skunk

Fidor arbeitet mit mobile Tan. Selbst wenn ein Angreifer irgendwie an euer Passwort kommt, kann er trotzdem nicht viel in eurem Account machen. Er kann aber die persönlichen Daten kopieren und für Phishing Mails verwenden. Ich gehe daher davon aus, dass der Angreifer euer Passwort kennt. Wer so eine Mail erhalten hat sollte daher besser sein Passwort ändern. Nutzt ihr das gleiche Passwort auch bei euer Mail Adresse dann auch da besser das Passwort wechseln. Da wir aktuell nicht bitcoin.de komplett ausschließen können solltet ihr dort ebenfalls euer Passwort ändern. Anders kann ich mir nicht erklären warum ihr ne Mail bekommt ich aber nicht. Wäre es ne Grundsätzliche Sicherheitslücke dann würden wir wohl alle eine Mail erhalten. Das sieht mir eher nach Brute Force aus. Ich wüßte was ich mit den Daten machen würde. Also besser vom schlimmsten ausgehen und die Passwörter ändern.

Das lässt sich weiter eingrenzen. Es gibt ja 3 Gruppen. Die meisten von uns gehören in die Gruppe, die sowohl ein Fidor als auch ein Bitcoin Konto haben. Es gibt aber auch einige wenige mit Fidor aber ohne Bitcoin Konto und andersrum. Genau einer dieser beiden entscheidenen Gruppen hat ebenfalls die Mail bekommen obwohl er kein Bitcoin Konto hat. Damit wissen wir woher die Daten stammen. https://community.fidor.de/smart_questions/halloele-wie-ist-den-die-bitco/create_answer?page=1 Edit: Man findet auch diverse andere Warnung bezüglich ähnlicher Mails. Alle rund um Fidor. Das ist bei denen also kein Einzelfall.

Ich muss mal so blöd fragen. Woher haben die ihre Daten? Spontan würde ich da auf ein unsicheres Passwort oder API Keys tippen. Es muss ja einen Grund geben warum ihr eine Mail bekommt und ich bisher noch auf meine Mail warten muss. Ich will auch eine!

Bei Binance is das normal. Wenn du es nicht eilig hast einfach etwas warten. Gemäß AGB sind die Binance API Keys nicht für externe tools wie Cointracking gedacht. Binance blockt dann regelmäßig die IP von Cointracking. Für einige Tage läuft dann kein Import. Irgendwann endet die Auszeit und dann darf Cointracking doch für einen begrenzten Zeitraum die Daten abgreifen. Das Spiel wiederholt sich in gewissen Zyklen. Alternativ kannst du die Daten auch bei Binance exportieren. Leider immer nur in 3 Monats Blöcken. Da klickt man sich dann dumm und dämlich. Wenn dir beide Optionen nicht gefallen dann wechsel zu einer anderen Börse. Eigentlich ist es eine Frechheit was Binance da abzieht. Es gibt Börsen die einen die Steuererklärung deutlich einfacher machen. Je mehr Kunden zu diesen Börsen wechseln um so eher ist Binance gezwungen nachzubessern.

Warum so umständlich? Das Ergebnis wäre in jedem Fall 0. Sollte da vielleicht auf der einen Seite Jahres Anfang stehen?

Ansonsten haben die Entwickler im großen und ganzen ehrlich geantwortet. Mein Kompliment. Mir sieht es eher so aus als hätte Sanuslife die Frage nach dem Github Link absichtlich raus gelassen. Unter anderem habe ich ja bereits eine Vermutung in den Raum gestellt welches Open Source Projekt es sein könnte. Wurde diese Vermutung nicht an die Entwickler weitergeleitet oder wurde die Antwort von Sanuslife zensiert? Nochmals die bitte: Wo ist der Github Link?

Sorry aber wenn ich darauf jetzt antworten soll, dann müssten wir erstmal einen Stundenlohn aushandeln. Das ist mir dann zu viel Zeitaufwand. Weiterhin kein Github Link. In der Antwort wird mehrfach behauptet der Quellcode sei Open Source. Wo finde ich den Quellcode? Die Frage habe ich jetzt so oft gestellt, dass ich überacht bin darauf keine Antwort erhalten zu haben. Die hälfte der Fragen wurde falsch verstanden. Ja die eine zentrale SANUSCOIN Full Node verhindert, dass ein Angreifer wie ich neue Coins druckt oder anderen Unfug macht. Das war aber nicht mein Vorwurf. Ich behaupte Sanuslife hat den Quellcode verändert und druckt selber neue Coins. Darauf wurde leider nicht geantwortet und selbst wenn bitte ich nochmals darum den Github Link hier zu veröffentlichen! Nur zur Sicherheit: Wo ist der Github Link?

In der zwischen Zeit wurden so viele Blog Posts veröffentlicht, dass ich es nicht schaffe die auch alle zu lesen oder hier zu berichten. Nächste Woche ist es wieder Zeit für ein Townhall Live Stream. Fragen die ich nicht beantworten konnte oder durfte könnt ihr dort stellen. Wie das genau geht erfahrt ihr hier: https://storj.io/blog/2018/12/join-the-next-storj-labs-town-hall-on-january-16/ Die Veranstaltung wird auch aufgezeichnet und später veröffentlicht. Auf der Agenda dieses mal alles rund um das nächste Release. Was ist notwendig um dem neuen Netzwerk als storage node beizutreten? Wieviel kann ich damit verdienen? Ein weiteres Thema ist der Token selber. Auf dem Gebiet kenne ich mich nicht so gut aus. Für mich klingt das ein wenig so als wäre Storj ein Utility Token aber für bessere Transparenz wollen wir gleich noch einige Berichte veröffentlichen, die eher bei einem Security Token notwendig wären. Ich würde mich freuen wenn da vielleicht einer von euch einen Blick drauf wirft und mir die Berichte später erklären kann.

