"MQL5 kodunun güvenliğini sağlama: Parola Koruması, Anahtar Oluşturucular, Zaman Sınırları, Uzaktan Lisanslar ve Gelişmiş EA Lisans Anahtarı Şifreleme Teknikleri" makalesi için tartışma - sayfa 2
Alım-satım fırsatlarını kaçırıyorsunuz:
- Ücretsiz alım-satım uygulamaları
- İşlem kopyalama için 8.000'den fazla sinyal
- Finansal piyasaları keşfetmek için ekonomik haberler
Kayıt
Giriş yap
Gizlilik ve Veri Koruma Politikasını ve MQL5.com Kullanım Şartlarını kabul edersiniz
Hesabınız yoksa, lütfen kaydolun
Bence şu anda tek seçenek bu.
Bir tüccarın becerisini kanıtlamanın başka yolu yoktur. Sadece ticaretinizi izlemek. Ve bu sitede olması harika. Onyx ve benzerlerine gerek yok....
Sadece şu anda bu konu hakkında çok fazla bilgi yok. Örneğin, bu hizmete ne tür hesaplar bağlanabilir? Daha doğrusu, demo hesapları da bağlamak mümkün olacak mı? Yoksa sadece gerçek olanlar mı? Tabii ki, gerçek olanlar daha güvenilir olacaktır. Hem demo hem de gerçek hesaplar, uzun süre istikrarlı bir sonuç olacaksa (örneğin, yarım yıldan itibaren) daha güvenilirdir. Daha birçok soru olabilir ...
Not: Genel olarak, konu başka bir şeyle ilgili, bu yüzden gidiyorum. :)
Bu arada, yakında tüm kullanıcılar için büyük bir derecelendirme sistemi yayınlayacağız. Bu çok ilginç bir yenilik olacak - "bana 80. seviyeden bir tüccar verin!".
Kınadığım için üzgünüm ancak makalede sunulan şey güvenlik değil, belirsizliktir. Kopyalama koruması son derece zor bir sorundur, bu nedenle müzik/film endüstrisinin DRM ile ilgili çabaları ve tekrarlanan başarısızlıkları söz konusudur.
En iyi ihtimalle, buradaki bilgiler bazı insanların zamanını boşa harcayacaktır; en kötü ihtimalle de okuyucuya yanlış bir güvenlik hissi vermiş olabilirsiniz. Daha sonra tavsiyenizi kullanarak bir ürünü "korumaya" karar verirlerse, tüketicileri birkaç saat içinde korumayı çıkardığında ve fiyatın çok altında bir fiyata yeniden sattığında biraz şaşırabilirler.
Base64 kodlamasının şifrelemeyle bir ilgisi yoktur. Base64 kodlaması, 8 bitlik verilerin, veri kodlamasını 7 bit olarak kabul eden protokoller kullanılarak güvenli bir şekilde iletilmesini sağlamak için tasarlanmıştır. base64 kodlamasını tersine çevirebilirsiniz - ve bu amaç için tasarlanmıştır!
MQL5 yazılımını güvenli bir şekilde dağıtmak için görebildiğim tek çözüm, ya aracının sınırlı vekaletname hükümleri aracılığıyla ya da bir sunucuya .ex5 dosyalarıyla birlikte bir MQL5 örneği yüklemek ve müşterinin ince bir istemci kullanarak erişmesine izin vermektir (böylece .ex5'i indiremezler). Ve evet, 15 yıldan fazla bir süredir bilgi güvenliği alanında çalışıyorum, bu yüzden neden bahsettiğim hakkında adil bir fikrim var.
Dürüst olmak gerekirse, Metaquotes'un makaleyi yayınlamasına oldukça şaşırdım.
Makale, sorunla nasıl başa çıkılacağına dair bazı ipuçları veriyor. Gerçekte sorun mt5 istemcisi tarafından çözülmelidir. İstemci yazılımı içinde şifreleme kullanan birçok platform vardır, bu nedenle sorunu kodlayıcı değil yazılım çözer.
Makale, sorunla nasıl başa çıkılacağına dair bazı ipuçları veriyor. Gerçekte sorun mt5 istemcisi tarafından çözülmelidir. İstemci yazılımı içinde şifreleme kullanan birçok platform vardır, bu nedenle sorunu kodlayıcı değil yazılım çözer.
MetaQuotes istemci yazılımının bu işlevi yerine getirmesi bile zor bir sorundur: yazılımın bir şifre çözme anahtarı içermesi veya indirmesi gerekecektir, bu da söz konusu anahtarı tehlikeye atmanın mümkün olduğu anlamına gelir. Kurcalamaya dayanıklı bir donanım cihazı kullanılıyorsa, .ex5 kurcalamaya dayanıklı donanım * üzerinde * çalıştırılmadıkça, yürütülmesi için bir noktada şifresinin çözülmesi gerektiğinden hala savunmasızdır. Bu tür saldırıları uygulayamasam da, bunu çok fazla sorun yaşamadan yapabilen oldukça fazla sayıda insan tanıyorum.
Son kullanıcının çalıştırabileceği .ex5'e erişiminin olduğu tehdit modelinde *güvenli* bir çözüm yoktur.
Bu, şirketlerin/kurumların ince istemci modellerini kullandıkları genel sorun sınıfıdır - başka bir deyişle içerik koruması -: bu şekilde hassas içerik indirilemez, ancak yalnızca şirketin/kurumun sunucularında kullanılabilir.
Tüm EX5 programlarının güçlü anahtarlarla şifrelendiğini bilmelisiniz. Bu ilk nokta.
