-
Добро пожаловать на инвестиционный форум!
Во всем многообразии инвестиций трудно разобраться. MMGP станет вашим надежным помощником и путеводителем в мире инвестиций. Только самые последние тренды, передовые технологии и новые возможности. 400 тысяч пользователей уже выбрали нас. Самые актуальные новости, проверенные стратегии и способы заработка. Сюда люди приходят поделиться своим опытом, найти и обсудить новые перспективы. 16 миллионов сообщений, оставленных нашими пользователями, содержат их бесценный опыт и знания. Присоединяйтесь и вы!
Впрочем, для начала надо зарегистрироваться! -
🐑 Моисей водил бесплатно. А мы платим, хотя тоже планируем работать 40 лет! Принимай участие в партнеской программе MMGP
-
📝 Знаешь буквы и умеешь их компоновать? Платим. Дорого. Бессрочная акция от MMGP: "ОПЛАТА ЗА СООБЩЕНИЯ"
LR-Keeper в мобильном! - Страница 5
- Автор темы Спанч Боб
- Дата начала
Hyip-Cruiser
ТОП-МАСТЕР
Ответ: LR-Keeper в мобильном!
а настройки API зачем? Выбери только баланс и иторию....прога отличная, Fialka -респект...
а настройки API зачем? Выбери только баланс и иторию....прога отличная, Fialka -респект...
Ответ: LR-Keeper в мобильном!
Вот-вот...
Liberty в этом плане (в плане защищенности автоматического интерфейса) - на голову выше других платежных систем...
Настраивай API под себя как угодно...
И что толку что кто-то узнает Ваши API name и пароль к нему - разве что смогут баланс Ваш смотреть да историю...
Вот-вот...
Liberty в этом плане (в плане защищенности автоматического интерфейса) - на голову выше других платежных систем...
Настраивай API под себя как угодно...
И что толку что кто-то узнает Ваши API name и пароль к нему - разве что смогут баланс Ваш смотреть да историю...
Kryptonite
Специалист
Ответ: LR-Keeper в мобильном!
Я просто в шоке... Вместо того, чтобы сказать спасибо человеку за то, что он потратил свое время, чтобы нам всем было легче, люди просто гадят в душу разработчику порой даже не понимая всей сути программы.
Имейте (в переносном значении) совесть, если нечего посоветовать и нечего сказать приятного, промолчите и пропустите тему.
Fialka, спасибо за Ваш труд и время. Ждем новых возможностей программы.
Я просто в шоке... Вместо того, чтобы сказать спасибо человеку за то, что он потратил свое время, чтобы нам всем было легче, люди просто гадят в душу разработчику порой даже не понимая всей сути программы.
Имейте (в переносном значении) совесть, если нечего посоветовать и нечего сказать приятного, промолчите и пропустите тему.
Fialka, спасибо за Ваш труд и время. Ждем новых возможностей программы.
Ответ: LR-Keeper в мобильном!
Fialka
Вам хочу сказать одно - не обращайте внимания на таких "высказывателей".
Стараешься, пишешь программу, разбираешься со всеми тонкостями и ньюансами, тратишь свое личное время - и тут на тебе - вместо Спасибо...
Ну вот почему народ у нас такой ???
Ну не хочешь пользоваться, не доверяешь никому - не качай, не устанавливай и не пользуйся...
Тут скорее всего срабатывает другой принцип - "раз программа бесплатная - значит чего-то в ней не то, и она ворует все что может уворовать"
Fialka
Вам хочу сказать одно - не обращайте внимания на таких "высказывателей".
Стараешься, пишешь программу, разбираешься со всеми тонкостями и ньюансами, тратишь свое личное время - и тут на тебе - вместо Спасибо...
Ну вот почему народ у нас такой ???
Ну не хочешь пользоваться, не доверяешь никому - не качай, не устанавливай и не пользуйся...
Тут скорее всего срабатывает другой принцип - "раз программа бесплатная - значит чего-то в ней не то, и она ворует все что может уворовать"
Ответ: LR-Keeper в мобильном!
На мой взгляд нечего волноваться. Творения Fialk'и и Senator2 очень удобны. Как правильно заметил Senator2 потеря пароля от API, в настройках которого разрешено только проверка баланса и истории никак мне не навредит (если на то пошло, почти всю мою историю платежей можно выудить из публичных форумов
)
Кроме того, существует золотое правило: если боитесь потерять информацию, к которой имеют доступ ЛЮБЫЕ программы, просто ими не пользуйтесь (это касается, в частности, и киперов паролей, и браузеров)! Думаю, что перспектива утерять пароли к либерти при частой проверке баланса / истории через браузер гораздо опаснее, чем "засветить" пароль от API с ограниченной функциональностью.
Fialka, Senator2 - еще раз хочу поблагодарить Вас за труды!
На мой взгляд нечего волноваться. Творения Fialk'и и Senator2 очень удобны. Как правильно заметил Senator2 потеря пароля от API, в настройках которого разрешено только проверка баланса и истории никак мне не навредит (если на то пошло, почти всю мою историю платежей можно выудить из публичных форумов
)Кроме того, существует золотое правило: если боитесь потерять информацию, к которой имеют доступ ЛЮБЫЕ программы, просто ими не пользуйтесь (это касается, в частности, и киперов паролей, и браузеров)! Думаю, что перспектива утерять пароли к либерти при частой проверке баланса / истории через браузер гораздо опаснее, чем "засветить" пароль от API с ограниченной функциональностью.
Fialka, Senator2 - еще раз хочу поблагодарить Вас за труды!
Ответ: LR-Keeper в мобильном!
Проблема не в доверии к автору, а в возможности отснифить данные посторонними пользователями. Будь то сотрудник оператора сотовой связи или просто владелец хостинга. Ни в коем случае не хотел обидеть автора, но мне кажется не стоит так передавать данные, так как ограничения в апи либерти не всегда работают. Замечал это не один раз при тестировании апи.
добавлено через 4 минуты
К примеру, на момент написания поста ограничение на сумму транзакции в либерти апи не работает. Все желающие могут проверить прямо сейчас
добавлено через 7 минут
Senator2: ворует не обязательно программа, а любой кто имеет доступ к хостингу или жпрс снифер
Проблема не в доверии к автору, а в возможности отснифить данные посторонними пользователями. Будь то сотрудник оператора сотовой связи или просто владелец хостинга. Ни в коем случае не хотел обидеть автора, но мне кажется не стоит так передавать данные, так как ограничения в апи либерти не всегда работают. Замечал это не один раз при тестировании апи.
добавлено через 4 минуты
К примеру, на момент написания поста ограничение на сумму транзакции в либерти апи не работает. Все желающие могут проверить прямо сейчас
добавлено через 7 минут
Senator2: ворует не обязательно программа, а любой кто имеет доступ к хостингу или жпрс снифер
Последнее редактирование:
Ответ: LR-Keeper в мобильном!
А вот это интересно! Вы хотите сказать, что были случаи когда API интерфейс, настроенный только на проверку баланса и чтение истории, позволял делать переводы?!
С точки зрения защиты информации, Вы совершенно правы - недопустимо использовать программы (сервисы), написанные третьими лицами (не имеющими перед Вами никаких обязательств), которые получают доступ к конфиденциальной информации. Это правило действует и в отношении почтовиков, браузеров, киперов, операционных систем, провайдеров и т.д.
НО, если Вы не боитесь потерять эту информацию, то к чему волнения? Или Вы не используете бесплатные браузеры, ломанные операционки, бесплатные почтовики, которые по сути своей работают как "As is" и никаких гарантий не дают? Или Вы не отписываетесь на форумах о вкладах / выплатах с различных проектов?
А вот это интересно! Вы хотите сказать, что были случаи когда API интерфейс, настроенный только на проверку баланса и чтение истории, позволял делать переводы?!
К примеру, на момент написания поста ограничение на сумму транзакции в либерти апи не работает. Все желающие могут проверить прямо сейчас
Senator2: ворует не обязательно программа, а любой кто имеет доступ к хостингу или жпрс снифер
С точки зрения защиты информации, Вы совершенно правы - недопустимо использовать программы (сервисы), написанные третьими лицами (не имеющими перед Вами никаких обязательств), которые получают доступ к конфиденциальной информации. Это правило действует и в отношении почтовиков, браузеров, киперов, операционных систем, провайдеров и т.д.
НО, если Вы не боитесь потерять эту информацию, то к чему волнения? Или Вы не используете бесплатные браузеры, ломанные операционки, бесплатные почтовики, которые по сути своей работают как "As is" и никаких гарантий не дают? Или Вы не отписываетесь на форумах о вкладах / выплатах с различных проектов?
Ответ: LR-Keeper в мобильном!
Именно, может подтвердить разработчик ProfiKeeper'a. Если я не ошибаюсь, даже у него на форуме про это писали.
