Ошибки, баги, вопросы - страница 1515

[[Удален]]

Renat Fatkhullin:

Политика не менялась.

Пароли шифруются хардверно зависимо и файлы с паролями можно перемещать внутри компьютера. При переносе на другой компьютер/оборудование они не расшифруются.

Выше привел пример, когда хозяин чужого компа получает доступ к торговому счету:

Если вставлю флешку со своим терминалом в чужой комп, а после логина нехороший человек сопрет несколько файлов из папки. То у него будет доступ к торговому счету.

Интересно, что если чужой комп использовать совсем, как железо - загрузить и ОС со своей флешки. То хозяин компа все равно будет иметь доступ к торговому счету, если доберется до файлов терминала.

[Slava]

zaskok3:

Выше привел пример, когда хозяин чужого компа получает доступ к торговому счету:

Интересно, что если чужой комп использовать совсем, как железо - загрузить и ОС со своей флешки. То хозяин компа все равно будет иметь доступ к торговому счету, если доберется до файлов терминала.

Давайте по порядку.

1. Вы вставляете флешку в чужой комп. Запускаете терминал с флагом /portable

2. Вы закончили работу с терминалом, вынули флешку из чужого компа и сунули её в свой карман.

3. Каким образом некто может скрасть Ваш пароль?

[Anton Garbar]

Подскажите, а где в metatrader 4 посмотреть маржу отдельно по каждому открытому ордеру, а не в сумме ? Спасибо

[[Удален]]

Slawa:

Давайте по порядку.

1. Вы вставляете флешку в чужой комп. Запускаете терминал с флагом /portable

2. Вы закончили работу с терминалом, вынули флешку из чужого компа и сунули её в свой карман.

3. Каким образом некто может скрасть Ваш пароль?

Есть несколько вариантов:

1. Пока вставлена флешка, с нее фоново копируются данные.
2. Если злоумышленник знает, что с флешки логинились на его компе, но скопировать не успел. То у него есть возможность/предлог предложить переписать мне, например, какие-нибудь данные (например, семейный фотографии) на любом другом компе. При этом достаточно незаметно запустить bat-ник, и перекинуть один/два файла к себе не флешку, в которых уже прописано железо компа злоумышленника.
3. Не знаю, возможна ли эмуляция железа своего компа. Вы делаете запросы о железе через какие-то системные функции. Если их перехватывать и подсовывать вам данные моего компа, то терминал будет уверен, что запускается там же, где и всегда.
   

[22rus]

Неужели мне ни кто не поможет с индикатором "XPoints" ??? Умельцы! Вы где? (((( Помогите прикрутить алерт!

[Slava]

zaskok3:

Есть несколько вариантов:

1. Пока вставлена флешка, с нее фоново копируются данные.
2. Если злоумышленник знает, что с флешки логинились на его компе, но скопировать не успел. То у него есть возможность/предлог предложить переписать мне, например, какие-нибудь данные (например, семейный фотографии) на любом другом компе. При этом достаточно незаметно запустить bat-ник, и перекинуть один/два файла к себе не флешку, в которых уже прописано железо компа злоумышленника.
3. Не знаю, возможна ли эмуляция железа своего компа. Вы делаете запросы о железе через какие-то системные функции. Если их перехватывать и подсовывать вам данные моего компа, то терминал будет уверен, что запускается там же, где и всегда.
   

Давайте доказательства Ваших утверждений.

Я в свою очередь могу предложить Вам натурный эксперимент.

1. Сформируйте флешку, запустите с неё клиентский терминал, убедитесь, что всё работает.

2. Воткните эту флешку в другой компьютер, запустите клиентский терминал и убедитесь, что всё работает.

3. Скопируйте все данные с этой флешки на другую флешку.

4. Запустите с новой флешки терминал и убедитесь, что будет запрошен пароль (которого злоумышленник не знает)

5. И не надо фантазий

[[Удален]]

Slawa:

Давайте доказательства Ваших утверждений.

