wizzard

Кхм. Нашлась более печальная повесть.

Ай нид хелп.

Что делать с зависшей входящей биткойн-транзакцией, к которой не удается приделать Child-Pays-For-Parent транзакцию, потому что у входящей комиссии не хватает не только на попадание в блок, а и на то, чтобы вообще попасть в мемпул обратно, и CPFP получается orphaned?

Т.е. понятно что остается шанс подождать, пока 1) упадут комиссии, 2) нода, с которой броадкастнут этот веер, реброадкастнет всё еще раз, но он какой-то очень призрачный.

Похоже, нашли способ с помощью active attacker ломать (перенаправлять) транзакции ДО того как они будут проверены майнерами и попадут в block chain.

https://www.mtgox.com/press_release_20140210.html

Напоминает историю с Android'ом, где code signing проверял одно, а лоадер загружал другое (обычно они проверяли одно и то же, но можно было сконструировать кейс, где алгоритмы в итоге шли к разным данным)

Далее транзакция уводится на левый кошелек, атакующий (или жертва) идет в саппорт Гокса и начинает возмущаться "гдебабло?", саппорт идет на blockchain, и видит, что бабла-то и нет! после чего начинает чесать репу.

В принципе, неудивительно, что можно наебать участника P2P сети, сконструировав для него filter bubble и проэмулировав остальную сеть, но за то, что это довели до практической реализации in the wild - очень большой респект.

UPDATE: другое мнение

Просто у мтгокса кривой софт, позволяющий обманывать биржу и тупые саппорты, не понимающие как работает биткоин. Эта «уязвимость» была опубликована на биткоин вики ещё год назад и про неё все знают.

Скорее всего они хотят стырить всё бабло под соусом «плохой биткоин дырявый мы не виноваты». Вот и всё.

Вкратце суть уязвимости. Я запросил вывод с мтгокса. Они сделали транзакцию. Я каким то образом успех перехватить транзакцию и послать главным майнерам подделку. Она подписана сигнатурой мтгокса, но хеш у неё другой (потому что в сигнатуру не входят некоторые поля). Майнеры её включают в цепочку, мтгокс по хешу проверяет и не находит. Я мтгоксу пишу мол денег не получал. Тупой саппорт делает ещё одну транзакцию.

Во-первых что им мешает взять адрес отправителя, адрес получателя и посмотреть, сколько денег было отправлено? Ничего не мешает, адреса генерятся без проблем сколько надо, тупой саппорт на блокчейне хоть сейчас может проверять транзакции.

Во-вторых как вообще можно влезть между ими и майнерами я не представляю, если учитывать, что все крупные биткоин-игроки держат прямой коннект друг между другом.

UPDATE2: чтиво по теме

https://bitcointalk.org/index.php?topic=458129.msg5052671#msg5052671 блин, это не то, это по вопросу "как это на btce случилась сделка по $102"

http://www.cryptocoinsnews.com/2014/02/10/mt-gox-blames-bitcoin-core-developer-greg-maxwell-responds/

Он, бесспорно, очень няшный и Открытое Свободное ПО, но пока этот ебаный стыд не научится нормально синхронизировать файлы - пользоваться им невозможно, и все его Дополнительные Плюшки тупо бесполезны.

Последней каплей стало то, что на одной машине слетело время в будущее и теперь он похоже навсегда считает серверную версию побеждающей (потому что она была инфицирована файлами которые изменены в будущем)

А жаль. Но придется снести.

Может кто знает еще self-hosted альтернативы? У меня есть своё, но оно пока глючит примерно так же :3

такая классная штука! делаешь KeePass'у "Sync to URL" в туда, и все файлы с OwnCloud удаляются. ну кроме собственно БД KeePass'a. охуенно.

напомнило

<Шелезяка[work]> подскажите плиз как проверить существует ли таблица в базе mysql
<Есть> if (mysql_query('DROP TABLE таблица')) echo "таблица существовала";

(баш #56753)

Как быстро создать себе важное длинное кропотливое дело?
Например, зацепиться пальцем за сокет LGA1150 (см. фото)

Там 1150 тонюсеньких контактов сложной формы (такой плоский подпружиненный зигзаг), которые от одного *прикосновения* пальцем замечательно сминаются в кашу >_<

Ну и далее берем пинцет, скальпель, яркую лампу, линзу и несколько часов задрачиваем этот сад камней до приведения обратно в состояние как на фото...

Что самое удивительное, хотя контакты все еще выглядят адово исковерканно, комп в итоге включился и вроде даже работает, и бенчмарки нормально жужжат %)

Но в целом пиздец-пиздец, не повторяйте это дома (да и вообще где угодно).

используйте feature detection, они говорят.
используйте стандартные фреймворки и не изобретайте велосипедов, они говорят.
используйте unobtrusive enhancement, они говорят.

А знаете, почему на Windows Phone и виндопланшетах куча сайтов не скроллит нормально всякие элементы типа textarea и списков с overflow:scroll?

потому что Modernizr не считает его touch-capable девайсом! и на них тупо не вешаются хендлеры, не применяются стили, итд итп.

ладно бы еще 7.0 не считать, там был IE7 и соответствующий рак с евентами, но 7.5 (IE9) уже сто лет в обед и всё там работает (fastclick, position:fixed итд итп)!

не говоря уже о WP 7.8, 8.0 и Win8/RT/8.1, где IE10/11 регулярно скроллит отзывчивее того же мобильного хрома на тяжелых страницах.

feature detection my ass. век живи век учись.

Помните, когда Skype форвардил сообщения рандомным контактам?

Ну вот, Google Talk тоже - http://www.ibtimes.com/gchat-privacy-error-google-inc-goog-hangouts-sent-private-messages-wrong-people-1411440

"In reality, Apple's sensor has just a higher resolution compared to the sensors so far. So we only needed to ramp up the resolution of our fake", said the hacker with the nickname Starbug, who performed the critical experiments that led to the successful circumvention of the fingerprint locking. "As we have said now for more than years, fingerprints should not be used to secure anything. You leave them everywhere, and it is far too easy to make fake fingers out of lifted prints."

The iPhone TouchID defeat has been documented in a short video:



The method follows the steps outlined in this how-to with materials that can be found in almost every household: First, the fingerprint of the enroled user is photographed with 2400 dpi resolution. The resulting image is then cleaned up, inverted and laser printed with 1200 dpi onto transparent sheet with a thick toner setting. Finally, pink latex milk or white woodglue is smeared into the pattern created by the toner onto the transparent sheet. After it cures, the thin latex sheet is lifted from the sheet, breathed on to make it a tiny bit moist and then placed onto the sensor to unlock the phone. This process has been used with minor refinements and variations against the vast majority of fingerprint sensors on the market.


"We hope that this finally puts to rest the illusions people have about fingerprint biometrics. It is plain stupid to use something that you can´t change and that you leave everywhere every day as a security token", said Frank Rieger, spokesperson of the CCC. "The public should no longer be fooled by the biometrics industry with false security claims. Biometrics is fundamentally a technology designed for oppression and control, not for securing everyday device access." Fingerprint biometrics in passports has been introduced in many countries despite the fact that by this global roll-out no security gain can be shown.

iPhone users should avoid protecting sensitive data with their precious biometric fingerprint not only because it can be easily faked, as demonstrated by the CCC team. Also, you can easily be forced to unlock your phone against your will when being arrested. Forcing you to give up your (hopefully long) passcode is much harder under most jurisdictions than just casually swiping your phone over your handcuffed hands.

Source: http://www.ccc.de/en/updates/2013/ccc-breaks-apple-touchid

Время от времени пишут разные аналитики, дескать, киллер апп не хватает, девайсов не хватает, а вот как будут так сразу все взлетит. Щазз.

Как можно рассчитывать на то, что технологией будут пользоваться, если она тупо не работает?

Вот у меня нфц умеет ноутбук, два мобильника, роутер и даже тегов уже несколько есть.

Передать файл через эту хуйню мне так и не удалось. Ни разу. Девайсы при прикладывании друг к другу делают "тырдык!" и молчат. Еще иконка, бывает появляется. Или нотификейшен. Все.

А, да. К ноутбуку, чтобы сработало, надо прикладывать СНИЗУ. Один из мобильников надо прикладывать ЭКРАНОМ. Как при этом предполагается взаимодействовать с мобильником - мне крайне любопытно. Держа на весу ноутбук другой рукой.

Кто-то явно решил претворить мечту о сексе в гамаке на лыжах в реальность.

Ну и вот. Купил я роутер, собственно. Он вроде как поддерживает супер-дупер-изи-сетап "прикоснитесь моблом к роутеру и наступит щастье". Хуй. Прикладывал к нему всё. Все тырдыкает и говорит "йоба тут есть что-то нфцшное". На этом счастье почему-то заканчивается.

Тэги вот тоже можно прикладывать. Тоже всё говорит "тырдык!" и молчит как рыба. Никакого UI, никакого хелпа, ничего.

Чувствую себя идиотом. Как этим пользоваться?

UPD: подумал и вставил ссылку на википедию, а то ругаюсь непонятно на что :)

Google confirms critical Android crypto flaw used in $5,700 Bitcoin heist

Java Crypto weakness could affect security in hundreds of thousands of apps.

http://arstechnica.com/security/2013/08/google-confirms-critical-android-crypto-flaw-used-in-5700-bitcoin-heist/

1. Еще одно подтверждение тому, что генератор случайных чисел - критически важная штука
2. Используешь самописное? С высокой вероятностью всё плохо. Используешь стандартное? Доверяй, но проверяй.

К счастью, в случае с энтропией "доверять, но проверять" просто - берем энтропию из системного генератора, подмешиваем туда какой-нибудь своей, хуже не станет. Гм... Подмешивать, конечно, тоже надо правильно. Ну да ладно ;)

Я, правда не смотрел, еще может быть что в JCE нельзя подмешать свою энтропию при генерации ключей - тогда ужасно, конечно. У остальных вроде можно)