, все больше ip - серые.
Учитывая же, что сервис dyn.com пользуют (судя по информации статьи) все *coin - каша там еще та в логах. Хотя, следить за каким-то конкретным ip - вполне возможно)
Windows Firefox
 Ashburn
11
2
maxihatop
Знаете, есть такие страшные слова как ковариационный анализ и линейнай регрессия. Если хочется узнать, кто такой bitcoin payment address 1XYZ, достаточно взять лог этого транзакций адреса из блокчейна, и накореллировать по времени его на IPшники из лога WEB-сервера dyn.com, поставив в качестве критерия правдоподобия dT^2; И через несколько минут - списки IP-кандидатов для этого кошелька. Потом можно заглянуть в гости к провайдеру, и узнать адрес того, кому был выдан некий IP в некий момент. Ну а потом - и в гости по адресу можно сходить...
Windows Firefox
 Санкт-Петербург
1
1
Mech
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Примерно так-же вычисляют по включенному телефону - по времени регистрации в сотах базовых станций, а там мешанина еще та.
 New York
1
0
byka
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
нет там никакой мешанины, все очень строго. Иначе бы сеть не могла находить абонентов при перемещениях.
Windows Firefox
 Санкт-Петербург
0
0
Mech
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
она их находит потому что они передаются от одной базовой станции к другой, при перемещениях, и сеть знает какой абонент в какой соте в данный момент.
 New York
1
0
byka
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Ну и где там мешанина? Сеть знает, где находится абонент, потому что о его перемещениях информация передается на тот коммутатор, на котором он был заведен, и известно через какие бс он подключается.
Linux Firefox
 Санкт-Петербург
0
0
Christian Archer
не выйдет. если правда запускать биткойн только для отправки / получения транзакции, то придется еще по полчаса а то и больше ждать пересинхронизации с сетью. во-первых, это и так собьет таймштамп транзакции, т.к. синхра идет непредсказуемый промежуток времени и запрашивается разный объем данных. во-вторых, клиент биткоина обычно прописывается в автозагрузку и работает при каждом входе чтобы избежать неудобств в "во-первых"
Windows Firefox
 Ashburn
3
2
maxihatop
С одного раза - может, и не выйдет. А статистика хорошо улучшает соотношение сигнал/шум. Если несколько сотен пар - уже более-менее точно можно вычислить.
Ну и смещение времени между стартом кошелька и транзакцией - хоть и случайно, но имеет Гауссово распределение с матожиданием и дисперсией.
Не надо думать, что "компетентные товарищи, которым дело до всего" сплошь дураки и не могут пользоваться математикой 100+ летней давности.
Linux Safari Chrome
 Белоруссия
11
3
test
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
https://github.com/search?q=checkip.dyndns.org&type=Code

Какого факта транзакции? Этот сервис получения своего внешнего ип с незапамятных используют все кому не лень. Как среди потока запросов от дохрена проектов выделить биткоин? Параноикам пора подколоться галоперидолом и не мешать программистам работать. Ламерье повылазило и статьи пишет...

Windows Safari Chrome
 Таиланд
15
0
Проходил мимо
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Не ламерье. Чувак продвигает свою валюту. Так что это тупо пиар.
Linux Safari
 Санкт-Петербург
0
0
RType
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Да вполне легко, у битка сигнатуры кагбэ внезапно уникальные, ни у одного проекта, браузера таких нет
Linux Firefox
 Richardson
2
0
Михаил
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Это "User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)" ни у кого больше нет? :–)
Windows Firefox
 Санкт-Петербург
0
1
Mech
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Ищем эту сигнатуру в списке всех сигнатур всех браузеров и прочих WEB-клиентов, включая даже библиотеки:
http://www.useragentstring.com/pages/All/

...и не находим.
Linux Firefox
 Richardson
4
0
Михаил
FreeBSD Opera
 Санкт-Петербург
4
0
Вал. Дав.
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Вполне себе сигнатура, несколько десятков байт. К тому же липовая, что есть признак security by obscurity. Если уж пользоваться внешним сайтом, то с пустой сигнатурой "GET / HTTP/1.0
" (с checkip.dyndns.org работает, c internet.yandex.ru - нет). Но даже пустая сигнатура - всё-таки сигнатура и анализу поддаётся.
Windows Safari Chrome
 Москва
1
3
vivliofika
прикольная закладка. Интересно, ревизия кода будет? Получится ли эту дыру заткнуть? Кто-нибудь тему может продолжить? -- Будут ли принимать к обслуживанию битмонеток модифицированные клиенты?
Linux Firefox
 Санкт-Петербург
4
0
Christian Archer
да это даже не дыра толком
Linux Safari Chrome
 Москва
27
5
waft
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Я вас умоляю, не хватало еще у вас читать рекламные тексты. В данном случае речь идет про EmerCoin
Windows Safari Chrome
 Москва
12
7
allgav
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Во-во. Джинса галимая.
Windows Firefox
 Ashburn
7
15
maxihatop
Не нравится - не читайте. Вы свободны направлять свой взор в ту или иную сторону.
Знаете, когда есть забор с надписью из 3х букв - то один человек при взгляде видит забор, а другой - надпись на заборе.

Здесь же было письмо для своих о баге и том, как мы его решили. И как биткоин-сообшество воротило нос. И об интересной компании dyn.com. Но вы тут увидели рекламу, а не детективную историю и техническое решение.

А скажите, что я должен был сделать, когда писал этот текст? Скрыть название EmerCoin-а? Типа "вот кто-то не скажем кто, нашёл дыру, и её полатал, не скажем где и не скажем как"?
Windows Safari Chrome
 Таиланд
12
4
Проходил мимо
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Не надо врать. Вы тупо пиарите свою валюту на инсинуациях. Вы написали статью для людей не в теме. Люди в теме понимают что 1) нет никакой уязывимости, 2) вы врете.
Linux Safari
 Санкт-Петербург
2
2
RType
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Эти ваши люди "В теме" кто они, где они ? Из местных ораторов ни один даже в код не полез, для проверки и путного опровержения. Только на багет изошли.
Windows Safari Chrome
 Таиланд
0
0
Проходил мимо
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Лично я просто почитал текст по ссылке которая в статье и приводится. Там дается описание реальных последствий того что было сделано, никаких ужасов нарисованных автором данного высера нет. Прочитайте сами ссылку на Реддит которая дается в тексте. Или не читаете на английском?
Windows Firefox
 Франция
27
1
mike449
5 минут в Гугле показывают, что комьюнити Биткойна в курсе и работают над устранением любой зависимости от сторонних серверов, а также над устранением сигналов о работе клиента. Правда, как-то не спеша работают.
Например, здесь:
https://github.com/bitcoin/bitcoin/pull/4686
Замечу также, что тон поста и статьи сразу настораживает критически мыслящего читателя. Тоньше надо работать с местной публикой.
Windows Firefox
 Ashburn
7
3
maxihatop
Работают - глагол несовершенного вида.
Описывает действия, которые происходить - происходили, да так и не произошли.

То есть работают - да не сделали.

А я - сделал. И не поленился список из 263х STUN-ов сформировать, что было не так то просто.

Касаемо тона письма.. Это было личное письмо одному человеку. Я потом его выложил на сайт, и персональное имя заменил на "читатель", так как тема оказалась интересной не только получателю письма. Ну и Леониду дал посмотреть. Так что это не пресс-релиз, а именно слегка эмоциональное письмо, в котором я рассказываю свои приключения.
Windows Safari Chrome
 Киев
6
2
Tor
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
а почему 263, а не десятки тысяч?
а сколько из этих 263 будут живы через год?