В том то и дело, что не использую
Виста лицензионная и практично весь остальной софт тоже. Просто когда возникает вопрос, что дороже лицензионный софт или ущерб от креков, некоторые решают, что дороже второе.
Кроме того, в связи с моей деятельностью (разработка политик безопасности, защита данных для предприятий и т.д.) все же стараюсь ограничить возможность потери конфиденциальной информации.
Конечно, это личное дело каждого, что использовать. Но не хочется проснутся и увидеть что несколько кил у.е. у тебя украл владелец "левого" хостинга.
Именно, может подтвердить разработчик ProfiKeeper'a. Если я не ошибаюсь, даже у него на форуме про это писали.
В том то и дело, что не использую
Виста лицензионная и практично весь остальной софт тоже. Просто когда возникает вопрос, что дороже лицензионный софт или ущерб от креков, некоторые решают, что дороже второе.Кроме того, в связи с моей деятельностью (разработка политик безопасности, защита данных для предприятий и т.д.) все же стараюсь ограничить возможность потери конфиденциальной информации.
Конечно, это личное дело каждого, что использовать. Но не хочется проснутся и увидеть что несколько кил у.е. у тебя украл владелец "левого" хостинга.
Ответ: LR-Keeper в мобильном!
Если честно - такое ограничение - на сумму перевода ни разу не пробовал ставить...
Я вообще имел ввиду опции "Балланс, История, Перевод, API-Name" ну и IP-адрес в придачу...
Когда писал программу - эти опции я проверял...
Другие ограничения - лично мне оказались ненужными - так что и не пробовал их...
Это интересно - надо будет попробовать...добавлено через 4 минуты
К примеру, на момент написания поста ограничение на сумму транзакции в либерти апи не работает. Все желающие могут проверить прямо сейчас
Если честно - такое ограничение - на сумму перевода ни разу не пробовал ставить...
Я вообще имел ввиду опции "Балланс, История, Перевод, API-Name" ну и IP-адрес в придачу...
Когда писал программу - эти опции я проверял...
Другие ограничения - лично мне оказались ненужными - так что и не пробовал их...
Ответ: LR-Keeper в мобильном!
Занятно... Кто еще может поделиться информацией по этому поводу (вероятность перевода через API если фунция перевода запрещена)?
Занятно... Кто еще может поделиться информацией по этому поводу (вероятность перевода через API если фунция перевода запрещена)?
Ответ: LR-Keeper в мобильном!
Кстати IP опять сменилось на 209.172.44.134
P.S. По поводу сбоев в ограничении API - пишите в саппорт ЛР.
И вообще... Я тут работаю щас над новым проектом (сайтом), где нужно будет указывать (хранить) свои пароли. Вещь будет удобная, но при таком параноидальном настрое, походу, никто моим сервисом пользоваться не будет...
А сразу выделенный сервер с ССЛ я не потяну. ...Два месяца работы насмарку
Тут я полностью согласен. Но как правильно было сказано...
Поставьте ограничение по IP и "будет вам счастье" - пусть воруют пароли наздоровье!
Кстати IP опять сменилось на 209.172.44.134
P.S. По поводу сбоев в ограничении API - пишите в саппорт ЛР.
И вообще... Я тут работаю щас над новым проектом (сайтом), где нужно будет указывать (хранить) свои пароли. Вещь будет удобная, но при таком параноидальном настрое, походу, никто моим сервисом пользоваться не будет...
А сразу выделенный сервер с ССЛ я не потяну. ...Два месяца работы насмарку
Ответ: LR-Keeper в мобильном!
Если вдруг "засветится" пароль от API, то IP фильтр не поможет - ничто не помешает гипотетическому злоумышленнику получать доступ к информации с помощью Вашей же программы (через тот же IP).
Опять же, если вдруг кого-то будут профессионально пасти (например, с помощью уже озвученных gprs-сниферов), то ИМХО, информацию уведут в любом случае...
Немного паранойи в финансовых вопросах никогда не помешает
А что касается "работы насмарку" - это Вы зря - наработки и опыт еще никому не мешали
добавлено через 7 минут
По-поводу безопастности. А нельзя ли устроить регистрацию на Вашем сайте для пользователей мобильного LR-кипера? В акаунте пользователя можно было сделать привязку к imei телефона, например. Т.е. при получении запроса на проверку баланса / истории система будет проверять imei телефона, с которого послан запрос, и только в случае совпадения с заданным в акаунте, ретранслировать запрос либерти. Такое возможно или сложно будет реализовать?
