Re: BTC-E.com Биржа по торговле BTC/NMC/LTC/NVC/PPC (комиссия 0.2%)
Вместо ссылки отправляйте 6значное число код, которое по времени и числу не верных попыток ограничено, если не смог то заново заказывай вывод.
В ссылке указан хеш код длиной 32 символа, что куда длинее ваших 6 символов. Так что подобрать хеш код куда сложнее чем какое то число.А так же избавляет от лишенго уровня уязвимости - формы ввода даных. Т.к дополнительный код для проверок, для парсинга, для отображения это дополнительные дыры в безопасности (мало ли где программист ошибется).
должно производится другими средствами связи, то есть другой компьютер и интернет
Это как?Т.е мне на один компьютер приходит письмо, я должен бежать к Васе в другой дом просить его комп (т.к у меня только 1 комп), и его интернет (т.к у меня только один провайдер) чтобы сделать какую то операцию на бирже?
Хм, ок, даже если теоретически у меня будет 2 компа, то какая нафиг разница 1 комп или 2 если оба они выходят через 1 роутер?
Теоритически у меня 2 провайдера и 2 компа подключеных каждый к своему провайдеру. Какая нафиг разница для биржи от какого провайдера к ниму пришел запрос? Биржа все равно не отличит провайдера А от провайдера Б. Выражаясь вашим языком, для биржи все "интернеты" одинаковы.
-в этом же письме пишите что этот емэил больше нигде ни на каких сайтах не должен использоватся.
Это и так знает любой нормальный человек который умеет пользоваться интернетом.Более продвинутые люди используют анонимайезры почты. Т.е вы логинетесь на сайт с почты public@mail.com (но такой почты не существует), а запрос приходит вам на почту private@mail.com (Это реальная почта, и транзакции осуществляются на стороне хост провайдера и почтового сервиса).
А как сейчас сделано подтверждение то люди относятся к этому словно просто какое-то подтверждение с форума пришло, ссылка на смну пароля с вконакте, не серьезно.
Вообще то указан адрес от кого пришло, и кто запросил, и с какого ip адреса был выполнен запрос.Если вам таких данных мало, то надпись большими буквами "ЭТО ОТ БИРЖИ" вам не поможет, ибо быстро примелькается и мозг уже не будет обращать на нее внимание. (Особенности организма и психологии. Вспомните игру, когда смотрите на черную точку на белом листе, и через 40 секунд точка пропадает).
А вы это должны указывать для нерадивых юзеров!
Если пользователь дурак это его проблемы. Мы не в больнице, где за каждым душевнобольным нужно ходить и попку подтирать когда он обкакается случайно.Если вы хотите упросить процесс доступа, но оставить более высокий уровень безопасности, тогда лучше использовать решения на подобии Яндекс ключа, когда сайт показывает qr-код, телефон сканирует код, отправляет необходимые данные на сервер, сервер валидирует полученные данные и выдает разрешение на доступ, на сайте автоматом обновляется страница и юзер опознан. В таком случае пользователь даже клавиатуру не трогает (что исключает вероятность перехвата данных с помощью кейлогеров), а поскольку часть данных еще проходит через мобильное устройство, то злоумышнику нужно еще и хакать второй канал связи и расшифровывать алгоритм приложения-ключа
Слушай, ну не тебе же было сообщение.
Какая разница сколько охереть много цифр или буквесли неправильно вводить можно будет только три раза? Да хоть 4 цифры, попробуй угадай, и по времени, на следущий раз 1 минута, то есть уже 3 минуты. а следущий запрос вывода если этот неудачный через 5 минут. Ну понятно что 4 цифры тут мало, будут пытаться даже в таком варианте, но 6цифр уже нормально.
вероятность 1 на 10 млн и 6 раз за 10 минут, ну угадай.
У меня создается впечатление что тебе обязательно надо конкретно мои сообщения одибиливать как тебе кажется на форуме?
Всё остальное что ты пишешь это мол поьзователь должен быть умным и сам заботится, но это гиблый вариант, с таким подходом будут проблемы, точнее они уже есть, у бтце и еще некоторых.
Насчет QR кода это опять же начинается умничание, я мол технодрочер избалованый известный со всеми разовсеми технодрочениями.
А заметь обменники если ты заказываешь вывод нала до сих пор используют простой старый способ кодовых фраз, без нанодрочеств, но при этом работают с тобой как с дебилом, говорят что надо использовать отдельную линию связи, то есть позвоните по номеру и я сейчас вам назову, предупреждают чтобы услышаное по телефону никуда не писали а просто хорошо прихорошо запомнили!
Любой уважающийсебя сервис не будет работая с деньгами делать типа для умных, тогда будут проблемы как сейчас у бтце, у умных не воруют, адураки уже столько везде понаписали что все думают что всех обворовывают.
Замечание справедливо как я считаю.
Потому что если бы тот меняла ничего не предупреждал и обворовали то все претензии ему.
А ведь на этой бирже тоже серьезные выводы заказываются и 10000$ и даже до 100 000$
Если ты умник технодрочер с 100-1000 долларов то не учи других.
И вообще достало что ты везде суешь свой нос говняной, когда не тебе пишут.
Еще раз для тупого, безопасность пароля в случае его ввода для интернет сайта определяется сайтом как можно часто вводить пароль для этого юзера на этодействие, а не перебором.
Если ты настолько туп что даже этого не понимаешь и сравниваешь число знаков словно ты просто на своем компе пароль к архиву винрар подбираешь и тут только мощность компа, то извини, ты туп.
Безопасность это конечно хорошо, но паранойя на безопасности - это плохо. Теперь просто зайти на биржу - целый геморрой, капча эта дурацкая, пароль теперь меняют на ходу. Вообщето удобство для пользователя - тоже не маловажный фактор. Не все торгуют ботами. 
В чем проблема раз в пол года менять пароль?Я свои меняю раз в 3 месяца на большинстве сайтов, а их десятки.
Не все торгуют ботами
Можете торговать не через веб, а через терминалы используя апи ключи. Тогда вообще на биржу заходить не нужно будет.Тоже самое, опять великий спец по безопасности всех учит когда люди обращаются к бирже, да?
Ограничить число вводов не правильных для логина в минуту и дело с концом. не нужны будут ни капчи ничего другово, хоть с 100 IP хоть что.
Но тут есть иная проблема, тогда сам юзер не сможет зайти если он свой логин засветил и кто-то его подбирает. Причем подбирает возможно просто чтобы ему подгадить, а не чтобы реально смогли.
Вот тут снова вопрос о том чтобы мыло нигде не указывали на других сайтах должно быть написано на видных местах везде на бтце.