почему, в конце концов, не прийти к модели определения своего адреса через нескольких случайных пиров (в каждом клиенте будет тот самый код из коментария на 380 строке)?
Windows Firefox
 Ashburn
6
2
maxihatop
> а почему 263, а не десятки тысяч?
Потому что 263 - простое число. Список был чуть больше.

> а сколько из этих 263 будут живы через год?
Если будет жив хотя бы один - система работать будет.

> почему, в конце концов, не прийти к модели определения
> своего адреса через нескольких случайных пиров
Сделайте, кто мешает. Я сделал через STUN.
Который легковесный и стандартный. STUN запрос-ответ - это два UDP пакета, примерно 30-60 байт размером. И всё. Проблема решена эффективно.
И ещё хочу заметить, что свой IP адрес надо знать ДО ТОГО, как появятся СЛУЧАЙНЫЕ пиры (а не предопределённые сиды).

> (в каждом клиенте будет тот самый код из
> коментария на 380 строке)?
А вдобавок на каждом windows-клиенте WEB-server и PHP.
Ну и каждому кошельку - по админу этого сервера..
Windows Safari Chrome
 Киев
2
6
Tor
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
"я сделал как мог, смогите лучше"

а как же связаться с пирами, если сначала надо узнать свой адрес? почему тогда в оригинальной статье "система Биткоин сразу конечно не умрет, но начнет деградировать в плане связности, и в течение от 3 дней до недели"?

сервер и админ не нужен, не надо передергивать
Windows Firefox
 Ashburn
4
3
maxihatop
И где Вы видите передёргивание? Вы сами-то читали код в строке 380, на который ссылаетесь?
Процитирую его здесь, раз уж пошёл такой разговор:

// We should be phasing out our use of sites like these. If we need
// replacements, we should ask for volunteers to put this simple
// php file on their web server that prints the client IP:
// ?php echo $_SERVER["REMOTE_ADDR"];

То есть речь идёт о том, что энтузиасты должны поставить WEB-сервер, и на нём запустить PHP-скрипт для нужд трудящихся. Вы же советуете в каждый клиент вставлять тот самый код. Или нижеследующее - не Вы писали?

"(в каждом клиенте будет тот самый код из коментария на 380 строке)?"

И как Вы себе представляете веб-сайт с PHP-скриптом без WEB-сервера?
Windows Safari Chrome
 Киев
4
7
Tor
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
веб сервер ставят для сайтов
что бы отвечать адресом на каждый запрос достаточно скомпилиловать бинарник в несколько кб, который слушает 80 порт

странно, что такие детали нужно объяснять мега програмистам, залатавший ужасную дыру в популярном проекте
Windows Firefox
 Ashburn
2
1
maxihatop
То есть, Вы предлагаете обычному виндо-пользователю кошелька за NATом где-то найти исходник на пару килобайт, скомпилить, поставить на свою винду, вывести порт 80 за нат, а также разрекламировать этот свой сервис, чтоб другие кошельки к нему обращались. Я правильно понял?
А ещё надо что-то с PHP-строкой делать - то ли под паро-килобайтный исходник ставить PHP, то ли в этом исходнике писать соответствующий функционал.
Windows Firefox
 Новосибирск
1
2
Олег
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
с одной стороны, спасибо за сообщенную интересную подробность

с другой стороны, мир опенсорца строится на волонтерах. В данном куске кода просят вмешаться волонтеров. В чем проблема? Если никто не вмешался - может быть, оно просто никому и не надо?

в пхп версии 5.4+ есть встроенный веб-сервер, ничего ставить не нужно. Пхп на линуксе и маке ставится двумя движениями рук (apt-get install php5, port install php5), на винде есть денвер (а на винде 10 можно тоже будет поставить из консоли за пару движений рук)

а вообще говоря, веб-сервер, печатающий IP, пишется на любой платформе за пару минут не приходя в сознание, просто пастой со stackoverflow

если человек вообще ничего не умеет, даже пользоваться роутером, но "я у мамы хакер, дайте мне безопасность" - то это просто смешно. Нет ножек - нет мультиков
Windows Firefox
 Новосибирск
0
1
Олег
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
а еще можно зайти на какой-нибудь http://myip.ru , скопипастить айпишник и передать его параметром. Всё, вообще никаких проблем!

а еще лучше, не маяться дурью, и подключиться к нормальному белому IP
Windows Firefox
 Ashburn
5
1
maxihatop
Итак, по прочтении комментов и личной переписки стало понятно, что никакой STUN нафиг не нужен, потому что обычный виндоюзер-непрограммист легко может сделать одно из:
- Купить белый IP-шник и открыть машину на весь мир.
- Поставиль Linux, и в нём php5.
- Дождаться Windows-10, и там тоже поставить php.
- Поставить tor & i2p, и гонять деньги через него.
- Oбменяться свежими addr.dat файлами через какой-то форум.
Ну что можно сказать? Советы прекрасные, можете ими пользоваться сами и распространять среди своих единомышленников. Люди это оценят по достоинству.
А мы, исходя из предположения, что не все такие умные как Вы, все-таки будем делать простой продукт для презираемых Вами глупых юзеров, у которых ножек всё-таки нет, и которым надо чтоб поставил - и заработало.
Linux Ubuntu Safari Chrome
 Ровно
0
0
Serpiko
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Дякую за інформацію та за Вашу роботу!!!! Успіху.
Windows Firefox
 Санкт-Петербург
1
1
Mech
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Работают не то слово! Когда им готовое решение подсказали, стали катить бочку, мол ты кто такой - давай до свидания.
Linux Safari Chrome
 Вьетнам
0
0
eicto me
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Если по каждому багу делать форк...
Windows Safari Chrome
 Москва
11
0
tubecleaner
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
В своей системе эта ситуация решается очень просто: занесите checkip.dyndns.org в свой hosts с любым адресом, на котором можете сделать копию страницы с нужным ip.
Linux Opera
 Красноярск
0
0
z
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Там же не по имени делается запрос, а прямо по ip 91.198.22.70
Windows Opera
 Воронеж
4
0
Чинк
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
"Lode Runner"!
Windows Firefox
 Санкт-Петербург
1
0
Анонимус
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Лео, знаете такого персонажа - Яроврата?
Ну, "эмергенция неизбежна", секта "монолит", вот это всё.
Он со своими товарищами по секте и придумал emercoin.
Windows Firefox
 Ashburn
0
1
maxihatop
Он придумал название. Да.
Но в разработке и расширении сервисов не участвует.
Чел неоднозначный, но название придумал неплохое.
Linux Safari Chrome
 Mountain View
6
0
MaverickCGRey
«Если сервер выйдет из строя, то сеть не рухнет, но прямые связи будут устанавливаться с пониженной вероятностью, что снизит связность сети, и, как следствие, надёжность. Это неприятно, но может быть, и не критично.»
IMHO, просто выпадут товарищи без UPNP сидящие с серыми IP. Прогресс идёт вперёд и таких всё меньше. Не вижу как был сделан вывод и снижении связанности сети.

«Каждый раз, когда кошелёк запрашивает свой внешний IP у http://checkip.dyndns.org, он, естественно, рапортует своей сигнатурой: «Эй! На этом IP-address запустился биткоин-кошелёк!». А это уже серьёзно. Ибо люди обычно запускают кошельки, когда им надо куда-то что-то заплатить или посмотреть приход. И связать время транзакций (которые все публичны) с временем запуска кошелька, тем самым получив IP кошелька, не так уж сложно. Ну а по IP можно узнать много интересного о подписчике, да..»
Дык я правильно понимаю, что товарищу было отвечено (gmaxwell), что есть флаги -discovery и -externalip. Параноикам эти флаги в руки и вперёд.

Чё панику-то разводить. Пиар? Ню-ню.
Windows Firefox
 Ashburn
1
8
maxihatop
> IMHO, просто выпадут товарищи без UPNP сидящие с серыми IP.
Многие сидят за двойными натами (домовые сети и пр). UPNP в этом случае поможет мало.

> Не вижу как был сделан вывод и снижении связанности сети.

advertising-a не будет. Новые горизонатльные связи через advertise устанавливаться не будут, а старые теряются.

Я специально запускал кошелёк с заблокированым dyn.com. Как было число пиров в биткоине 3, так через сутки 3 и осталось. Горизонтальные связи не появлись.

Но не суть важно. Как я изначально писал, это далеко не главная проблема.

> Дык я правильно понимаю, что товарищу было отвечено
>(gmaxwell), что есть флаги -discovery и -externalip.

Это каждый виндовс-юзер должен как-то узнавать свой
внешний IP вручную, а потом отдавать его кошельку в
ком. строке? Я верно понял?

> Параноикам эти флаги в руки и вперёд.

Да, Вы тут правильно заметили, тот совет с ручным
управлением - решение для параноиков, а не для масс.

> Чё панику-то разводить.
А кто говорит про панику? Была проблема, было найдено
её решение, апробировано. Покажите недостатки этого решения.

> Пиар? Ню-ню.
И что пиарится? STUN? Я лично? Emercoin?
Хорошо. Предположим последнее. Тогда обьясните, как надо
было написать текст с техническим решением так,
чтоб emercoin (в котором это апробировано и реализовано)
не был указан. И главное - зачем? Текст бы от этого стал лучше?
Windows Firefox
 Самара
10
0
andrusha
>И что пиарится? STUN? Я лично? Emercoin?

Коин, конечно. Или так случайно совпало, что в эти сутки его цена выросла на порядок и объем торгов с околонуля аж почти до 4000 дол? Голимый заказной памп. Но без перспективы, я думаю.
Linux Ubuntu Firefox
 Москва
12
3
Леонит Каганофф
Вау, буду показывать ваш коммент потенциальным рекламодателям. Одно упоминание в моем блоге - и ваша цена за сутки скакнет от 0 до $4000!
Windows Firefox
 Самара
9
0
andrusha
Не цена, Ллео, а всего лишь объем торгов в $4000 за сутки на той говнобирже, где торгуется этот говнофорк по цене, дошедшей в эти сутки до $0,09. Правда, когда покупаешь сам у себя, то можно было бы и до $100 догнать, но тут, видимо, основной бюджет на рекламу пошел.
Linux Ubuntu Firefox
 Москва
13
5
Леонит Каганофф
Ну, про рекламу эти вопли, поверьте на слово, очень смешно смотрятся с моей стороны монитора :) Потому что когда я реально делаю рекламу, возмущенных нет. Зато стоит мне написать, как я съездил за грибами, настраивал роутер или какими IT-изысканиями заняты мои старинные друзья - тут в комментах появляются целые стада пострадавших с горестной попоболью, как их сейчас поимели рекламой ;))) Обычно они даже не в силах внятно объяснить, какой именно продукт/услугу им навязали, кто конкретно был "заказчиком" рекламы и какой интерес получил с этого лично я. В общем, умиляюсь каждый раз, жгите дальше ;)))
Windows Firefox
 Самара
5
0
andrusha
Я постараюсь, бгг.
П.С. Кстати, я и не говорил, что весь рекламный бюджет пошел на твой блог. ;)))
Mac Safari
 Израиль
15
2
braintunic
> про рекламу эти вопли, поверьте на слово ...

Каганов вновь джинсою одержим,
Но критикой ужасно раздражим.
- Поверьте на слово, друзья,
Здесь нет рекламы ни хуя...
Врёшь, Каганов, не поверим, не простим!
Windows Firefox
 Самара
9
1
andrusha
Да ладно бы джинса иль про машинки
Беззлобные рекламные ужимки.
Криптою тут Каганов одержим!
Повинен в том, конечно же, режим!
Windows Safari Chrome
 Санкт-Петербург
1
5
Piton
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Раз вы такие все, блять, умные, и вам противно читать Каганова, то какого хуя вы тут трётесь, и каментами срёте? Это что, клуб анонимных любителей быть изнасилованными?
Mac Safari
 Израиль
4
0
braintunic
Глубокоуважаемый молодой человек из Санкт-Петербурга, написавший свой первый высокоинтеллектуальный комментарий в этом блоге, - вы вообще в курсе, что этот самый Каганов зело увлекается написанием юмористических стихов, или первый раз об этом слышите?
А может вам и слово "пародия" не знакомо? ;)
Windows Safari Chrome
 Санкт-Петербург
1
5
Piton
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Я с овощами в дискуссии не вступаю )
Windows Firefox
 Санкт-Петербург
1
0
Tarn
Как меня сейчас поимели рекламой! Когда это кончится? A?!
Windows Firefox
 Санкт-Петербург
0
0
Mech
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Да ладно, Андрюша, не исходи желчью :) Завтра уже этот говнофорк все забудут и ты сможешь жить спокойно.
Windows Firefox
 Самара
14
0
andrusha
Дни несправедливости настали!
Только снится нам теперь покой.
Где же вы, родной товарищ Сталин,
С доброй, но карающей рукой?!
Windows Firefox
 Ashburn
0
10
maxihatop
Почему цена резко выросла, а потом так же резко упала - ответить затрудняюсь. Я могу сказать, что к этому скачку отношения не имею.
Могу только предположить, что некто, прочтя этот блог, поспешил купить, и ошибся с ценой, отчего пробил довольно хлипкий журнал заявок, и цена улетела в небеса. Но рынок так же всё вернул обратно.
А кто купил задорого - что ж, ему не повезло. Надо внимательнее заявки ставить.
Ещё могу предположить (и это моё измышление, фактами не подтверждённое), что этот некто, потеряв какие-то свои деньги, теперь тут ругает окружающих по чём зря.
Windows Firefox
 Самара
15
1
andrusha
>некто, потеряв какие-то свои деньги, теперь тут ругает окружающих по чём зря.

Лолшто? Кто же этот тип коварной наружности, не испугавшийся вот так взять и вложить тыщи баксов в говнофорк на говнобирже? Назовите этого слабоумно-отважного смельчака!
Windows Opera
 Рязань
8
10
Иван Рудаков
этот пост даже до конца дочитывать не стал.
Linux Ubuntu Firefox
 Москва
18
5
Леонит Каганофф
В этом случае вы не обидитесь, что из вашего комментария я тоже оставлю лишь эту строчку.
Mac Safari
 Нижний Новгород
3
1
tartaglia
Неужели Юпитер рассердился? Или просто был наезд на Ховайко? Пост обрезан - и непонятно.
Linux Ubuntu Firefox
 Москва
33
3
Леонит Каганофф
Я всегда так делаю. Человек, который делает публичные заявления о том, что он не прочел и "ниасилил", не может претендовать на то, чтоб его тирады висели в полный рост на той же самой странице :) Как-то нелогично ;)
Windows Firefox
13
1
Идиотъ
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Возможно, человек, зная (или думая, что знает), как на самом деле работает биткойн, видит (или думает, что видит) уже в самом начале текста некие ложные предпосылки, делающие, по его мнению, весь дальнейший текст бессмысленным, и, соответственно, продолжение чтения - таковым же. Это совсем не то же самое, что "ниасилил".
Linux Safari
 Санкт-Петербург
3
2
RType
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Скрее, такие выводы делает человек, который только считает, что знает, как работает биткоин. А на деле - даже не удосужился в код заглянуть.
Windows Firefox
 Япония
1
1
Идиотъ
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
А вы видите там выводы? Я вот не вижу...
Linux Safari
 Санкт-Петербург
1
1
RType
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Т.е. коммент он настрочить успел быстрее, чем сделал выводы? Не верю! Не бот же он какой?
Windows Firefox
 Япония
2
1
Идиотъ
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Нет, вам ещё рано проходить тест Тьюринга.
Linux Safari
 Санкт-Петербург
1
0
RType
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Вот ты и начал юродствовать, дружище.
Windows Safari Chrome
 Санкт-Петербург
0
1
myx-ostankin
Леонид, вы же писатель! "Обидеть" - глагол второго спряжения!
Windows Safari Chrome
 Хабаровск
1
0
quantum
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Не могли бы вы в репосты в ВК добавлять ссылку на оригинал записи? Чтоб было удобнее переходить сюда
Windows Firefox
 Самара
18
9
andrusha
Каганов пампит говнофорки,
На лопасть бросив дерьмецо.
Всё круче вниз, как будто с горки.
Что ж дальше ждать? Рукалицо.
 New York
2
0
byka
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Вы запускать-то его пробовали сейчас?
При старте программы идет синхронизация локальной базы с сетью, до завершения синхронизации что-то там отправлять толком не выйдет, и если когда-то она могла занимать ну пусть полчаса - то сейчас это может и на несколько дней растянуться.