Ve ikincisi - Pazarı unutmayın - MetaTrader 5 için Uzman Danışmanlar Paz arı. Market'teki tüm ürünler alıcı için ek anahtarla şifrelenir. Bu, yasal kullanıcı dışında hiç kimsenin böyle bir EX5 programını başlatamayacağı anlamına gelir.
Tüm EX5 programlarının güçlü anahtarlarla şifrelendiğini bilmelisiniz. Bu ilk nokta.
Ve ikincisi - Pazarı unutmayın - MetaTrader 5 için Uzman Danışmanlar Paz arı. Market'teki tüm ürünler alıcı için ek anahtarla şifrelenir. Bu, yasal kullanıcı dışında hiç kimsenin böyle bir EX5 programını başlatamayacağı anlamına gelir.
Ön kapınızı güçlendirilmiş çelikle de değiştirebilirsiniz, ancak anahtarı paspasın üzerinde bırakırsanız girişi önlemek için hiçbir şey yapmaz. Tanımladığınız koruma, sıradan kodlayıcıyı caydırmak için iyidir, ancak kesinlikle motive olmuş bir saldırgana karşı değildir.
Buradaki soru şifreleme değil - bu işin kolay kısmı - daha ziyade anahtarları ve şifre çözme sürecini nasıl ele aldığınızdır.
Bir saldırganın, klasik tabirle ona Mallory diyeceğiz, anahtarına sahip olduğu bir EX5'i kopyalamak ve dağıtmak istediği senaryoda, kesinlikle şunları yapabilir:
i. EX5'i anahtarla çalıştırarak;
ii. süreci çalışırken izlemek, örneğin sürece bir DLL eklemek ve şifresi çözüldükten hemen sonra EX5'in içeriğini dökmek;
iii. artık düz metin olan EX5'i yeniden birleştirin (ve zahmete girebilirseniz potansiyel olarak kaynağa ayırın).
İlk nokta korumanız imza doğrulamayı içeriyorsa, saldırganın dosyaları dağıtmak için yapması gereken tek şey, ilgili ortak anahtarların değiştirildiği farklı bir MQL yürütülebilir dosyasını dağıtmaktır. MQL5 sertifikayı doğrulamak için kriptografik bir API kullanıyorsa, bu ikili dosyadan çıkarılabilir. Bu sonsuza kadar devam eder.
Bunların hepsi, anahtar yönetiminiz olacak kabusu düşünmeye başlamadan önce.
Bu tür bir ikili analiz bugünlerde benim yeteneklerimin dışında olsa da, bunu sorunsuz bir şekilde başarabilecek birkaç kişi tanıyorum. Bu nedenle, endişelenmeniz gereken şifrelemenin gücü değil, geçersiz bir güvenlik modeline sahip olmanızdır. Kimse MetaTrader'ın bu sorunu çözmesini beklemediğinden, bu kendi başına belirli bir sorun değildir - bu soruna çok kullanışlı başka çözümler de vardır, özellikle MQL5 / EX5 kodunun sahibinin onu kontrol ettikleri ayrı bir sunucuda çalıştırmasını ve alıcılara erişim / sinyalleri lisanslamasını sağlamak.
Bu nedenle, en azından kurcalamaya dayanıklı donanım olmadan düzgün bir şekilde uygulanması bu kadar zorken, insanların neden bu tesise ihtiyaç duyduklarını anlayamıyorum.
"Donanım özellikleriyle ilgili bir değişken de ekleyebilirsiniz (HDD seri numarası veya CPUID bilgisi). Bu durumda, Uzman Danışmanı çalıştırmak için donanım bağlama kullanan ek bir oluşturucunun çalıştırılması gerekecektir.
Sonuç, oluşturucu için bir giriş parametresi olarak kullanılabilir ve oluşturulan şifre yalnızca belirli bir donanım için doğru olacaktır. Bu, bilgisayar yapılandırmasını değiştiren veya Uzman Danışmanı çalıştırmak için bir VPS kullananları sınırlar, ancak bu, iki veya üç geçerli parola verilerek çözülebilir. Bu yöntem Market hizmetinde kullanılır."
Donanıma bağlanma hakkında daha fazla bilgiyi nereden öğrenebilirim veya kaynak kodun bir örneğini nerede bulabilirim? Ve "Bu yöntem "Market" hizmetinde kullanılır." ne anlama geliyor? Yani, "Market" hizmetinde satış için derlenmiş bir Uzman Danışman dosyası gönderirsem, otomatik olarak donanıma bağlamayı içerir mi? Yoksa kaynak kodunu vermem gerekiyor ve Metaquotes çalışanları ek olarak orada donanıma bağlamayı içeriyor mu?
Donanıma bağlamayı MQL4'te uygulamak mümkün mü? (Çoğu aracı kurum merkezi hala MT4 üzerinde çalışıyor).
Donanıma bağlama hakkında daha fazla bilgiyi veya kaynak kodun bir örneğini nerede bulabilirim? Ve "Bu yöntem " Market" hizmetinde kullanılır." ne anlama geliyor? Yani, "Market" hizmetinde satış için bir Uzman Danışmanın derlenmiş bir dosyasını gönderirsem, donanıma bağlama otomatik olarak buna dahil edilir mi? Yoksa kaynak kodunu vermek zorunda mıyım ve Metaquotes çalışanları ek olarak donanıma bağlamayı oraya dahil ediyor mu?
Donanım bağlama MQL4'te uygulanabilir mi? (Çoğu aracı kurum merkezi hala MT4 üzerinde çalışmaktadır).