NOWY KANTOR FreshBTC.com

[ShadowOfHarbringer]

(całość napisana jest w modelu ADD).

Hmmm...
http://pl.wikipedia.org/wiki/ADD

Nazwa tego hasła odnosi się do więcej niż jednego pojęcia.

ADHD – Attention Deficit Hyperactivity Disorder (zespół nadpobudliwości psychoruchowej)
ADD (CD) – płyta kompaktowa: nagranie analogowe, miksowanie i mastering cyfrowe
ADD (asembler) – instrukcja asemblera dodająca do siebie dwie liczby

Google też nie mówi nic sensownego. Można prosić o wyjaśnienie co to jest to ADD ?

[ramzes]

Witamy po przerwie,

Chciałbym zacząć od ustosunkowania się do powyższych komentarzy.

Całe środowisko było testowane wcześniej w ustawieniach produkcyjnych.
Nie twierdzimy i nigdy nie twierdziliśmy, że nasz system jest bezbłędny. Jednocześnie zapewniamy Państwa, że sprawą absolutnie najważniejszą jest bezpieczeństwo całego systemu. Od samego początku tworzenia FreshBTC priorytetem dla nas było utworzenie serwisu bezpiecznego (ze szczególnym naciskiem na algorytmy przechowywania i księgowania środków).
Między innymi dlatego właśnie, na serwerze w tych pierwszych dniach, włączony jest bardzo szczegółowy tryb debugowania. Powoduje to, że cały system działa wolniej, a to z kolei w połączeniu z nadspodziewanie dużym zainteresowaniem w pierwszych minutach z Państwa strony, spowodowało przeciążenie systemu.

W razie wykrycia jakichkolwiek nieprawidłowości prosimy o kontakt telefoniczny bądź mailowy. Gwarantuję, że będziemy reagować natychmiastowo.

Sprawę wiadomości mail które nie dotarły, sprawdzimy. W razie wystąpienia kolejnych problemów z dostarczaniem maili, prosimy o kontakt.
Pomoże to nam stworzyć lepszy system. Jednocześnie zachęcamy Państwa do przełączenia się na autoryzację kodami Token (OTP).

@qertoip: system z założenia filtruje dane przesyłane do naszego wewnętrznego API (następuje podwójna filtracja na etapie interfejsu i dodatkowo wejścia do API - informacje o tym rozwiązaniu można znaleźć na naszych stronach).
Prosiłbym o podesłanie zrzutów ekranów (najlepiej na adres office@codernity.com), pozwoli nam się to dokładniej ustosunkować do konkretnego problemu (w tym wypadku XSS).

Kolego qertoip, nie bądź agresywny. Nic mi się nie popierdoliło.



Bardzo proszę o potwierdzenie, po starcie około godziny 13. na podstronie https://freshbtc.com/contact można było wysłać POSTem 'action, email, message, name, sendbutton, subject' dowolne znaki co było błędem XSS, była możliwość uruchomienia dowolnego javascriptu. Zotał on szybko załatany plus dla was. Chyba nie jest problemem dla was przyznanie się do błędu ?

[Havamal]

Witam.

Po zapoznaniu się z treścią regulaminu oraz tabelą opłat i prowizji, mam kilka pytań:

1. W jaki sposób na koncie użytkownika (teoretycznie) może powstać saldo ujemne?
2. W regulaminie brak jest punktu odnośnie odpowiedzialności FreshBTC - za zainstniałe awarie, lub utratę środków przez FreshBTC na skutek, włamania, utraty bazy danych lub innych tego typu przypadków. Dlaczego?

*Dlaczego pytam? Dlatego że wiele obowiązków ciaży na użytkowniku a ten nie ma wielu praw związanym z nieprawidłowym działaniem serwisu. Tak naprawdę FreshBTC może bez zbędnej zwłoki zablokować konto wraz ze środkami użytownika jeżeli: ma podejżenie, cień wątpliwości że ten może postępować niezgodnie z prawem krajowym lub łamać regulamin (to chyba w kraju w którym istnieje domniemanie niewinności mija się trochę z celem, czy nie sąd powienien wydawać osąd winny czy nie winny?) Jedyne do czego ten regulamin uprawnia użytownika to zwrot zgromadzonych środków w przypadku awari serwisu powyżej 48h i to na jego koszt.