То есть ценность информации "кто-то сейчас решил посмотреть кошелек" сводится к нулю. Стартовать оно может очень разное время, в зависимости от времени последней синхронизации, скорости соединения, и т.д.
Особенно с учетом того, что по транзакциям можно отследить IP-адрес и без всего этого.
Для тех, кому важно скрыть его, существуют обменники, в которых множество внешних транзакций перемешивается с множеством пользовательских, так чтобы нельзя было сопоставлять проблемный платеж с платежом конкретного Васи Пупкина.
Windows Firefox
 Волгоград
2
0
kondratij
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
синхронизация нужна, чтобы собрать свои входящие копейки.
а потратить то что уже есть - можно запросто, и без всякой синхронизации. увидеть подтверждения, да, придётся подождать.
в общем, Вы не майнили:) опять-таки, когда "в теме", синхронизируешься постоянно. в общем, я думаю, что всё-таки хотя бы что-то скоррелировать всё-таки можно. Когда роют доказательную базу под какой-нибудь шелковый путь, абсолютно любые логи будут проанализированы. в общем, лучше бы их не было... :)
Linux Safari Chrome
 Вьетнам
0
0
eicto me
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
не собрать, а проверить копейки (ну только если эти копейки не хочется тут-же еще раз перевести) . "собираются" они по сути в момент инициализации транзакции.
Linux Ubuntu Safari Chrome
 Санкт-Петербург
0
0
Николай Лещёв
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Что такое «окорочен»?
Windows Firefox
 Санкт-Петербург
0
0
Mech
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
прижат к ногтю, взят в ежовые рукавицы... и т.п.
Windows Firefox
 Калуга
2
0
aikr
Окоротить (кого) — заставить умерить рвение, порыв, увлечение.
Linux Firefox
 Richardson
4
0
Михаил
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
От слова «окорок». Примерно как «колбасить» от слова «колбаса».
Windows Firefox
 Ashburn
8
4
maxihatop
Тут меня упрекают, что мол чего я это дурью страдаю, ведь все кому не лень пользуются этим сервисом checkip.dyn.com, и мол запрос кошелька хорошо маскируется среди запросов браузеров, отличить невозможно.

Отвечаю: Отличить элементарно, с помощью grep или strstr();

Смотрим исходник bitcoin, строку 397:
https://github.com/bitcoin/bitcoin/blob/master/src/net.cpp
Видим там сигнатуру клиента:
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)

Далее - ищем эту сигнатуру в списке всех сигнатур всех браузеров и прочих WEB-клиентов, включая даже библиотеки:
http://www.useragentstring.com/pages/All/

И не находим.

Снова случайность?
Linux Firefox
 Richardson
14
0
Михаил
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Не случайность, а закономерность.
Если бы это действительно был «список всех сигнатур всех браузеров и прочих WEB-клиентов», то эта сигнатура находилась бы в нём хотя бы один раз с пометкой «Bitcoin». ;–)

Отсюда можно сделать вывод, что список этот далеко не полон (и вообще не понятно, откуда взялся).

А если ещё немножко подумать, то искать надо не в таких странных списках, а среди клиентов этого самого «checkip» — если к нему никто больше так не обращается, это одно дело, а если все роботы обращаются точно так же — то совсем другое.
Windows Firefox
 Ashburn
5
2
maxihatop
Тем не менее, это не опровергает изначально декларируемого факта - что вся супер-мупер-распределённая и независимая сеть упирается в один единственный сервис, и критически от него зависит.
Касаемо ж паранойи... Я ещё не рассматривал вариант, в котором этот сервер не просто пассивно собирает IP-шники, а клиентам раздаёт "какие надо" IP, замыкая сеть через кого надо и устраивая MIM. Но это наверное таки уже правда паранойя...
Windows Firefox
 Санкт-Петербург
1
0
Mech
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Да, исключить не возможно. Тогда выходит, весь биткоин на выпасе у АНБ уже пару лет как?
Windows Firefox
 Ashburn
1
1
maxihatop
Я прямо этого утверждать не могу. Просто имеется ряд косвенных свидетельств, допускающих возможность такого положения дел.
Естественно, мы не ждали "когда жареный петух клюнет", и решили заранее устранить указаную уязвимость.
Но даже если мои опасения верны, и всё действительно давно уже под контролем - то обычным пользователям, которые совершают 1-2 транзакции в месяц, опасаться нечего - слишком малая статистика, и большой шум не позволят Вас более-менее точно определить. А вот если Вы регулярно на какой-то адрес проводите (или проводили ранее) транзакции по сомнительным поводам, по несколько раз в неделю, или чаще - тогда да, Вам следует подумать о своей безопасности.
Windows Firefox
 Москва
0
0
hagen
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Возможно, я что-то не понимаю, но этот сервер же только показывает внешний IP, обращающегося к нему. Как и любой другой аналогичный сервис. Что он кому может раздать?
Windows Firefox
 Австралия
0
0
Megadest
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Если тупо -- он может показывать не ВАШ IP, а какой-то другой.
 New York
0
2
byka
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Это несерьезно :)
Во-первых, при желании могу вот прям щаз "прикинутся биткоином", заменив в браузере подобную запись.
Во-вторых, если "смотрим исходник" - то что мешает прописать туда любимый UserAgent - BolgenOS BolgenZilla ?
И в третьих, если совсем уж лень, но страшно - hexedit никто не отменял, можно поменять строку прямо в бинарном файле.

Т.е. привязка к стороннему сервису - это, конечно, зло, но не такое уж ужасное. И опять же, что мешает сделать свой аналогичный сервис и прописать его в исходнике, для себя любимого? А лучше - вынести в настраиваемый конфиг.
Windows Safari Chrome
 Таиланд
14
7
Проходил мимо
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Текст - во-первых реклама, во вторых на вранье. Не думаю что неуважаемый разработчик ничего не понимает, а значит отлично понимает что врет. Лично я запомнил из этой истории только одно - разработчик Эмеркойн низкий человек.