Я в свою очередь могу предложить Вам натурный эксперимент.

1. Сформируйте флешку, запустите с неё клиентский терминал, убедитесь, что всё работает.

2. Воткните эту флешку в другой компьютер, запустите клиентский терминал и убедитесь, что всё работает.

3. Скопируйте все данные с этой флешки на другую флешку.

4. Запустите с новой флешки терминал и убедитесь, что будет запрошен пароль (которого злоумышленник не знает)

Пароль не запрошен, полноценное подключение к торговому счету! Пошагово:

1. Скопированы на флешку только terminal.exe и папка config. Больше НИЧЕГО.
2. На другом компе запускается terminal.exe /portable. Идет запрос пароля - ввожу, соединяюсь.
3. Закрываю терминал и копирую, как в п. 1, на временный диск.
4. Изначальную флешку вынимаю из USB.
5. Вставляю другую флешку.
6. С временного диска переписываю все на флешку.
7. Запускаю на ней terminal.exe /portable.
8. Происходит соединение с торговым счетом.

Изначальная (не виртуальная) машина - Windows7 SP1 x64. Чужая (не виртуальная) машина - Windows XP SP3 x32.

5. И не надо фантазий

К сожалению, никто из разработчиков не увидел дыру безопасности даже тогда, когда был описан полностью метод. Воспроизвел - почему-то не поленился. У вас ДЫРА!

ЗЫ

zaskok3:

Выше привел пример, когда хозяин чужого компа получает доступ к торговому счету:

Интересно, что если чужой комп использовать совсем, как железо - загрузить и ОС со своей флешки. То хозяин компа все равно будет иметь доступ к торговому счету, если доберется до файлов терминала.

Это воспроизводить лень.

[Renat Fatkhullin]

zaskok3:

Выше привел пример, когда хозяин чужого компа получает доступ к торговому счету:

Интересно, что если чужой комп использовать совсем, как железо - загрузить и ОС со своей флешки. То хозяин компа все равно будет иметь доступ к торговому счету, если доберется до файлов терминала.

Не хозяин получает, а вы самостоятельно передаете ему все свое хозяйство.

При переносе с флешкой на другом компьютере у вас обязательно спросят пароли заново и вы можете не ставить галочку "сохранить пароли с привязкой к текущему компьютеру". В результате не будут сохранены пароли и никто их не украдет.

И не делайте вид, что пункта "да, я сам сохранил пароль, выбрав галочку сохранения" нет:

На другом компе запускается terminal.exe /portable. Идет запрос пароля - ввожу, соединяюсь.

[[Удален]]

Renat Fatkhullin:

Не хозяин получает, а вы самостоятельно передаете ему все свое хозяйство.

Хватит прикидываться, что ничего не понимаете: фоново можно утащить с флешки. Есть еще масса способов. Главное - утащить. Даже не обязательно это делать на самом чужом компе.

При переносе с флешкой на другом компьютере у вас обязательно спросят пароли заново и вы можете не ставить галочку "сохранить пароли с привязкой к текущему компьютеру". В результате не будут сохранены пароли и никто их не украдет.

И не делайте вид, что пункта "да, я сам сохранил пароль, выбрав галочку сохранения" нет:

Эта галочка стоит по-умолчанию...

У меня не было сомнения, что особенно вы публично не признаете наличие дыры. Как и нет сомнения, что вы будете работать над ее устранением...

Остается поинтересоваться у сообщества, что они думают по этому поводу. Но поскольку никто все равно не выскажется, можно тему закрывать.

Знакомых ребят предупредил на всякий случай, чтобы со своими мобильными терминалами (флешка) были поаккуратней. Т.к. абсолютно все до этого знали на практике, что перенос папки обнуляет данные для входа.

[TheXpert]

Renat Fatkhullin:

Политика не менялась.

Хз менялась политика или не менялась но у меня раньше слетали пароли при переносе на другой диск. Это был баг?