Утопия об идеальной защите биржи: профиль, аккаунт, айпи (ip)
В сети, в частности в рунете уже наклёпано великое множество бирж, по самым скромным подсчетам — более сотни бирж, которые хоть как-то живут, хотя бы "своей жизнью" (на автомате) и набирают свою "популярность" хотя бы среди узкого круга знакомых. Но, как выясняется, ни одна из создданых бирж не обладает полным спектром безопасности. А ведь главное — не сколько зарабатываешь, а сколько выводишь на свой кошелек, хотя и сам кошелек (например, ) держать весьма не безопасно, но об этом в другой раз.
Основные методы взлома биржи
К сожалению, любой пароль можно подобрать на любой бирже к аккаунту банальным брутальным подбором, т.е. просто тупо перебирая цифры от 0 до 9 и буквы подрят по алфавиту. Какой выход? — через каждые 3 попытки залогиниться (войти в свой аккаунт) выводить капчу (картинку с секретным кодом). Выход — ставь 9-значный или более пароль, злоумышленникам бывает не лень подбирать до 8 знаков, остальное может занять неделю на один аккаунт.
Также существует множество других способов взлома аккаунтов биржи, например, такие способы мошейничества:
Взламывают биржи, постоянно их мониторят, но ничего не делают, а просто следят за пользователем, ни пароли, ничего не меняют, кроме того, что могут сменить (добавить) кошелек. Вот какая хитрая штука со мной приключилась: мошенники узнали каким-то хитрым способом пароль к почте, сменили кошелек и... 1 - биржа об этом не отписалась, или 2 - биржа отписалась, но почту предусмотрительно удалили; на самой почте также совершенно ничего не меняли, просто наблюдали. Только случайно перед выводом средств заметил, что кошелек не мой — он, вероятно, был подтвержден злоумышленником без моего ведома и деньги, чуть было, не ушли "налево".
Основные методы защиты бирж — защита по айпи (ip)
Этот не вариант безопасности, конечно же, не понацея — вдруг пользователь перемещается? Я, например, 20 лет живу в одном городе и уверен, что сдохну тоже... Эта защита не 100%-я и не подойдет для всех пользователей, но по крайней мере, думается, 60% сидят на месте и могли бы "эту" галочку себе поставить в профиле. Из-за того, что у многих пользователей динамический ip администраторы бирж не хотят это делать — сложно и долго, а доход это не приносит.
В любом случае, переезд пользователя из города в город неожиданным одноминутным не бывает, да и восстановить пароль не так уж сложно, например, та же webmoney (вебмани) предлагаетвосстановление пароля через код, присланный на смс (sms), пароль на почту (запасную), а также, как вариант, можно добавить другие функции, например, ответить правильно на 5 вопросов (какая фамилия, моб. телефон, адрес, свой вопрос, паспорт и прочее).
Как это можно было бы реализовать? — создать простой скрипт по вычислению текущей сети (подсети) провайдера, как это сделано на webmoney. При заходе на страницу блокировки автоматически добавляется в форму динамическая сеть входа пользователя или текущий айпи (статический). Добавлять можно много раз без ограничений, используя маску динамической сети.
Но есть также и другой вариант обхода защиты, например, злоумышленник может использовать прокси-сервер (proxy) для взлома, точнее, несанкционированного входа в аккаунт. Прокси-сервера могут динамически менять (скрывать) айпи в течении сеанса подключения, поэтому, выход видится такой — определять автоматическими скриптами начало трека, т.е. откуда начинается сигнал злоумышленника, ведь каждый айпи завязан на страну и город. Есть куча счетчиков в сети, которые определяют по айпи и город, и страну, и все прочее...
Как решить проблему? — Запретить вход в аккаунт с другого города или страны. Если простым простукиванием сигнала нельзя узнать откуда начинается сигнал, то наверняка это попытка несанкционированного входа (попытки взлома), зачем легальному пользователю скрывать свое нахождение на бирже, пытаться зайти на нее незамеченным? Хотя, бывают и такие... Разве нельзя запретить (разрешить) вход в аккаунт биржи только с определенного города или страны? Разве нельзя запретить (разрешить) вход в аккаунт биржи только одного человека, который бы мог войти в аккаунт за раз, а не 10 одновременно?