Леонид, вы зря считаете читателей за идиотов. Неприятно. И ошибочно.
Windows Firefox
 Ashburn
3
6
maxihatop
Уважать меня или нет - Ваше личное дело. А конкретно по поводу Ваших слов:
Укажите, где конкретно враньё. Приведите факты, ссылки. Поймайте меня на вранье! То есть скажите: Тут заявляется то-то, а на самом деле оно не так, а эдак (и ссылку на доказательства).
Если не укажете - то вы клеветник и пустобрех.
Windows Safari Chrome
 Таиланд
6
4
Проходил мимо
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
И зачем мне тратить время что-то обьяснять? Вы-то знаете что врете. Люди здесь тоже все понимают, не дураки чай. Леонид не на ту аудиторию ваш высер набросил.

Но если уж ТАК ХОТИТЕ, вам же хуже. Напишу по пунктам чтобы уж совсем все поняли:
1) checkip dyndns org используется только если у системы нет публичного адреса, IP не указан вручную, а также определить IP через UPNP или другими методами не получилось. Его используют меньшинство клиентов.
2) checkip dyndns org используется еще массой программ кроме биткойна. Сопоставить время с кошельком невозможно.
3) Даже если бы п.2 не выполнялся: транзакций биткоина слишком много. Сопоставить время с конкретным кошельком невозможно.
4) Даже если бы п.3 не выполнялся: Проверка IP через checkip dyndns org происходит не в то же самое время когда делаются транзакции, а в совсем другое время. Сопоставить время с кошельком невозможно.
5) Если вдруг checkip dyndns org вырубится, пофиксить это можно легко за один день. До выхода фикса можно указать свой IP вручную.
6) Человек который обнаружил это на Реддите пишет что предложил фикс. Его проигнорировали потому что никто не видит опасности в существующем коде. Но они все дураки, вот автор ЭмерКоин - другое дело, да, да...

В итоге никаких уязвимостей нет, никаких проблем если данный сервер вырубится не будет. А вы врун. Хорошо что ваша фотка вверху есть, буду знать как вруны выглядят :-)
Windows Firefox
 Ashburn
4
3
maxihatop
> И зачем мне тратить время что-то обьяснять?
> Вы-то знаете что врете.

Не вру. Это Вы заблуждаетесь.

> Но если уж ТАК ХОТИТЕ, вам же хуже.

Хочу. Посмотрим, будет ли хуже.

> 1) checkip dyndns org используется только если у системы > нет публичного адреса, IP не указан вручную, а также
> определить IP через UPNP или другими методами не
> получилось. Его используют меньшинство клиентов.

Врёте. К сожалению, используют все клиенты.
Или - использовали до совсем недавнего времени (я кстати STUN вставлял с месяц назад, а проблему обнаружил ещё до того).
У меня и раутер с UPNP, и торчит он наружу в интернет (то есть нет двойного ната и прочего). Смотрим в
C:UsersmaxihatopAppDataRoamingBitcoindebug.log

И видим строчки:
2014-06-15 13:39:07 GetMyExternalIP() received [105.23.111.33] 105.23.111.33:0

То есть критикуемая функция отработала по любому.

Теперь пусть каждый пользователь биткоин-кошелька
заглянет в свой личный файл debug.log и поищет строчку типа указаной выше. И сделает вывод, кто из нас врёт.

>2) checkip dyndns org используется еще массой
> программ кроме биткойна.
> Сопоставить время с кошельком невозможно.

Cнова врёте. Запросы от кошелька на раз фильтруются по сигнатуре клиента, которая соответствует уже весьма редкому в наше время IE7 из-под NT 5.1. Так что с этой сигнатурой на данный сайт в основном только кошельки и ходят.

> 3) Даже если бы п.2 не выполнялся: транзакций
> биткоина слишком много.

Не выполняется. Но на "много" - есть ковариационный анализ, который хорошо поднимает соотношение сигнал/шум. И если десяток транзакций в год отловить затруднительно, то год транзакций по десятку в неделю - отлавливается на ура, благо что исторические файлы имеются.

> Сопоставить время с конкретным кошельком
> невозможно.

Только для небольшого числа транзакций.


> 4) Даже если бы п.3 не выполнялся: Проверка IP
> через checkip dyndns org происходит не в то же
> самое время когда делаются транзакции, а в
> совсем другое время. Сопоставить время с
> кошельком невозможно.

Вы знакомы с понятием матожидание и статистическое отклонение? Вот это смещение времени - более-менее постоянно для каждого шаблона юзера. А сделать ковариацию на линейке (t+tau) - ну я думаю, и студент-математик сможет.


> 5) Если вдруг checkip dyndns org вырубится,
> пофиксить это можно легко за один день.
> До выхода фикса можно указать свой IP вручную.

Да. Но зачем действительно прекрасный распределённый продукт оставлять зависимым от единственного сервиса?

> 6) Человек который обнаружил это на Реддите
> пишет что предложил фикс. Его проигнорировали
>потому что никто не видит опасности
> существующем коде.

Ну их право не видеть. Может, они про STUN не знали, потому и сделали своё WEB-получение.
Они видят ситуацию так, мы эдак. Своего мнения не навязываем. Хотите - берите, пользуйтесь. Не хотите - идите мимо.

> Но они все дураки, вот автор ЭмерКоин -
> другое дело, да, да...

Это Вы сказали.

> А вы врун.

Я вот Вас дважды на вранье поймал. И указал критерии, где смотреть доказательства.
Windows Firefox
 Ashburn
1
2
maxihatop
Вдогонку, детали по п2 (сигнатура).

Сама сигнатура прописана в строке 397:

https://github.com/bitcoin/bitcoin/blob/master/src/net.cpp

И выглядит так:
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)

А чему она соответствует - можно увидеть тут (спасибо Михаилу за ссылку):
http://www.useragentstring.com/Internet Explorer7.0_id_5031.[...]

То есть старой IE7 и отходящей в мир иной Windows XP (она же 5.1)

Ну ещё и коин-кошелькам, всем хором. У них сигнатура неизменная, и жёстко вшита в код, который Вы так любите.
Windows Firefox
 Новосибирск
1
1
Олег
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Где ссылки на ваши баги и пулл-риквесты на устранение этих проблем?
Windows Firefox
 Ashburn
2
1
maxihatop
На мои баги? Я о них не знаю.
А те, о которых знал - уже исправил. И не только мои.
А если желаете принять участие в тестинге - добро пожаловать!
Скачивайте программу, ищите и пишите. С удовольствием исправлю. Исходники доступны тут:
[...]
(скрыто по причине недопущения пеара).
Linux Safari
 Санкт-Петербург
8
6
RType
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Тю. Можно было попдробней,
в чем автор столь низок и все такое? Пока слышен только треск вашей рвущейся попки и никаких членораздельных аргументов.
Windows Safari Chrome
 Таиланд
2
2
Проходил мимо
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Ответил выше, специально для таких как вы которые не понимают как автор их наебал. Или вы может быть и есть автор?
Windows Firefox
 Санкт-Петербург
3
2
Mech
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Ну почему ты такой твердолобый?

Уже писали сто раз, что UPUP не пробивает через два NAT, а таких не меньшинство, а большинство - это все рядовые пользователи сидящие под провайдером. Первый нат - домашний роутер, второй - провайдерский.

Что сигнатура у битка есть и вполне себе не массовая, тоже указали. И что пропасти по логам, это дело техники, тоже.

Вручную вводить IP? Да 99% пользователей кошельков, где строка отладки находится в qt не знает!
Windows Safari Chrome
 Новосибирск
0
0
Anton
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
> Уже писали сто раз, что UPUP не пробивает через два NAT, а таких не меньшинство, а большинство - это все рядовые пользователи сидящие под провайдером.
1. Рядовые пользователи биткойны не майнят.
2. Услуга "Внешний IP" есть у многих провайдеров, и не нужно быть особенно искушенным в IT, чтобы его купить.
Windows Firefox
 Санкт-Петербург
2
0
Mech
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
1) Вы понимаете, что между владением bitcoin кошельком и майном - связи никакой вообще? Что можно быть простым пользователем, безо всякого майна?

