Polskie Forum Bitcoin

Z tego co widzę rejestracja i logowanie zniknęło. Duża porażka na start a pomyśleć że planowali wystartować w poniedziałek...

Duży plus za opublikowanie schematu infrastruktury i innych technicznych informacji. Przynajmniej widać, że system został dobrze przemyślany.

Plusik również za użycie gotowego szablonu (środki niech lepiej idą na solidny backend).

Na startowe problemy na razie przymykam oko, system złożony z tylu węzłów trudniej odpalić niż jakiś B*mat.

qertoip pisze: Na startowe problemy na razie przymykam oko, system złożony z tylu węzłów trudniej odpalić niż jakiś B*mat.

A Amazon EC2 to ma dopiero tyle węzłów że ho-ho

Liczy się też testowanie i podejście gdy chodzi o setki tysięcy złotych NASZYCH.

Nie działa nawet rejestracja. Widać czy praca idzie w solidne testowanie PRZED ODPALENIEM czy bardziej w bajery jak licznik count-down do startu.
Dla mnie trochę lipa, można było poczekać godzinę i samemu zobaczyć czy na produkcyjnym serwerze działają funkcje jak np. rejestracja...
Jak już to nie działa, to co będzie dalej? To nie jest demotywator gdzie może coś paść na produkcyjnym i nic. TU CHODZI O POWAŻNĄ KASĘ.

Znowu ktoś zapomni o szczególe, pieniądze userów znikną jak nie przez utratę walleta - to po prostu przez błąd logiczny np. w bilansach kont (jak w mtgox.com było) i potem będziemy czekali na następnego "inwestora" wybawcę.

batouzo pisze:

qertoip pisze: Na startowe problemy na razie przymykam oko, system złożony z tylu węzłów trudniej odpalić niż jakiś B*mat.

Liczy się też testowanie i podejście gdy chodzi o setki tysięcy złotych NASZYCH.

Masz całkowitą rację.

Domyślam się, że system był przetestowany i hulał bez zarzutów w środowisku testowym. Potem przeniesiono go do produkcyjnego (teoretycznie identycznego, więc teoretycznie nie wymagało to ponownych testów). Niestety w praktyce środowisko produkcyjne zawsze różni się od testowego i trzeba w nim niezależnie upewnić się, że wszystko działa, i tego zabrakło. Sam nieraz padłem ofarią w takim schemacie zwłaszcza przy złożonych architekturach, więc jestem tu dość wyrozumiały

Pośpiech największym wrogiem.
Powiedział ten, który wypuścił software o 3 dni za wcześnie, czyli ja

qertoip pisze:

batouzo pisze:

qertoip pisze: Na startowe problemy na razie przymykam oko, system złożony z tylu węzłów trudniej odpalić niż jakiś B*mat.

Liczy się też testowanie i podejście gdy chodzi o setki tysięcy złotych NASZYCH.

Masz całkowitą rację.

Domyślam się, że system był przetestowany i hulał bez zarzutów w środowisku testowym. Potem przeniesiono go do produkcyjnego (teoretycznie identycznego, więc teoretycznie nie wymagało to ponownych testów). Niestety w praktyce środowisko produkcyjne zawsze różni się od testowego i trzeba w nim niezależnie upewnić się, że wszystko działa, i tego zabrakło. Sam nieraz padłem ofarią w takim schemacie zwłaszcza przy złożonych architekturach, więc jestem tu dość wyrozumiały

jak to mówi Bartłomiej Szabat
OJ TAM OJ TAM
No tak, w sumie to mały bug. po prostu serwis wystartował bez możliwości logowania, rejestracji, a w sekcji kontakt jest XSS [!]

Po prostu żenada, co z tego, że zmienili środowisko? Jak wyobrażasz sobie kolejne updaty? Dobrze, że to start... Gdy obrót osiągnie pól miliona złotych też będziesz wyrozumiały? Spodziewałem się poważnego przedsięwzięcia tymczasem widzę strone bez możliwości logowania i rejestracji.