Основные методы защиты бирж - защита профиля
Самый эффективный способ борьбы с мошенниками - защитить профиль пользователя биржи. Например:
- смену кошелька производить не чаще раза в неделю;
- при смене кошелька не производить моментальный вывод средств, а ожидать неделю.
- ввести внутренние пароли профиля, например, для смены кошелька требуется другой пароль, отличный от пароля входа в аккаунт.
- при каждой смене чего-либо (кошелька или почтового ящика), после выхода из аккаунта высылать на почту сообщение о произведенных действиях и параметров пользователя, например, айпи, а также браузера, ОС и т.д.;
- принудительно закрывать аккаунт через, например, 30 минут и выкидывать пользователя на главную страницу биржи для повторной авторизации.
Все эти функции не обязательно делать принудительными, нужно дать пользователю возможность выбора: использовать простой аккаунт биржи, но не безопасный, или использовать защищенный аккаунт биржи, но требующий постоянного уточнения паролей или чего-то еще.
Во многих форумах и блогах самых популярных бирж сети можно найти мои ветки по улучшению и доработке бирж, особенно в плане безопасности — защиты от взлома и юзабилити интерфейса (удобной интуитивной навигации). Основные проблемы взлома были описаны на форумах бирж (), () и другие.
Продолжение статьи читайте на следующей странице.
Другие способы защиты от взлома бирж (несанкционированного входа в аккаунты)
— Запретить сохранять логин и пароль и запретить (разрешить) использовать куки (cookie) для авторизации (входа в аккаунт) пользователя.
— Сессия только с одного IP-адреса (опция проверяет, что все запросы в сессии идут с того же адреса, с которого она началась, если не с того, то сессия считается неправильной — и отправляет на авторизацию. Выключать опцию стоит только если регулярно "выбрасывает" из на авторизацию.).
— Показывать информацию о последнем входе в систему (ведется журнал — логи, в котором можно узнать когда (дату и время) и с какого IP-адреса был вход в аккаунт. ).
— Вести открытую статистику взлома системы. Такое ощущение, как будто ни одну биржу невозможно взломать, но ведь это не так — почти каждая биржа статей и ссылок имеет массу недостатков, так сказать "дыр" в коде, про которые злоумышленники знают, но программисты либо заняты другими вещами, либо просто не компитентны в вопросах безопасности взлома биржи и не обращают на это внимание. Почему бы не создать об этом отдельный раздел в бирже и не показывать данные злоумышленника (айпи, страну, город, ОС, браузер и т.д.)? Рано или поздно, они попадутся "хорошим" людям и их самих разнесут в пух и прах... просто заддосят их сеть или отрубят вовсе. Как правило, на одного хитрожопого найдется с десяток таких же, так пусть поупражняются во взломе...
— Почему бы всем биржам не заключить "союз", не договориться об общей безопасности сети, почему бы не создать внеглассное правило: взломали одну биржу — заблокировали злоумышленника во всех? Ведь уже давно ведутся базы данных о спаме, например, — самая крупная популярная база спамщиков, так почему бы не создать базу ненадежных интернет-кафе и ненадежных подсетей, которые не хотят бороться с преступностью, как это делает Спамхаус (SpamHaus), замечательно описанный в корпаративном блоге Ольги Ивановой?
Например, меня один ухарь из Омска; отписался всем биржам — им просто плевать: одним пользователем меньше, одним больше — какая разница, деньги все равно не их. Поэтому, я не пользуюсь многими биржами (в частности и др.), аккаунты пустые, на интернет зарабатываю за счет прямого контакта заказчиков статей и ссылок, кого интересует, смотрите раздел Реклама в блоге.
Другие статьи по теме seo (оптимизация), монетизации и раскрутке:
Метки статьи: Комментариев: Комментариев нет
Опубликованно: Среда, Май 6th, 2009 в 15:34
Обновлено: 16 Июль 2009 в 17:32.
Директории: Взлом, безопасность и стабильность
Автор: admin, все авторы.
В статье: 1099 слов. Ссылки на странице.
Понравилась статья? - Не пропустите следующую, подпишитесь на RSS-канал[],
Также Вы можете оставить комментарий, или на Вашем сайте.
Эту статью находят по поисковым запросам:
463768885,
zgr@bk.ru...
Блогер-сеошник, веду сайты:
