• Реклама: 💰 Пополни свой портфель с минимальной комиссией на Transfer24.pro
  • Добро пожаловать на инвестиционный форум!

    Во всем многообразии инвестиций трудно разобраться. MMGP станет вашим надежным помощником и путеводителем в мире инвестиций. Только самые последние тренды, передовые технологии и новые возможности. 400 тысяч пользователей уже выбрали нас. Самые актуальные новости, проверенные стратегии и способы заработка. Сюда люди приходят поделиться своим опытом, найти и обсудить новые перспективы. 16 миллионов сообщений, оставленных нашими пользователями, содержат их бесценный опыт и знания. Присоединяйтесь и вы!

    Впрочем, для начала надо зарегистрироваться!
  • 🐑 Моисей водил бесплатно. А мы платим, хотя тоже планируем работать 40 лет! Принимай участие в партнеской программе MMGP
  • 📝 Знаешь буквы и умеешь их компоновать? Платим. Дорого. Бессрочная акция от MMGP: "ОПЛАТА ЗА СООБЩЕНИЯ"

LR-Keeper в мобильном! - Страница 5

LR-Keeper в мобильном

  • Фигня, бесполезняк, неактуально

    Голосов: 3 16.7%
  • Достаточно сделать только функцию проверки баланса

    Голосов: 3 16.7%
  • Нужная вещь, но необходима полная функциональность (перевод средств, история)

    Голосов: 12 66.7%

  • Всего проголосовало
    18
  • Опрос закрыт .

Sain

Профессионал
Регистрация
23.07.2008
Сообщения
1,377
Реакции
7
Поинты
0.000

Hyip-Cruiser

ТОП-МАСТЕР
Регистрация
20.11.2007
Сообщения
76,223
Реакции
5,183
Поинты
0.010
Ответ: LR-Keeper в мобильном!

Получается, что телефон отправляет по незащищенному каналу api имя и пароль на Ваш сервер, где с них формируется запрос? Слава Богу, я не пользовался этой прогой!

а настройки API зачем? Выбери только баланс и иторию....прога отличная, Fialka -респект...:thumbsup:
 

Senator2

ТОП-МАСТЕР
Регистрация
25.09.2007
Сообщения
7,027
Реакции
489
Поинты
0.000
Ответ: LR-Keeper в мобильном!

Вот-вот...
Liberty в этом плане (в плане защищенности автоматического интерфейса) - на голову выше других платежных систем...
Настраивай API под себя как угодно...
И что толку что кто-то узнает Ваши API name и пароль к нему - разве что смогут баланс Ваш смотреть да историю...
 

Kryptonite

Специалист
Регистрация
24.08.2007
Сообщения
2,650
Реакции
0
Поинты
0.000
Ответ: LR-Keeper в мобильном!

Я просто в шоке... Вместо того, чтобы сказать спасибо человеку за то, что он потратил свое время, чтобы нам всем было легче, люди просто гадят в душу разработчику порой даже не понимая всей сути программы.
Имейте (в переносном значении) совесть, если нечего посоветовать и нечего сказать приятного, промолчите и пропустите тему.
Fialka, спасибо за Ваш труд и время. Ждем новых возможностей программы.
 

Senator2

ТОП-МАСТЕР
Регистрация
25.09.2007
Сообщения
7,027
Реакции
489
Поинты
0.000
Ответ: LR-Keeper в мобильном!

Fialka
Вам хочу сказать одно - не обращайте внимания на таких "высказывателей".
Стараешься, пишешь программу, разбираешься со всеми тонкостями и ньюансами, тратишь свое личное время - и тут на тебе - вместо Спасибо...
Ну вот почему народ у нас такой ???
Ну не хочешь пользоваться, не доверяешь никому - не качай, не устанавливай и не пользуйся...
Тут скорее всего срабатывает другой принцип - "раз программа бесплатная - значит чего-то в ней не то, и она ворует все что может уворовать" :rolleyes:
 

Sapiens

Только по вопросам рекламы на форуме mmgp.com
Команда форума
Администратор
Регистрация
16.09.2008
Сообщения
6,588
Реакции
7,400
Поинты
56,428.803
Ответ: LR-Keeper в мобильном!