Może tak dopisać iż w przypadku awari, lub utraty zgromadzonych środków serwis ponosi pełną za nie odpowiedzialność? Tak przeczytałem jeszcze raz regulamin i dalej nie widzę punktu kto ponosi odpowiedzialnosć za zgormadzone na nim środki (konta użytkowników jak i w całym serwisie) Tego też zabrakło w regulaminie.


Jak narazie wygląda to tak że stworzyliście płatny serwis, bo zarówno kupujący jak i sprzedający po równo płacą 0.4% prowizji co = 0.8% dla transakcji KUP/SPRZEDAJ, Nie ponosicie odpowiedzialności za zgromadzone środki, nie ponosicie odpowiedzialności za błędy działania serwisu oraz na ich utratę poprzez "kradzież" "włamanie" czy awarię.

3. Brak informacji w regulaminie w (brak takowego paragrafu jak postanowienia końcowe):
- W sprawach nieuregulowanych niniejszym regulaminem mają zastosowanie przepisy kodeksu cywilnego.
- Sądem właściwym dla rozpatrywania sporów wynikających z xxxxx jest sąd właściwy dla miejsca siedziby firmy xxxxx.

Pozdrawiam

[batouzo]

"ale od tego jest okres testów bez ruszania NICZEGO (docelowy serwer tylko htaccess limituje dostęp do betatesterów)."
W naszej infrastrukturze nie ma Apache.

Heh, raczej oczywiste że nie Apache (nginx może?) - tak napisałem przysłowiowo "htaccess" - a konkretnie to HTTP AUTH - RFC 2617 lub inne limitowanie dostępu... ew. dodatkowo po VPN (dla znajomych, pracowników, itd) najpierw a ostatecznie dla większego grona testerów ogólnie.

A przed publicznym startem miejsce miał start "testowy", nomen omen na tym samym środowisku i dokładnie tych samych ustawieniach. I zapewniamy Państwa, że wszystko działało sprawnie (nie uruchomilibyśmy serwisu nie sprawnego).

Czyli magicznie nagle wszystko na stronie przestaje działać?

Nie wiem jak dla innych, ale mi to najlepiej nie wróży. Zobaczymy jak to będzie działać jutro może lepiej..


@ramzes samo wysłanie dowolnych danych do serwera to nie problem - pytanie co serwer z tym robił, np. czy wysłany dowolny string jak z kodem HTML był odsyłany bez escapowania do przeglądarki.
Jeżeli posyłasz jako imię <h1><u>test i widzisz stronę z podkreślonym test, to pewnie i JS można tak uruchomić.
Albo jeżeli nazywasz się '); DROP TABLE USERS; -- i po logowaniu nagle baza pada

[ramzes]

"ale od tego jest okres testów bez ruszania NICZEGO (docelowy serwer tylko htaccess limituje dostęp do betatesterów)."
W naszej infrastrukturze nie ma Apache.

Heh, raczej oczywiste że nie Apache (nginx może?) - tak napisałem przysłowiowo "htaccess" - a konkretnie to HTTP AUTH - RFC 2617 lub inne limitowanie dostępu... ew. dodatkowo po VPN (dla znajomych, pracowników, itd) najpierw a ostatecznie dla większego grona testerów ogólnie.

A przed publicznym startem miejsce miał start "testowy", nomen omen na tym samym środowisku i dokładnie tych samych ustawieniach. I zapewniamy Państwa, że wszystko działało sprawnie (nie uruchomilibyśmy serwisu nie sprawnego).

Czyli magicznie nagle wszystko na stronie przestaje działać?

Nie wiem jak dla innych, ale mi to najlepiej nie wróży. Zobaczymy jak to będzie działać jutro może lepiej..