2) Нахрена козе боян? Зачем платить лишние 100 рублей в месяц, когда вон показана бесплатная, работающая, и работающая хорошо альтернатива?!
Windows Firefox
 Челябинск
7
0
vinny-the-poo
В общем, с удовольствием прочитал старый добрый программеро-срачЪ. Очень надеюсь, что именно в таких спорах рождается истина. Это вам не няшмяш.
Windows Firefox
 Москва
0
1
Д503
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Истеричный материал как-то. Если отбросить теорию заговора, то вдруг выяснится, что checkip.dyndns.org это сервис, которому сто лет уже и который используют сотни разных программ. Так что единственное что он знает "эй на этом адресе запущена какая-то программа, а может браузер, а может поисковик". Можно выдохнуть.
Windows Firefox
 Москва
0
0
Михаил
Новость в тему: "Минфин разработал законопроект, устанавливающий штрафы за использование криптовалют и денежных суррогатов. Проект закона опубликован на портале раскрытия информации о подготовке правовых актов. Для обычных граждан размер штрафа составит 50 тысяч рублей, для должностных лиц — 100 тысяч, а для компаний — до миллиона рублей. Штрафовать будут и за создание программного обеспечения для эмиссии криптовалют."

http://lenta.ru/news/2014/10/03/bitcoins/
Linux Opera
 Москва
16
0
Леонит Каганофф
Как мне нынче написала Арита, "Есть многое на свете, друг Горацио, что запретят в Российской Федерации"...
Windows Opera
 Киров
0
0
Mario
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Ничего страшного, деревьев в РФ все еще много и это не считая фонарных столбов, балконов и прочих подручных средств.
 New York
4
0
byka
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Значит, хорошая вещь, надо брать!
Windows Firefox
 Ashburn
1
1
maxihatop
А что они собираются сделать с главным русским денежным суррогатом -
[...]
водкой
?! Ведь
[...]
бутылка водки
в России всегда была самой надёжной и ликвидной валютой!
И ещё эмиссию собираются запретить - это значит, что самый распространённый майнер марки
[...]
самогонный аппарат
- вне закона?! Это ж коллапс экономики будет!!!
PS: Названия продуктов удалены для того, чтобы ненароком в девственный мозг читателя не вп
[...]
еар
ить рекламы каких-либо товаров или услуг.
Windows Firefox
 Москва
2
0
kuz
ох какая фотка ностальгическая! укнц, демоны.... ))
Windows Firefox
 Ashburn
0
0
maxihatop
Не просто УКНЦ. А работающая УКНЦ в США!!! А рядом, если заметите - современный плоский монитор :)
Windows Firefox
 Москва
1
0
resistor
И Замок Гоблинов!
Первый уровень!
Linux Firefox
 Нидерланды
11
1
пыщпыщ
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Вы тут все так говорите: "попиарился, реклама, вранье". А почему бы и нет? Во-первых, вранья нет. Пиар и реклама - будто что-то плохое, побольше бы такого пиара. Это и есть честная конкуренция, когда на основе фактов оппонент может указать на узкие и небезопасные места чужой системы. А что, нужно поддакивать "биткоин - наше фсио, анонимность, защита ко ко ко"? И хорошо, что автор ассоциировал себя с Emercoin-ом, проще будет фильтровать. Люди, которые пишут, что не видят в указанном коде проблемы безопасности - либо не понимают, либо сознательно лукавят.

Да, можно обойти (hosts файл есть и на винде, есть и другие сопобы), но это дефолт. На дефолтах строится наш мир. Наверное 99% пользователей биткоинов не задавалась целью избежать обращения по checkip.dyndns.org. Но из них, полагаю, половина задумалась бы, если б знала об этом.

И вся история с криптовалютами только начинается. Алгоритм фундаментален, но реализаций множество, не говоря уже о пользовательских обертках.
Windows Safari Chrome
 Таиланд
6
1
Проходил мимо
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Вранье есть, потому что афтар заявляет что есть уязвимость а ее нет. Он пишет что есть проблемы а их нет. Автор выше упорно напрашивался на список того где он соврал, я его написал - вот можете посмотреть:

1) checkip dyndns org используется только если у системы нет публичного адреса, IP не указан вручную, а также определить IP через UPNP или другими методами не получилось. Его используют меньшинство клиентов.
2) checkip dyndns org используется еще массой программ кроме биткойна. Сопоставить время с кошельком невозможно.
3) Даже если бы п.2 не выполнялся: транзакций биткоина слишком много. Сопоставить время с конкретным кошельком невозможно.
4) Даже если бы п.3 не выполнялся: Проверка IP через checkip dyndns org происходит не в то же самое время когда делаются транзакции, а в совсем другое время. Сопоставить время с кошельком невозможно.
5) Если вдруг checkip dyndns org вырубится, пофиксить это можно легко за один день. До выхода фикса можно указать свой IP вручную.
6) Человек который обнаружил это на Реддите пишет что предложил фикс. Его проигнорировали потому что никто не видит опасности в существующем коде. Но они все дураки, вот автор ЭмерКоин - другое дело, да, да...


"Да, можно обойти (hosts файл есть и на винде, есть и другие сопобы), но это дефолт. На дефолтах строится наш мир. Наверное 99% пользователей биткоинов не задавалась целью избежать обращения по checkip dyndns org. Но из них, полагаю, половина задумалась бы, если б знала об этом."

Если checkip dyndns org вырубится, то они об этом узнают. И легко пофиксят.

А никакой возможности обнаружить IP кошелька нет, это полный бред.

Особенно конспирология в конце доставляет. Типа Dyn com кучу денег дали за отслеживание биткоинов. Реально статья для идиотов написана.
Windows Firefox
 Ashburn
5
3
maxihatop
На прямое враньё в ваших пунктах 1,2 - ответил выше, не хочу заниматься копипастой по Вашему примеру.
Пункты 3,4 - снова враньё, опирающееся на неверное предположение, что в нашем мире статистический аназиз неизвестен. Ну и несколько зависимы от предыдущих неверных пунктов.
Пункт 5 - ко мне отношения не имеет, а предлагает решение проблемы "вручную". Это конечно Ваше право - вручную адреса ставить и тп. Нравится - ставьте. А я STUNом буду пользоваться. Но пункт таки не имеет отношения ни к одному из приведённых мною фактов, и не может быть использован для обнаружения вранья.
6. "Его проигнорировали потому что никто не видит опасности в существующем коде". Откуда Вы знаете, что именно поэтому? Сатоши Вам лично сказал? Или там написал публично кто-то, кому можно верить безоговорочно?
Снова-таки - "никто не видит". Так уж никто? Отучаемся говорить за всех. Я вот - вижу. Видит и ряд других людей (навскидку - была пара ссылок в оригинальном документе). Так что здесь может и не прямое враньё, но "слишком много на себя берёте".

> Особенно конспирология в конце доставляет.
> Типа Dyn com кучу денег дали за отслеживание биткоинов.

Уже за меня стали говорить! Прогресс, однако!
И приписывать мне заявления, которых я не делал.
Я не писал утвердительного предложения, что именно "дали".
Я писал, что задался вопросом:
"Возникает законное любопытство — откуда у компании появилось сразу столько денег, что она закрывает основной бизнес и бросает клиентскую базу". И честно сказал, что ответа на него не знаю.
Кстати, добавлю - я сам когда-то был их клиентом, держал динамический DNS в зоне ath.cx. Так что как это происходило - знаю на своём опыте.