Получается, что телефон отправляет по незащищенному каналу api имя и пароль на Ваш сервер, где с них формируется запрос? Слава Богу, я не пользовался этой прогой!

На мой взгляд нечего волноваться. Творения Fialk'и и Senator2 очень удобны. Как правильно заметил Senator2 потеря пароля от API, в настройках которого разрешено только проверка баланса и истории никак мне не навредит (если на то пошло, почти всю мою историю платежей можно выудить из публичных форумов :biggrin2: )

Кроме того, существует золотое правило: если боитесь потерять информацию, к которой имеют доступ ЛЮБЫЕ программы, просто ими не пользуйтесь (это касается, в частности, и киперов паролей, и браузеров)! Думаю, что перспектива утерять пароли к либерти при частой проверке баланса / истории через браузер гораздо опаснее, чем "засветить" пароль от API с ограниченной функциональностью.

Вот-вот...
Liberty в этом плане (в плане защищенности автоматического интерфейса) - на голову выше других платежных систем...
Настраивай API под себя как угодно...
И что толку что кто-то узнает Ваши API name и пароль к нему - разве что смогут баланс Ваш смотреть да историю...

Fialka, Senator2 - еще раз хочу поблагодарить Вас за труды!
 

Sain

Профессионал
Регистрация
23.07.2008
Сообщения
1,377
Реакции
7
Поинты
0.000
Ответ: LR-Keeper в мобильном!

Проблема не в доверии к автору, а в возможности отснифить данные посторонними пользователями. Будь то сотрудник оператора сотовой связи или просто владелец хостинга. Ни в коем случае не хотел обидеть автора, но мне кажется не стоит так передавать данные, так как ограничения в апи либерти не всегда работают. Замечал это не один раз при тестировании апи.

добавлено через 4 минуты
К примеру, на момент написания поста ограничение на сумму транзакции в либерти апи не работает. Все желающие могут проверить прямо сейчас:wink2:

добавлено через 7 минут
Senator2: ворует не обязательно программа, а любой кто имеет доступ к хостингу или жпрс снифер
 
Последнее редактирование:

Sapiens

Только по вопросам рекламы на форуме mmgp.com
Команда форума
Администратор
Регистрация
16.09.2008
Сообщения
6,588
Реакции
7,400
Поинты
56,428.803
Ответ: LR-Keeper в мобильном!

Проблема не в доверии к автору, а в возможности отснифить данные посторонними пользователями. Будь то сотрудник оператора сотовой связи или просто владелец хостинга. Ни в коем случае не хотел обидеть автора, но мне кажется не стоит так передавать данные, так как ограничения в апи либерти не всегда работают. Замечал это не один раз при тестировании апи.

А вот это интересно! Вы хотите сказать, что были случаи когда API интерфейс, настроенный только на проверку баланса и чтение истории, позволял делать переводы?!

К примеру, на момент написания поста ограничение на сумму транзакции в либерти апи не работает. Все желающие могут проверить прямо сейчас:wink2:

Senator2: ворует не обязательно программа, а любой кто имеет доступ к хостингу или жпрс снифер

С точки зрения защиты информации, Вы совершенно правы - недопустимо использовать программы (сервисы), написанные третьими лицами (не имеющими перед Вами никаких обязательств), которые получают доступ к конфиденциальной информации. Это правило действует и в отношении почтовиков, браузеров, киперов, операционных систем, провайдеров и т.д.

НО, если Вы не боитесь потерять эту информацию, то к чему волнения? Или Вы не используете бесплатные браузеры, ломанные операционки, бесплатные почтовики, которые по сути своей работают как "As is" и никаких гарантий не дают? Или Вы не отписываетесь на форумах о вкладах / выплатах с различных проектов?
 

Sain

Профессионал
Регистрация
23.07.2008
Сообщения
1,377
Реакции
7
Поинты
0.000
Ответ: LR-Keeper в мобильном!

А вот это интересно! Вы хотите сказать, что были случаи когда API интерфейс, настроенный только на проверку баланса и чтение истории, позволял делать переводы?!

Именно, может подтвердить разработчик ProfiKeeper'a. Если я не ошибаюсь, даже у него на форуме про это писали.

С точки зрения защиты информации, Вы совершенно правы - недопустимо использовать программы (сервисы), написанные третьими лицами (не имеющими перед Вами никаких обязательств), которые получают доступ к конфиденциальной информации. Это правило действует и в отношении почтовиков, браузеров, киперов, операционных систем, провайдеров и т.д.

НО, если Вы не боитесь потерять эту информацию, то к чему волнения? Или Вы не используете бесплатные браузеры, ломанные операционки, бесплатные почтовики, которые по сути своей работают как "As is" и никаких гарантий не дают? Или Вы не отписываетесь на форумах о вкладах / выплатах с различных проектов?

В том то и дело, что не использую:i-yes: Виста лицензионная и практично весь остальной софт тоже. Просто когда возникает вопрос, что дороже лицензионный софт или ущерб от креков, некоторые решают, что дороже второе.

Кроме того, в связи с моей деятельностью (разработка политик безопасности, защита данных для предприятий и т.д.) все же стараюсь ограничить возможность потери конфиденциальной информации.
Конечно, это личное дело каждого, что использовать. Но не хочется проснутся и увидеть что несколько кил у.е. у тебя украл владелец "левого" хостинга. :wink2:
 

Senator2

ТОП-МАСТЕР
Регистрация
25.09.2007
Сообщения
7,027
Реакции
489
Поинты
0.000
Ответ: LR-Keeper в мобильном!

добавлено через 4 минуты
К примеру, на момент написания поста ограничение на сумму транзакции в либерти апи не работает. Все желающие могут проверить прямо сейчас:wink2:
Это интересно - надо будет попробовать...
Если честно - такое ограничение - на сумму перевода ни разу не пробовал ставить...
Я вообще имел ввиду опции "Балланс, История, Перевод, API-Name" ну и IP-адрес в придачу...
Когда писал программу - эти опции я проверял...
Другие ограничения - лично мне оказались ненужными - так что и не пробовал их...
 

Sapiens

Только по вопросам рекламы на форуме mmgp.com
Команда форума
Администратор
Регистрация
16.09.2008
Сообщения
6,588
Реакции
7,400
Поинты
56,428.803
Ответ: LR-Keeper в мобильном!

А вот это интересно! Вы хотите сказать, что были случаи когда API интерфейс, настроенный только на проверку баланса и чтение истории, позволял делать переводы?!

Именно, может подтвердить разработчик ProfiKeeper'a. Если я не ошибаюсь, даже у него на форуме про это писали

Занятно... Кто еще может поделиться информацией по этому поводу (вероятность перевода через API если фунция перевода запрещена)?
 

Спанч Боб

МАСТЕР
Регистрация
30.08.2007
Сообщения
1,974
Реакции
237
Поинты
0.000
Ответ: LR-Keeper в мобильном!

Проблема не в доверии к автору, а в возможности отснифить данные посторонними пользователями. Будь то сотрудник оператора сотовой связи или просто владелец хостинга
Тут я полностью согласен. Но как правильно было сказано...
Liberty в этом плане (в плане защищенности автоматического интерфейса) - на голову выше других платежных систем...
Поставьте ограничение по IP и "будет вам счастье" - пусть воруют пароли наздоровье!
Кстати IP опять сменилось на 209.172.44.134
P.S. По поводу сбоев в ограничении API - пишите в саппорт ЛР.

И вообще... Я тут работаю щас над новым проектом (сайтом), где нужно будет указывать (хранить) свои пароли. Вещь будет удобная, но при таком параноидальном настрое, походу, никто моим сервисом пользоваться не будет... :m-sad: А сразу выделенный сервер с ССЛ я не потяну. ...Два месяца работы насмарку
 

Sapiens

Только по вопросам рекламы на форуме mmgp.com
Команда форума
Администратор
Регистрация
16.09.2008
Сообщения
6,588
Реакции
7,400
Поинты
56,428.803
Ответ: LR-Keeper в мобильном!

Поставьте ограничение по IP и "будет вам счастье" - пусть воруют пароли наздоровье!

Если вдруг "засветится" пароль от API, то IP фильтр не поможет - ничто не помешает гипотетическому злоумышленнику получать доступ к информации с помощью Вашей же программы (через тот же IP).

Опять же, если вдруг кого-то будут профессионально пасти (например, с помощью уже озвученных gprs-сниферов), то ИМХО, информацию уведут в любом случае... :)

... Вещь будет удобная, но при таком параноидальном настрое, походу, никто моим сервисом пользоваться не будет... Два месяца работы насмарку

Немного паранойи в финансовых вопросах никогда не помешает :)

А что касается "работы насмарку" - это Вы зря - наработки и опыт еще никому не мешали ;)

добавлено через 7 минут
По-поводу безопастности. А нельзя ли устроить регистрацию на Вашем сайте для пользователей мобильного LR-кипера? В акаунте пользователя можно было сделать привязку к imei телефона, например. Т.е. при получении запроса на проверку баланса / истории система будет проверять imei телефона, с которого послан запрос, и только в случае совпадения с заданным в акаунте, ретранслировать запрос либерти. Такое возможно или сложно будет реализовать?
 
Последнее редактирование:

Спанч Боб

МАСТЕР
Регистрация
30.08.2007
Сообщения
1,974
Реакции
237
Поинты
0.000
Ответ: LR-Keeper в мобильном!

ничто не помешает гипотетическому злоумышленнику получать доступ к информации с помощью Вашей же программы (через тот же IP).
ТОЧНО! :eek: Я бы до такого не додумался!
Про регистрацию я уже думал, но...
А ВДРУГ ХОСТЕР СВОРУЕТ И ПРОДАСТ БАЗУ С ПАРОЛЯМИ? :wink2:
...Удобно, они там все в одном месте будут!
Видимо, короче нужно лекарство от страха.
 

Sapiens

Только по вопросам рекламы на форуме mmgp.com
Команда форума
Администратор
Регистрация
16.09.2008
Сообщения
6,588
Реакции
7,400
Поинты
56,428.803
Ответ: LR-Keeper в мобильном!

А ВДРУГ ХОСТЕР СВОРУЕТ И ПРОДАСТ БАЗУ С ПАРОЛЯМИ? :wink2:
...Удобно, они там все в одном месте будут!
Видимо, короче нужно лекарство от страха.

Просто прикиньте самый безопасный вариант.

Например, такой:

на сервере в базе сохраняются следующие данные (группа 1):

1) логин к учетной записи (отличается от API name)
2) пароль к учетной записи (отличается от API password)
3) imei телефона

с клиентской программы передается (т.е. эта информация на сервере не сохраняется - группа 2):

1) номер счета в либерти
2) логин к либерти (API name)
3) пароль к либерти (API password)

4) imei телефона (из группы 1)
5) логин к учетной записи (из группы 1)

Что мы получим в этом случае? Если злоумышленник ломает Ваш сайт, то он получает только информацию из первой группы (по сути, бесполезную). А если какой-то продвинутый товарищ выудит информацию второй группы с помощью gprs-снифера, то он не сможет ее использовать из-за несовпадения imei (в случае, если в настройках API действительно задать IP фильтр по адресу Вашего сайта).

Скептики могут заметить, что мол нечестный хостер (или "кул хацкер" :biggrin2: ) может получить данные из обеих групп, НО данные из второй группы можно получить только в момент подачи запроса (т.е. злоумышленник должен мониторить работу Вашей системы, а не просто спереть базу) - от этого варианта защиты пока не вижу, но он менее вероятен (ИМХО).