@ramzes samo wysłanie dowolnych danych do serwera to nie problem - pytanie co serwer z tym robił, np. czy wysłany dowolny string jak z kodem HTML był odsyłany bez escapowania do przeglądarki.

mhm potwierdzam, że dało się wykonać dowolny javascript.

[batouzo]

@ramzes samo wysłanie dowolnych danych do serwera to nie problem - pytanie co serwer z tym robił, np. czy wysłany dowolny string jak z kodem HTML był odsyłany bez escapowania do przeglądarki.

mhm potwierdzam, że dało się wykonać dowolny javascript.

Tak? Kurcze.

Jakiś screen lub screencast na przyszłość. Dobrze że była reakcja od razu.
Jeżeli to prawda to freshbtc.com jest jeszcze bardziej dziurawy niż bitomat.pl

[gordi7]

Czyżbym był pierwszym śmiałkiem, który zdecydował się na rozpoczęcie "świeżej" zabawy?
Zleciłem ofertę kupna 2 BTC po 16 PLN i oto pojawiła się ona w ofertach "sprzedaży" na stronie głównej.

[SHV]

Jestem zalogowany, klikam w link o adresie https://ssl.freshbtc.com/offers/pln i dostaję:

Kod: Zaznacz cały

500 Internal Server Error

Cherokee web server, Port 443

edit: już ładuje się

[batouzo]

Czyżbym był pierwszym śmiałkiem, który zdecydował się na rozpoczęcie "świeżej" zabawy?
Zleciłem ofertę kupna 2 BTC po 16 PLN i oto pojawiła się ona w ofertach "sprzedaży" na stronie głównej.

Genialne.
Kupię czy sprzedam co za różnica.

Muszę tam przenieść szybko wszystkie moje oszczędności.

[FreshBTC]

Witam

Bardzo dziękuje za te pytania i już śpieszę z odpowiedziami bo sądzę że właśnie te punkty są wyjątkowo korzystne dla użytkowników.

1. W jaki sposób na koncie użytkownika (teoretycznie) może powstać saldo ujemne?

Saldo ujemne może powstać tylko gdy  użytkownik nie ma środków na koncie i z tego konta jest mu pobrana prowizja.  Jeżeli wybiorę pobór prowizji z konta przechowującego moje BTC i nie mam tam ani jednego BTC to powstanie saldo ujemne. Oczywiście trzeba będzie je uzupełnić lub skontaktować się z nami w celu przeliczenia ujemnego salda z BTC na walutę.

2. W regulaminie brak jest punktu odnośnie odpowiedzialności FreshBTC - za zainstniałe awarie, lub utratę środków przez FreshBTC na skutek, włamania, utraty bazy danych lub innych tego typu przypadków. Dlaczego?

W przypadku utraty środków, co jest wyjątkowo mało prawdopodobne, odpowiada serwis FreshBTC (zarówno za BTC jak i tradycyjne pieniądze). W związku z tym że jest to DG odpowiada Karol Wilczyński całym swoim majątkiem. Dołożyliśmy wyjątkowych starań w celu zabezpieczenia się przed taką ewentualnością.

Zapis dotyczący podejrzenia przestępstwa dotyczy sytuacji kiedy to organy kontroli nakażą zawieszenie działania serwisu w związku np. z kontrolą skarbową. FreshBTC w żadnym wypadku nie opłaca się zawieszać funkcjonowania kont ponieważ wtedy nie zarabia. Jednakże w cytując porzekadło „Na Władzę nie poradzę” zabezpieczamy się przed takim nakazem.

W przypadku awarii serwisu, gdy nie będziemy mogli rozwiązać problemu w ciągu 48h automatycznie rozpoczniemy procedurę wypłaty środków w celu nie blokowania użytkowników i uchronienia przed stratami lub utratą środków.

Proszę pamiętać że od strony prawnej deponowanie środków odbywa się wedle przepisów kodeksu cywilnego o depozycie nieprawidłowym. W związku z tym przepisy ustawy chronią użytkownika na wypadek pogorszenia jego depozytu.