Итого:
1,2 - прямое враньё.
3,4 - голословные заявления, опирающееся на невежество.
5 - к вранью отношения не имеет, а является предложением делать некие изыски и эксерсизы вручную, которые автоматизируются ~300 строками кода.
6 - голословное заявление от имени других людей.

Дальнейший ненумерованый тезис определяется как демагогия - приписывание мне высказвания, которого я не делал.

Заметьте кстати, я в своём опусе привёл ряд фактов, и описал ход мини-расследования. Выводов и утверждений никаких не делал. Просто описал историю сбора фактов и мои побудительные мотивы. Выводов не делал, просто указал на
интересное совпадение, не более.

> Реально статья для идиотов написана.

А это - уже Ваше утверждение. Вывод. С которым можно соглашаться, а можно и не соглашаться. Пусть его истинность определят читатели, кто они такие.
Windows Firefox
 Волгоград
2
1
kondratij
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
По статье: уж сколько этих "уязвимостей" биткойна нашли - несчесть. Всё это ерунда (для системы в целом).
PS буду покупать что-то нелегальное, обязательно поставлю заглушку в hosts на указанный сайт! Так что инфа в статье полезна 100% :)
Mac Safari
 Москва
1
1
Виктор
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Леонид, Вы обладаете редким талантом просто объяснять сложные вещи.Если будет настроение, объясните пожалуйста , что такое криптовалюты и что , собственно, мотивирует людей использовать их ?
Windows Firefox
 Ashburn
2
1
maxihatop
Прочтите эту статью - тут доступно написано:

http://lurkmore.to/Bitcoin

И конечно же, это ещё одна реклама - на этот раз Биткоина, который мы с Леонидом пампим изо всех сил.
Mac Safari
 Москва
0
0
Виктор
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Спасибо, прочту.
Windows Safari Chrome
 Санкт-Петербург
3
0
beast
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Нет никаких криптовалют. Есть естественное желание любого разумного организма иметь и копить ресурс. Презентация любого нового ресурса подходит к этому желанию, как зерно к почве.
Биткоин - частный случай ресурса, т.к. есть люди, желающие менять его на другие ресурсы.
Определение ресурса в понятных терминах (его котировка, пусть взятая с потолка и неактуальная, например: "Говорят, соседский мальчик продал 0.01 биткоина за 20 евроцентов", или "omg btc/usd 314.159!!!") - представляет собой необходимую и достаточную презентацию.
Всё остальное - это просто вата, обёртка, чтобы заглушить критическое восприятие и позволить инстинктам жертвы работать в полную силу.
Windows
 Ярославль
0
0
Михаил М.
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
А ещё можно связать криптовалюту с какой-нибудь децентрализованной системой вроде i2p. Или нельзя, тут я не спец.
Хотя уязвимость сомнительная, да, с её помощью можно выцепить небольшую часть пользователей кошельков.
Не думаю, что программисты BitCoin'а входят в масштабный заговор. У них уже полно биткоинов, и эта новость может существенно сбить курс.
13 Августа они отписали, что хотят отказаться от сервисов вроде dyndns вообще. Вполне возможно, что уже делается тестовая версия на основе DHT или другой умной аббревиатуры.
Windows Safari Chrome
 Санкт-Петербург
8
0
Piton
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Из всего этого срача я понял три вещи:
1) Тут куча мазохистов, кому противен Каганов, и им противно его читать, но они любят недобровольный пассивный анальный секс, и потому все равно читают. Леонид, как Вам удается таких приманивать?
2) Мазохисты эти сами делать ничего не понимают, и делать, естественно, не умеют, а умеют только пиздеть. И им страшно плохо оттого, что кто то другой что-то понимает, и, тем более, делает.
3) Оные составляют подавляющее большинство нашего общества.
Mac Safari
 Швейцария
0
0
huj_vojne
Вы-то кто?
Перефразируя, "перегрелся" или "простудился"?
Windows Safari Chrome
 Таиланд
1
1
Проходил мимо
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
1) Читать обычно интересно. А тут вдруг такой сюрприз.
2) Проблема-то как раз в том что мы понимаем что инфа в статье - ложь. Если бы не понимали, как вы, нам бы наверное тоже понравилось :-))
3) Странно но факт, в блоге Леонида большинство - составляют грамотные в техническом отношении люди. Я понимаю что вам завидно, но не показывайте уж так :-))
Windows Firefox
 Ashburn
2
1
maxihatop
Вы всерьёз считаете, что я сначала искал, к чему б приколупаться в биткоине, потом программировал STUN, потом прикручивал его к
[...]
EmerCoin-у
потом выжидал месяц просто так - и всё только для того, чтоб порекламироваться в этом русскоязычном блоге? А можно ещё развить паранойю, и выдвинуть мнение, что я и с Леонидом подружился ~10 лет назад не просто так, а чтоб значит в этот блог пролезть.
 New York
1
0
byka
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
основная ценность форков в том, что можно намайнить относительно большое количество монет, и если проект пойдет в гору - нехило на этом подняться.

Вот только выглядит это примерно как попытка чеканить деньги из титана: а что, хороший металл, при должной обработке красивый, прочный, не то что это мягкое золото!
И в общем-то все так, но золотые монеты до сих пор ликвидны, а титановые пойдут по цене в долларах за тонну....
Windows Firefox
 Ashburn
0
1
maxihatop
Абсолютно верная мысль!

Любые деньги - это образно говоря зеркало, в котором отражаются товары и услуги. Бумажки с портретами президентов потому и ценны, что их можно обменять на реальные ништяки. И естественно, для того чтоб деньги любого вида были деньгами а не ракушками - надо позаботиться, чтоб за ними что-то стояло. Реальные товары и услуги.

Мы это понимаем, и делаем (... описания всяких штук удалены, чтоб ненароком не попеариться ...)

А узко-утилитарный взгляд: "намайнить-поднять-продать"... Ну это к Мxxxxxи с его схемой Пxxxи. (фамилии удалены по прочине недопущения пеара).
Linux Opera
 Москва
6
0
Леонит Каганофф
Се***й Ва****ч Л****ко недавно в своем блоге в ответ на вопрос, чем сегодня обеспечен рубль, сказал, что рубль обеспечен армией. Шах и мат, финансисты!
Windows Firefox
 Ashburn
0
0
maxihatop
Гы! А чем обеспечены алмазы? Эти маленькие сверкающие камушки? Где их армия и флот?

Так что гонит наш СВ.

А алмазы - даже функционально не уникальны (для своей цены). Вот фианит например (ZrO) - сверкает не хуже.
А тому кто начнёт говорить про утилитарное применение, советую сразу купить алмаз, делать из него алмазную наждачную бумагу, и продавать.
Windows Firefox
 Санкт-Петербург
0
1
murrmax
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
ваш никнейм, "махинатор", вызывает реальные сомнения в соответствии ваших реальных намерений вашим декларациям :)
Windows Firefox
 Ashburn
1
0
maxihatop
Ирония-с!
Знаете, Антон Носик тоже имеет интересный ник, который не стоит воспринимать буквально.

Как сказал Юз Алешковский - иногда неплохо б за надписью на заборе уметь видеть забор.

А если б я действительно собирался кого-либо обмануть, я б назвал себя наичестнейшим, или как-нибудь в этом роде.
Mac Safari
 Швейцария
2
0
huj_vojne
Честно скажу по поводу письма Ховайко - когда вижу все эти выражения вроде "кричащий" или "вопиющий", включается внутренний файрвол, так что дальше третьего абзатца не прочитал.