Если вдруг "засветится" пароль от API, то IP фильтр не поможет - ничто не помешает гипотетическому злоумышленнику получать доступ к информации с помощью Вашей же программы (через тот же IP).
Опять же, если вдруг кого-то будут профессионально пасти (например, с помощью уже озвученных gprs-сниферов), то ИМХО, информацию уведут в любом случае...
Немного паранойи в финансовых вопросах никогда не помешает
А что касается "работы насмарку" - это Вы зря - наработки и опыт еще никому не мешали
добавлено через 7 минут
По-поводу безопастности. А нельзя ли устроить регистрацию на Вашем сайте для пользователей мобильного LR-кипера? В акаунте пользователя можно было сделать привязку к imei телефона, например. Т.е. при получении запроса на проверку баланса / истории система будет проверять imei телефона, с которого послан запрос, и только в случае совпадения с заданным в акаунте, ретранслировать запрос либерти. Такое возможно или сложно будет реализовать?
Последнее редактирование:
Ответ: LR-Keeper в мобильном!
Я бы до такого не додумался!
Про регистрацию я уже думал, но...
А ВДРУГ ХОСТЕР СВОРУЕТ И ПРОДАСТ БАЗУ С ПАРОЛЯМИ?
...Удобно, они там все в одном месте будут!
Видимо, короче нужно лекарство от страха.
ТОЧНО!
Я бы до такого не додумался!Про регистрацию я уже думал, но...
А ВДРУГ ХОСТЕР СВОРУЕТ И ПРОДАСТ БАЗУ С ПАРОЛЯМИ?
...Удобно, они там все в одном месте будут!
Видимо, короче нужно лекарство от страха.
Ответ: LR-Keeper в мобильном!
Просто прикиньте самый безопасный вариант.
Например, такой:
на сервере в базе сохраняются следующие данные (группа 1):
1) логин к учетной записи (отличается от API name)
2) пароль к учетной записи (отличается от API password)
3) imei телефона
с клиентской программы передается (т.е. эта информация на сервере не сохраняется - группа 2):
1) номер счета в либерти
2) логин к либерти (API name)
3) пароль к либерти (API password)
4) imei телефона (из группы 1)
5) логин к учетной записи (из группы 1)
Что мы получим в этом случае? Если злоумышленник ломает Ваш сайт, то он получает только информацию из первой группы (по сути, бесполезную). А если какой-то продвинутый товарищ выудит информацию второй группы с помощью gprs-снифера, то он не сможет ее использовать из-за несовпадения imei (в случае, если в настройках API действительно задать IP фильтр по адресу Вашего сайта).
Скептики могут заметить, что мол нечестный хостер (или "кул хацкер" ) может получить данные из обеих групп, НО данные из второй группы можно получить только в момент подачи запроса (т.е. злоумышленник должен мониторить работу Вашей системы, а не просто спереть базу) - от этого варианта защиты пока не вижу, но он менее вероятен (ИМХО).
Если все написанное выше бред - поправьте меня
А ВДРУГ ХОСТЕР СВОРУЕТ И ПРОДАСТ БАЗУ С ПАРОЛЯМИ?
...Удобно, они там все в одном месте будут!
Видимо, короче нужно лекарство от страха.
Просто прикиньте самый безопасный вариант.
Например, такой:
на сервере в базе сохраняются следующие данные (группа 1):
1) логин к учетной записи (отличается от API name)
2) пароль к учетной записи (отличается от API password)
3) imei телефона
с клиентской программы передается (т.е. эта информация на сервере не сохраняется - группа 2):
1) номер счета в либерти
2) логин к либерти (API name)
3) пароль к либерти (API password)
4) imei телефона (из группы 1)
5) логин к учетной записи (из группы 1)
Что мы получим в этом случае? Если злоумышленник ломает Ваш сайт, то он получает только информацию из первой группы (по сути, бесполезную). А если какой-то продвинутый товарищ выудит информацию второй группы с помощью gprs-снифера, то он не сможет ее использовать из-за несовпадения imei (в случае, если в настройках API действительно задать IP фильтр по адресу Вашего сайта).
Скептики могут заметить, что мол нечестный хостер (или "кул хацкер"
) может получить данные из обеих групп, НО данные из второй группы можно получить только в момент подачи запроса (т.е. злоумышленник должен мониторить работу Вашей системы, а не просто спереть базу) - от этого варианта защиты пока не вижу, но он менее вероятен (ИМХО).Если все написанное выше бред - поправьте меня
Последнее редактирование:
greatest22
Новичок
Ответ: LR-Keeper в мобильном!