Czyli magicznie nagle wszystko na stronie przestaje działać?

Wygląda to na problem z połączeniami SSL. Serwer WWW dostawał czkawki i całość aplikacji frontendowej się zwieszała a serwer wysypywał (Cherokee), co niestety powoduje dla Państwa niedostępność usługi oraz złe wrażenie o całości systemu.

Google też nie mówi nic sensownego. Można prosić o wyjaśnienie co to jest to ADD ?

Api Driven Developement. Aplikacja wtedy składa się z serwera Api, oraz Interfejsów które łączą się bezpośrednio z Api.

Mam nadzieję że w pełni zgasiłem wątpliwości dot. Ochrony środków i odpowiedzialności

Zleciłem ofertę kupna 2 BTC po 16 PLN i oto pojawiła się ona w ofertach "sprzedaży" na stronie głównej.

Przepraszamy za drobne niedopatrzenie

Pozdrawiam
FreshBTC

[Havamal]

Witam

Bardzo dziękuje za te pytania i już śpieszę z odpowiedziami bo sądzę że właśnie te punkty są wyjątkowo korzystne dla użytkowników.

1. W jaki sposób na koncie użytkownika (teoretycznie) może powstać saldo ujemne?

Saldo ujemne może powstać tylko gdy  użytkownik nie ma środków na koncie i z tego konta jest mu pobrana prowizja.  Jeżeli wybiorę pobór prowizji z konta przechowującego moje BTC i nie mam tam ani jednego BTC to powstanie saldo ujemne. Oczywiście trzeba będzie je uzupełnić lub skontaktować się z nami w celu przeliczenia ujemnego salda z BTC na walutę.

2. W regulaminie brak jest punktu odnośnie odpowiedzialności FreshBTC - za zainstniałe awarie, lub utratę środków przez FreshBTC na skutek, włamania, utraty bazy danych lub innych tego typu przypadków. Dlaczego?

W przypadku utraty środków, co jest wyjątkowo mało prawdopodobne, odpowiada serwis FreshBTC (zarówno za BTC jak i tradycyjne pieniądze). W związku z tym że jest to DG odpowiada Karol Wilczyński całym swoim majątkiem. Dołożyliśmy wyjątkowych starań w celu zabezpieczenia się przed taką ewentualnością.

Zapis dotyczący podejrzenia przestępstwa dotyczy sytuacji kiedy to organy kontroli nakażą zawieszenie działania serwisu w związku np. z kontrolą skarbową. FreshBTC w żadnym wypadku nie opłaca się zawieszać funkcjonowania kont ponieważ wtedy nie zarabia. Jednakże w cytując porzekadło „Na Władzę nie poradzę” zabezpieczamy się przed takim nakazem.

W przypadku awarii serwisu, gdy nie będziemy mogli rozwiązać problemu w ciągu 48h automatycznie rozpoczniemy procedurę wypłaty środków w celu nie blokowania użytkowników i uchronienia przed stratami lub utratą środków.

Proszę pamiętać że od strony prawnej deponowanie środków odbywa się wedle przepisów kodeksu cywilnego o depozycie nieprawidłowym. W związku z tym przepisy ustawy chronią użytkownika na wypadek pogorszenia jego depozytu.

Dziękuję za sęsowną i kontkretną odpowiedź.
Mimo wszystko jeżeli FreshBTC a w przypadku DG Pan Karol Wilczyński odpowiada swoim majątkiem - i nic nie stało by na przeszkodzie (prawo krajowe) powinien taki punkt regulaminu znaleźć się na stronie. Wzbudzało by to wieksze zaufanie wśród użytkowników. Brak tego punktu bez oficjalnego oświadczenia jest w tzw. "domyśle" że serwis za to odpowiada, jednak w sytuacji tragicznej i bez w tej chwili regulacji prawnych w stosunku co do BTC - widziałbym poważby problem (żeby nie powiedzieć niemożliwość) na odzyskania sprawne i w krótkim terminie ewentualnych utraconych BTC.