W dwóch słowach
NIE KORZYSTAM
NIE POLECAM

ramzes pisze: jak to mówi Bartłomiej Szabat
OJ TAM OJ TAM
No tak, w sumie to mały bug. po prostu serwis wystartował bez możliwości logowania, rejestracji, a w sekcji kontakt jest XSS [!]

Po prostu żenada, co z tego, że zmienili środowisko? Jak wyobrażasz sobie kolejne updaty? Dobrze, że to start... Gdy obrót osiągnie pól miliona złotych też będziesz wyrozumiały? Spodziewałem się poważnego przedsięwzięcia tymczasem widzę strone bez możliwości logowania i rejestracji.

W dwóch słowach
NIE KORZYSTAM
NIE POLECAM

Masz racje, dali plamę na całej linii, ale system jest nowy, jeszcze nie przetestowany przez ogół.
Daj im szanse

ramzes pisze:w sekcji kontakt jest XSS [!]

Możesz wrzucić screena albo exploita?

W 3 minuty nie udało mi się odtworzyć (no chyba że już poprawili).

qertoip pisze:

ramzes pisze:w sekcji kontakt jest XSS [!]

Możesz wrzucić screena albo exploita?

W 3 minuty nie udało mi się odtworzyć (no chyba że już poprawili).

mhm, szybka reakcja. Ale jak oczekiwać bezpieczeństwa moich bitcoinów od strony która miała błąd xss =/

Ze skryptem chyba też podobnie jak z szablonem, budżetowo...

ramzes pisze:

qertoip pisze:

ramzes pisze:w sekcji kontakt jest XSS [!]

Możesz wrzucić screena albo exploita?

W 3 minuty nie udało mi się odtworzyć (no chyba że już poprawili).

mhm, szybka reakcja. Ale jak oczekiwać bezpieczeństwa moich bitcoinów od strony która miała błąd xss =/

@FreshBTC: prosimy o oficjalne oświadczenie, czy faktycznie istniała podatność XSS w formularzu kontaktowym.

@digger: czy miałeś okazję potwierdzić tą podatność?

@ramzes: na przyszłość zawsze publikuj dowody, będę wdzięczny.

Witamy po przerwie,

Chciałbym zacząć od ustosunkowania się do powyższych komentarzy.

Całe środowisko było testowane wcześniej w ustawieniach produkcyjnych.
Nie twierdzimy i nigdy nie twierdziliśmy, że nasz system jest bezbłędny. Jednocześnie zapewniamy Państwa, że sprawą absolutnie najważniejszą jest bezpieczeństwo całego systemu. Od samego początku tworzenia FreshBTC priorytetem dla nas było utworzenie serwisu bezpiecznego (ze szczególnym naciskiem na algorytmy przechowywania i księgowania środków).
Między innymi dlatego właśnie, na serwerze w tych pierwszych dniach, włączony jest bardzo szczegółowy tryb debugowania. Powoduje to, że cały system działa wolniej, a to z kolei w połączeniu z nadspodziewanie dużym zainteresowaniem w pierwszych minutach z Państwa strony, spowodowało przeciążenie systemu.

W razie wykrycia jakichkolwiek nieprawidłowości prosimy o kontakt telefoniczny bądź mailowy. Gwarantuję, że będziemy reagować natychmiastowo.

Sprawę wiadomości mail które nie dotarły, sprawdzimy. W razie wystąpienia kolejnych problemów z dostarczaniem maili, prosimy o kontakt.
Pomoże to nam stworzyć lepszy system. Jednocześnie zachęcamy Państwa do przełączenia się na autoryzację kodami Token (OTP).

@qertoip: system z założenia filtruje dane przesyłane do naszego wewnętrznego API (następuje podwójna filtracja na etapie interfejsu i dodatkowo wejścia do API - informacje o tym rozwiązaniu można znaleźć na naszych stronach).
Prosiłbym o podesłanie zrzutów ekranów (najlepiej na adres office@codernity.com), pozwoli nam się to dokładniej ustosunkować do konkretnego problemu (w tym wypadku XSS).

qertoip pisze:

ramzes pisze:
@digger: czy miałeś okazję potwierdzić tą podatność?