Если все написанное выше бред - поправьте меня :biggrin2:
 
Последнее редактирование:

greatest22

Новичок
Регистрация
23.12.2008
Сообщения
1
Реакции
0
Поинты
0.000
Ответ: LR-Keeper в мобильном!

вещь неплохая но каждому она нужна.Но раз начал работать то доделай до конца!

добавлено через 1 минуту
вещь неплохая но не каждому она нужна.Но раз начал работать то доделай до конца!
 
Последнее редактирование:

Sapiens

Только по вопросам рекламы на форуме mmgp.com
Команда форума
Администратор
Регистрация
16.09.2008
Сообщения
6,588
Реакции
7,400
Поинты
56,428.803
Ответ: LR-Keeper в мобильном!

вещь неплохая но не каждому она нужна.Но раз начал работать то доделай до конца!

Что Вы понимаете под "доделай до конца"? Программа работоспособна: хотите пользуйтесь, хотите нет. Нет предела совершенству - она будет дорабатываться не "до конца", а до тех пор пока разработчику не надоест (ИМХО)...
 
Последнее редактирование:

Sain

Профессионал
Регистрация
23.07.2008
Сообщения
1,377
Реакции
7
Поинты
0.000
Ответ: LR-Keeper в мобильном!

Лично я без проблем могу зайти на сайт либерти через любой ИП. Подмену Ip в http заголовке ни кто не отменял. Самое главное - не светить имя апи и пароль. Как реализовать - вариантов много: начиная от шифрации передаваемой инфы, заканчивая передачей по защищенному каналу.
 

Спанч Боб

МАСТЕР
Регистрация
30.08.2007
Сообщения
1,974
Реакции
237
Поинты
0.000
Ответ: LR-Keeper в мобильном!

Подмену Ip в http заголовке ни кто не отменял.
Ой-ой ой какие у нас тут хакеры появились... Ну-ка нука давайте-ка нам тут всем расскажите, как имея физический IP1 заставить отображать IP2, например на сайте http://2ip.ru?
Очень хочу почитать!

добавлено через 13 минут
Коменты Sapiens'у: Сайт (скрипт) автоматом не может определить IMEI телефона (а я например вообще не знаю как его в яве узнать), значит его тоже надо передавать при (в) запросе... т.е. получается что это типа доп. пароля (который есть в базе). Касяк!
Выход только один - регистрация на сайте (логин1 и пароль1), ввод имени интерфейса (логин2) и пароль к интерфейсу (пароль2).
Храним в базе: логин1, хеш от пароль1, логин2 и пароль2, зашифрованный при помощи пароль1 (шифрация обратимая).
В сеансе связи передается только логин1 и пароль1.
....Обсуждаем :wink2:
 
Последнее редактирование:

Sapiens

Только по вопросам рекламы на форуме mmgp.com
Команда форума
Администратор
Регистрация
16.09.2008
Сообщения
6,588
Реакции
7,400
Поинты
56,428.803
Ответ: LR-Keeper в мобильном!

Выход только один - регистрация на сайте (логин1 и пароль1), ввод имени интерфейса (логин2) и пароль к интерфейсу (пароль2).
Храним в базе: логин1, хеш от пароль1, логин2 и пароль2, зашифрованный при помощи пароль1 (шифрация обратимая).
В сеансе связи передается только логин1 и пароль1

А насколько надежен будет алгоритм шифрования логин2 и пароль2? Если ломанут базу, не сможет ли злоумышленник расшифровать их имея только хеш от пароль1?

Жаль, что с imei не получается :( Было бы неплохо - аппаратная привязка. А как насчет номера телефона с симкарты мобильника? Сможете программно получить? Можно его использовать в качестве "аппаратного пароля" - не весь номер, а последние 5 цифр, например (чтобы если ломанут базу, всякие дебилы не звонили :) )
 
Последнее редактирование:
Сверху Снизу