По поводу основного текст: а, например, всякие вебмани типа paypal тоже относятся к криптовалюте, или у них другой принцип?
Windows Firefox
 Ashburn
0
1
maxihatop
Другой принцип. У них нет главного сайта, хозяина и прочего в этом роде. Прочтите тут, про биткоин: http://lurkmore.to/Bitcoin
С остальными криптовалютами примерно то же самое.
Windows Firefox
 Япония
2
0
Идиотъ
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Скажите, а сколько абзатцев было изначально в вашем комментарии?
Windows Safari Chrome
 Германия
0
0
_N_E_R_O_
О! Что я вижу?! Электроника УКНЦ и игру "Клад" на мониторе! Только что в неё резался в эмуляторе;))
Windows Firefox
 Мытищи
1
0
DGN
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
о да, сервер динамических имен знает всех, а также корневые DNS сервера вообще контролируют всю сеть. ;-)

это просто пиар очередной склонированной криптовалюты, не более.

параноики могут сделать вирус, который будет периодически "стучать" по этому адресу как будто на зараженном компе кто-то открывает кошелек. ;-)
Windows Firefox
 Санкт-Петербург
3
0
murrmax
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
адрес, который клиент получает от внешнего сервиса - это всего лишь один из пачки адресов, которые рассылаются всем пирам для обратной связи, да, с достаточно высоким приоритетом, но если динднс накроется *здой, то для определения собственного адреса используется ещё несколько способов, включая адрес заданный вручную (-externalip), так что вся сеть не развалится.

однако, адрес от динднс стоит по приоритету выше прочих типов адресов, которые клиент определяет как локальные, кроме externalip, конечно, поэтому, гораздо смешней будет, если динднс вместо честного входящего адреса начнёт возвращать для всех клиентов одно и тоже число. тут уже действительно можно либо отрубить всех не сконфигурированных вручную клиентов, либо перенаправить на ханипот-кластер фейковых пиров, с которых уже, да, вести запись транзакций, анализ, и т.п.

имхо, сделать так, чтобы это не нарушило работоспособность кучи других сервисов, которые полагаются на корректность возвращаемых динднсом адресов вряд ли выйдет - слишком много глаз.

однако в небольшой, скажем, корпоративной сети или университетской локалке, "злой админ" вполне может сделать такую подставу, прописав хитрые правила для маршрутизации 91.198.22.70 на фейковый же "динднс".

но зачем?))

на мой взгляд, криптовалюты - это как неуловимый Джо, никому не сдались гипотетические дыры в почти никому не нужном продукте, поэтому разрабы и не спешат их закрывать, вся проблема высосана из пальца.

отчёт про уязвимости SS7 был куда интересней и актуальней - мифы про "воровство денег со счёта мобильного" оказываются могут быть вполне реальными ситуациями.
Windows Firefox
 Санкт-Петербург
2
0
Mech
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
«... тут уже действительно можно либо отрубить всех не сконфигурированных вручную клиентов, либо перенаправить на ханипот-кластер фейковых пиров, с которых уже, да, вести запись транзакций, анализ, и т.п»

Кстати да, а я то думал только автора можно было назвать параноиком (в хорошем смысле).

«...на мой взгляд, криптовалюты - это как неуловимый Джо, никому не сдались гипотетические дыры в почти никому не нужном продукте, поэтому разрабы и не спешат их закрывать, вся проблема высосана из пальца».

Да как сказать, когда дела шьются вроде Шелкового Пути, все методы хороши.
Linux Safari Chrome
 Львов
4
0
killerstorm
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Теория заговора и реклама emercoin.
Windows Firefox
 Санкт-Петербург
1
0
Mech
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Тоже мне, открытие...
Windows Firefox
 Москва
0
0
Олег
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Здравствуйте.

А что это за игра на мониторе на фотке? Я в нее играл ребенком в компьютерном клубе. Как-то она называлась, типа "Десант".
Может быть, и ссылка на нее найдется?

Спасибо!
Windows Firefox
 Ashburn
1
1
maxihatop
Игра называется "
[...]
Замок Гоблинов
".
Ссылки:
http://r-games.net/31673-zamok-goblinov.html
http://uk-nc.narod.ru/
Работает только на нативной
[...]
УК-НЦ
или её эмуляторе.
(Названия продуктов, которые потенциально могут быть проданы, скрыты для недопущения пеара).
На фотке - нативная машина, с прикрученным к ней IDE-винчестером от PC (контроллер - калька чужого с улучшениями, драйвер+firmware - целиком моя разработка).
Windows Firefox
 Москва
1
0
Олег
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Спасибо! Она еще и цветная))
Mac Safari
 Тольятти
0
0
para-no-ID
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Прям детектив. Чем может быть найденная уязвимость в бит-монете (особенно странная на фоне того, что в программе-кошельке есть пресет для работы через TOR)? Глупостью или изменой? Глупость - вряд ли, иначе Сатоши спалился бы раньше Страшного Пирата Робертса. Значит что-то нечисто. Если разработчиков с некоторого момента взяли под контроль "органы", то да, с анонимностью проблемы. Или же... BTC с самого начала был создан в какой-нибудь DARPA как запасной аэродром на случай если нынешняя бумажная валюта (которая без золотого обеспечения) накроется.
Windows Firefox
 Санкт-Петербург
1
0
Mech
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Стечение обстоятельств. А может времени не хватило. Тогда это более менее работало, а потом локализовалось на одном "ржавом гвозде"
Linux Safari Chrome
 Вьетнам
0
0
eicto me
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Нормальные люди на торовых машинах имеют только одно возможнон неторовое соединение - к прокси в tor :)
Linux Safari Chrome
 Санкт-Петербург
1
0
Васисуалий
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Из прочитанного рядовой гражданин поймет следующие:
1. Пользоваться криптовалютами нельзя
2. Сочетание Мавроди с Биллом Гейтсом дает продукт не имеющих эмерджентных свойств - Мавроди победит, вкладчик попадет.
3. Люди которые разрабатывают и поддерживают криптовалюты - опасные фанатичные анархисты. Такое чувство, что основная содержательная часть форума написана одним безумцем, который разговаривает сам с собой.

Если изобретатель сделает машину которая может быстро ездить, но не будет поворачивать и тормозить, он вряд ли достигнет успеха. А вот с расчетами, походу, дело обстоит по-другому! Контроль никакой не нужен, на требования законодательств разных стран, которые обязаны соблюдать банки, можно забить... красота! Про налоги, валютный контроль и проч чепуху можно не думать
Windows Safari Chrome
 Санкт-Петербург
0
0
zanykool
Опасность уязвимости, мне каежтся, преувеличена, ее достаточно прото обойти через подмену DNS в файле hosts, как это делают трояны.

Мне вот интересно, а что будет с транзакцией, когда checkip.dyndns.org сообщит биткойн-клиенту чужой ip, причем не просто чужой, а какой-то реальный и также с открытм биткойн кошельком?
Windows Safari Chrome
 Москва
1
0
Alexander Trousevich
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Вообще статейка действительно вызывает беспокойство.

Да, вроде фатальной баги нет, но по логам dyn, кажется, правда отслеживается любой активный пользователь BTC, у которого используется dyn для определения внешнего IP.

Иными словами, "большой брат" действительно обладает ресурсами для значительной деанонимизации сети.

Печаль ситуации в том, что это исследование подставляет под удар не только сами биткоины, но и саму идею криптовалюты в целом: как доверять ПО, которое опростоволосилось ВОТ ТАК? Сколько там еще дырок, которые пока не найдены?

всего комментариев: 149

<< предыдущая заметка следующая заметка >>