Niestety nie sprawdzałem wcześniej, teraz jest ok.

W pole email można wpisać cokolwiek, skrypt nie sprawdza poprawności adresu.

FreshBTC pisze:@qertoip: system z założenia filtruje dane przesyłane do naszego wewnętrznego API (następuje podwójna filtracja na etapie interfejsu i dodatkowo wejścia do API - informacje o tym rozwiązaniu można znaleźć na naszych stronach).
Prosiłbym o podesłanie zrzutów ekranów (najlepiej na adres office@codernity.com), pozwoli nam się to dokładniej ustosunkować do konkretnego problemu (w tym wypadku XSS).

Ja osobiście żadnego XSS nie znalazłem.

Ramzes rzucił takie oskarżenie. Czy ktokolwiek oprócz Ramzesa to zaobserwował?

obecnej chwili nic nie mogę zaobserwować poza ogólnodostępnymi stronami, ponieważ rejestracja nie działa
jak na moje nie fachowe oko, xss'u w formularzy kontaktowym już nie ma( może w ogóle nie było ).

Pozdrawiam
r50zyry5

r50zyry5 pisze:jak na moje nie fachowe oko, xss'u w formularzy kontaktowym już nie ma( może w ogóle nie było ).

Ja też mam wrażenie, że żadnego XSS-a nie było, tylko Ramzesowi się coś p******o.

<html><head><title>504 Gateway Timeout</title></head>
<body><h1>504 Gateway Timeout</h1></body></html>

a w src.
<a href="/" title="Bolder Premium Wordpress Theme">Bolder Premium Wordpress Theme</a>

Chyba już wiemy co to za theme

Chciałem tylko zwrócić uwagę, że na Firefox'ie 5 na Linuksie, rejestracja i logowanie kompletnie nie działają.

Za to pod chromem pokazuje się tylko ekran logowania, ale zalogować się nie mogę.

Pod IE8 nawet boję się sprawdzać prawdę mówiąc.

Czy mamy rozumieć to ma być serwis o sprawności produkcyjnej gotowy żeby przyjmować pieniądze od ludzi bez ryzyka błędów powodujących znikanie środków z kont ?

-----
Aktualizacja 16:55
Strona nie działa już totalnie.

ShadowOfHarbringer pisze:Aktualizacja 16:55
Strona nie działa już totalnie.

I brak informacji kiedy w ogóle zacznie działać. Niepoważne podejście.

W serwisie nic nie działa, a serwer nie oznaczony jako beta tylko promowany jako sprawny.

Nawet szablon logowanie po angielsku a link do regulaminu nie działa ale masz zaznaczyć że go "I accept"ujesz ...
co to ma być, stronka złożona na Joomli?!

Ja już wolę handlować ręcznie niż znowu fundusze pakować... z takim fallstartem...
błędy zdarzają się każdemu oczywiście - ale od tego jest okres testów bez ruszania NICZEGO (docelowy serwer tylko htaccess limituje dostęp do betatesterów).

Skończy się jak z bitomatem.

Wygląda na to że są pewne problemy z serwerem frontendowym (całość napisana jest w modelu ADD).

Angielski interfejs? Owszem. System (panel) wykrywa domyślny język przeglądarki użytkownika i w takim właśnie języku go wyświetla.

"ale od tego jest okres testów bez ruszania NICZEGO (docelowy serwer tylko htaccess limituje dostęp do betatesterów)."

W naszej infrastrukturze nie ma Apache. A przed publicznym startem miejsce miał start "testowy", nomen omen na tym samym środowisku i dokładnie tych samych ustawieniach. I zapewniamy Państwa, że wszystko działało sprawnie (nie uruchomilibyśmy serwisu nie sprawnego).

Prosimy o chwilkę czasu na zweryfikowanie tego wszystkiego.

Pozdrawiam
FreshBTC