вещь неплохая но каждому она нужна.Но раз начал работать то доделай до конца!
добавлено через 1 минуту
вещь неплохая но не каждому она нужна.Но раз начал работать то доделай до конца!
вещь неплохая но каждому она нужна.Но раз начал работать то доделай до конца!
добавлено через 1 минуту
вещь неплохая но не каждому она нужна.Но раз начал работать то доделай до конца!
Последнее редактирование:
Ответ: LR-Keeper в мобильном!
Что Вы понимаете под "доделай до конца"? Программа работоспособна: хотите пользуйтесь, хотите нет. Нет предела совершенству - она будет дорабатываться не "до конца", а до тех пор пока разработчику не надоест (ИМХО)...
Что Вы понимаете под "доделай до конца"? Программа работоспособна: хотите пользуйтесь, хотите нет. Нет предела совершенству - она будет дорабатываться не "до конца", а до тех пор пока разработчику не надоест (ИМХО)...
Последнее редактирование:
Ответ: LR-Keeper в мобильном!
Лично я без проблем могу зайти на сайт либерти через любой ИП. Подмену Ip в http заголовке ни кто не отменял. Самое главное - не светить имя апи и пароль. Как реализовать - вариантов много: начиная от шифрации передаваемой инфы, заканчивая передачей по защищенному каналу.
Лично я без проблем могу зайти на сайт либерти через любой ИП. Подмену Ip в http заголовке ни кто не отменял. Самое главное - не светить имя апи и пароль. Как реализовать - вариантов много: начиная от шифрации передаваемой инфы, заканчивая передачей по защищенному каналу.
Ответ: LR-Keeper в мобильном!
Очень хочу почитать!
добавлено через 13 минут
Коменты Sapiens'у: Сайт (скрипт) автоматом не может определить IMEI телефона (а я например вообще не знаю как его в яве узнать), значит его тоже надо передавать при (в) запросе... т.е. получается что это типа доп. пароля (который есть в базе). Касяк!
Выход только один - регистрация на сайте (логин1 и пароль1), ввод имени интерфейса (логин2) и пароль к интерфейсу (пароль2).
Храним в базе: логин1, хеш от пароль1, логин2 и пароль2, зашифрованный при помощи пароль1 (шифрация обратимая).
В сеансе связи передается только логин1 и пароль1.
....Обсуждаем
Ой-ой ой какие у нас тут хакеры появились... Ну-ка нука давайте-ка нам тут всем расскажите, как имея физический IP1 заставить отображать IP2, например на сайте http://2ip.ru?
Очень хочу почитать!
добавлено через 13 минут
Коменты Sapiens'у: Сайт (скрипт) автоматом не может определить IMEI телефона (а я например вообще не знаю как его в яве узнать), значит его тоже надо передавать при (в) запросе... т.е. получается что это типа доп. пароля (который есть в базе). Касяк!
Выход только один - регистрация на сайте (логин1 и пароль1), ввод имени интерфейса (логин2) и пароль к интерфейсу (пароль2).
Храним в базе: логин1, хеш от пароль1, логин2 и пароль2, зашифрованный при помощи пароль1 (шифрация обратимая).
В сеансе связи передается только логин1 и пароль1.
....Обсуждаем
Последнее редактирование:
Ответ: LR-Keeper в мобильном!
А насколько надежен будет алгоритм шифрования логин2 и пароль2? Если ломанут базу, не сможет ли злоумышленник расшифровать их имея только хеш от пароль1?
Жаль, что с imei не получается Было бы неплохо - аппаратная привязка. А как насчет номера телефона с симкарты мобильника? Сможете программно получить? Можно его использовать в качестве "аппаратного пароля" - не весь номер, а последние 5 цифр, например (чтобы если ломанут базу, всякие дебилы не звонили )
А насколько надежен будет алгоритм шифрования логин2 и пароль2? Если ломанут базу, не сможет ли злоумышленник расшифровать их имея только хеш от пароль1?
Жаль, что с imei не получается
Было бы неплохо - аппаратная привязка. А как насчет номера телефона с симкарты мобильника? Сможете программно получить? Можно его использовать в качестве "аппаратного пароля" - не весь номер, а последние 5 цифр, например (чтобы если ломанут базу, всякие дебилы не звонили )
Последнее редактирование:
Похожие темы
- Статья
- Статья
- Статья
- Статья