"Proszę pamiętać że od strony prawnej deponowanie środków odbywa się wedle przepisów kodeksu cywilnego o depozycie nieprawidłowym" - pozwolę sobie później przeczytać ten paragraf (czy mógłby Pan podać nr art do którego odnosi się ten punkt? będzie mi łatwiej szukać) i wyrazić oponię na ten temat.


Jeżeli już mowa o urzędach, służbach etc. To powinien być zapis - na wniosek lub nakaz organu ,służby etc. To może Was uchronić w przyszłości jeżeli znajdzie się ktoś kto czyta regulaminy i może próbować pociągnąć Was do odpowiedzialności. Oczywiście sam regulamin nie może być również sprzeczny z prawem krajowym, jednak mimo wszystko może to uchronić przed nieprzyjemnościami w przyszłości.

Pozdrawiam

[SHV]

Tak raczej nie powinno być...

[FreshBTC]

Witam

Tak raczej nie powinno być...

Nadsyłam ps w odpowiedzi, miał Pan rację i jak Pan widzi już sytuacja jest uregulowana, a wiązała się z zmianą serwera WWW. W przypadku gdyby problem pozostawał, prosimy o odświeżenie cache przeglądarki.

i nic nie stało by na przeszkodzie (prawo krajowe) powinien taki punkt regulaminu znaleźć się na stronie

Oczywiście, ta wypowiedź jest wartościowa i będzie uwzględniona przy najbliższej zmianie regulaminu, która nastąpi już wkrótce.
Wszyscy zarejestrowani użytkownicy dostaną zmienianą treść regulaminu do akceptacji i nic nie stoi na przeszkodzie aby umieścić tam też proponowaną zmianę. Będzie miała ona co prawda dużo wspólnego z powtórzeniem tego co jest napisane w ustawie ale z przyjemnością umieszczę to i skieruje do odpowiednich przepisów prawa w celu zwiększenia zaufania do nas.

Pozdrawiam
FreshBTC

[batouzo]

Pieniądze wpłacone 8 confirmation's temu jeszcze nie są widziane w portfelu!

Mamy blok 140430
a nie doszło http://blockexplorer.com/address/1GfQ8n ... 6kuiRXQMjP

[zwierzak]

Pomoże to nam stworzyć lepszy system. Jednocześnie zachęcamy Państwa do przełączenia się na autoryzację kodami Token (OTP).

Powiem tak, motyw zrobiliście z tokenami! Trzeba było skorzystać albo z HOTP lub TOTP! Są to dużo aktualniejsze rozwiązania, które wykorzystuje również Google w celu 2 stopniowej weryfikacji do swoich usług. OTP jest przestarzałą metodą i przestają powstawać na nie aplikacje. Poza tym w jaki sposób przetrzymywane są te dane? I PIN i sekret powinny być przetrzymywane na fizycznie odrębnych maszynach, bo posiadając oba naraz jesteś w stanie bez problemu podszywać się pod daną osobę.

Jeżeli wybralibyście HOTP to jestem w trakcie prototypownia tokenów pod USB do automatycznego wpisywania haseł jednorazowych.

Inna sprawa to powinniście albo dodać osobny email dla haseł jednorazowych (istnieją bramki email->SMS) lub jabber (bardziej pasuje do tego, bo jest nastawiony na RealTime).

[FreshBTC]

Pieniądze wpłacone 8 confirmation's temu jeszcze nie są widziane w portfelu!

Mamy blok 140430
a nie doszło http://blockexplorer.com/address/1GfQ8n ... 6kuiRXQMjP

Pana klucz jest u nas zanotowany w bazie. Potwierdzenia przychodzą od różnych użytkowników i jeszcze nie otrzymaliśmy żadnego dlatego Pana wpłata nie jest zaksięgowana.
Proszę o cierpliwość wymaganą dla transakcji w sieci Bitcoin.

Ponadto proszę o informacje dotyczące księgowania wpłat na email: office@freshbtc.com

Proszę również zgłaszać inne problemy związane z kontem na nasz email, ponieważ gwarantujemy odpowiedzi, na pytania, które dotarły do nas tą drogą.

Pozdrawiam
FreshBTC

[qertoip]

Pierwsza dziura polega na tym, że hasła są przesyłane e-mailem.

Wszystko przesłane e-mailem należy traktować jako upublicznione (No chyba, że znana jest dokładna ścieżka wiadomości i na każdym etapie był użyty SSL, co w ogólnym przypadku nie jest prawdą).

Dodatkowo nie jest dobrze, gdy hasła latami zalegają w poczcie i jej backupach... właśnie dlatego robi się np. wygasanie wszelkich linków aktywacyjnych i resetujących hasło po 24h, żeby backup skrzynki nie dawał dostępu do konta w serwisie transakcyjnym.

Wiem, hasło można zmienić, jest też OTP, ale domyśla ścieżka, na której poprzestanie 90% użytkowników jest teraz dziurawa.

Dziwię się, że nikt jeszcze na to nie zwrócił uwagi.

[qertoip]

Pieniądze wpłacone 8 confirmation's temu jeszcze nie są widziane w portfelu!
Mamy blok 140430
a nie doszło http://blockexplorer.com/address/1GfQ8n ... 6kuiRXQMjP

Pana klucz jest u nas zanotowany w bazie. Potwierdzenia przychodzą od różnych użytkowników i jeszcze nie otrzymaliśmy żadnego dlatego Pana wpłata nie jest zaksięgowana.
Proszę o cierpliwość wymaganą dla dla transakcji w sieci Bitcoin.

Zaraz zaraz. 8 potwierdzeń to już wystarczająca cierpliwość. Nie widzę powodu, dla którego wpłata tego użytkownika miałaby być jeszcze nie zaksięgowana. Potwierdzenia propagują się w sieci bardzo szybko.

[zwierzak]

@qertoip: Ale podobno po stronie FreshBTC nie ma żadnego. Jak dla mnie wygląda na to, że sieci nie aktualizują i tyle. Do odbierania transakcji wystarczy tylko sieć, to do wysyłania pieniędzy niezbędny jest plik portfela. Dlatego na serwerze www może stać 1 zmodyfikowany serwer bitcoind, którego zadaniem jest potwierdzanie transakcji, jak to jest w wypadku blockexplorera (on po prostu ładnie prezentuje zawartość sieci). Dodatkowo, aby zwiększyć szybkość potwierdzania transakcji serwer powinien zostać przestawiony w tryb node. Wtedy ruch sieci odbywa się właśnie przez niego. Zwiększa to jednak ruch na serwerze.

Dlaczego nie ma odpowiedzi na moje pytania odnośnie OTP?

[FreshBTC]

Algorytm OTP wybraliśmy właśnie ze względu na jego powszechność oraz mimo wszystko popularność. System zaprojektowany jest w taki sposób, że implementacja każdego kolejnego systemu autoryzacji jest stosunkowo prosta.
Chcieliśmy dodatkowo aby algorytm nie wymagał połączenia z internetem (nawet w czasach kiedy jest on coraz popularniejszy na urządzeniach mobilnych), to dodatkowo zawęziło wybór algorytmu.
Token via XMPP a więc i poprzez transporty na inne protokoły "jest w drodze".

Jeżeli wybralibyście HOTP to jestem w trakcie prototypownia tokenów pod USB do automatycznego wpisywania haseł jednorazowych.

Prosimy w takim bądź razie o kontakt. Jak rozumiem chodzi o rozwiązanie konkurencyjne do Yubikey od Yubico?

Zaraz zaraz. 8 potwierdzeń to już wystarczająca cierpliwość. Nie widzę powodu, dla którego wpłata tego użytkownika miałaby być jeszcze nie zaksięgowana. Potwierdzenia propagują się w sieci bardzo szybko.

Niestety do nas nie dotarło żadne potwierdzenie.

http://freshbtc.com/static/images/network_schema.png
Zgodnie ze schematem, proszę zwrócić uwagę że serwer działa w trybem NODE