Ansonsten mein Kompliment. Eine der wenigen Umfragen die ich nicht in der Mitte abbreche weil die Fragen schwachsinnig oder zu persönlich werden. Gut gemacht

@FragenüberFragen Beteiligen Sie sich aktiv in Online-Communities und Disskussionen über ICOs an denen Sie teilgenommen haben?Falls ja, in welchen? Da fehlen aber einige Antwortmöglichkeiten. Ganz wichtig Github. Außerdem sollte da noch Slack, Rocketchat und ähnliche Alternativen stehen. Die können sonst auch in eine Zeile.

Wie sieht es aus mit Request Limits? Binance würde dich beim überschreiten eventuell gleich blocken. Wäre unschön mitten im Trade. Edit: Gut sollte für die Lektionen unerheblich sein weil das Limit wohl hoch genug ist aber wer vor hat den Bot weiter auszubauen sollte sich das hier durchlesen: https://support.binance.com/hc/en-us/articles/360004492232-API-Frequently-Asked-Questions-FAQ-

Dann lag ich mit meiner Annahme ja richtig. Gut dann kommt hier die Auflösung. @Jokin hat völlig Recht. Antwort e wäre die volle Punktzahl gewesen. a) Cointracking bekommt die Daten nicht automatisch geliefert so wie das beim Finanzamt der Fall ist. Du musst für jede Börse und für jedes Wallet die Daten selber importieren. Die einfachste Variante ist über API Keys. Dann fragt Cointracking einmal am Tag die Börse ob es neue Trades gibt und importiert diese. Bei einigen Börsen kann auch mal einige Tage der Import fehlschlagen. Binance ist da so ein Kandidat, der gern mal Cointracking blockiert. Es ist in jedem Fall dein Job zu prüfen ob alle Daten ordentlich importiert wurden und gegebenfalls die Fehler zu berichtigen. Nicht jede Börse bietet API Keys an. Plan B ist dann ein Export von der Börse und Import auf Cointracking. Das ist zum Beispiel bei Bitcoin.de notwendig. d) Du kannst so viele Berechnungen machen wie du willst. Drück einfach mal den Knopf und schau dir an was passiert. Wenn es nicht passt einfach löschen, Daten korrigieren und erneut versuchen. Die Daten werden zu keinem Zeitpunkt an das Finanzamt übermittelt. Die Steuererklärung musst du am Ende ohne Cointracking machen. Cointracking hilft dir nur dabei die FIFO Abrechnung zu machen. Leider mit diversen Fehlern wie ich mittlerweile rausgefunden habe. Die anderen Antwortmöglichkeiten sind soweit auch klar oder gibt es da noch Klärungs Bedarf?

Sorry müssen wir auf später verschieben. Es ist eine Sache parallel zur Arbeit ein paar einfachen Fragen zu beantworten aber das Thema braucht dann doch etwas mehr Aufmerksamkeit. Nächste Woche Dienstreise. Ich befürchte ich muss dich erstmal auf später vertrösten.

Gehäuse ist ein super Stichwort. Von durchsichtig bis abgefahren ist da alles dabei. Das ist schon wie bei PC Gehäusen. Diverse Hersteller verkaufen alle möglichen Gehäuse und dank standardisierten Anschlüssel passt das Teil da super in jedes passende Gehäuse.

Das ist nicht möglich. Auf meiner Festplatte kann sich niemand verstecken. Wenn man Ordnung hält dann findet man alles. Genauso wird auch der oberste Administrator wissen wo die Daten aller User liegen und wenn er will dann kann er alles durchsuchen. In der Masse verstecken kann man sich in dieser Situation nicht. Wenn du was zu verlieren hast, dann zahle den Aufpreis für eine sichere Umgebung. Meine Empfehlung wäre ein Pi3 zuhause am WLAN Router angestöpselt. Da hast dann nur du Vollzugriff. Diese Lösung ist deutlich sicherer und auf längere Zeit sogar kostengünstig.

Das ist keine Dumme Frage sondern eine Frage die zeigt wie gut du dich mit dem Thema auskennst. Richtig. Der Filter würde mir nur einen Teil der Daten geben. Der Witz ist nur, dass er verdammt einfach eingerichtet werden kann und innerhalb kurzer Zeit Zahlen liefert. Fragst du deinen Kontostand ab (was der Bot ja machen wird) weiß ich auch gleich ob es sich lohnt da mehr Zeit zu investieren oder nicht. An die Secrets zu kommen dauert ein paar Minuten länger. Das würde ich nicht einfach blind auf alle User machen wollen sondern nur gezielt bei denen, die auch einen API Key haben.

Hoffentlich nix. Ich nutze Chrome mit dem uMatrix Plugin. Schaltet erstmal alles aus was Schaden anrichten könnte und ich darf dann entscheiden was ich aktivieren möchte und was ausgeschaltet bleibt. Ähnliche Plugins gibt es auch für andere Browser. Auf keinen Fall ohne Gummi! Edit: Auf der genannten Seiten wurde nichts geblockt. Selbst wenn du also ohne Gummi unterwegs bist hast du dir hier nichts eingefangen. Alle eventuell vorhandenen Krankheiten hast du von anderen bekommen.

Ja ich bekomme ein pong.

Nein! Der Webserver ist kein Programm sondern ein Container. Du bekommst remote Zugriff auf diesen Container. Du bekommst sogar nur beschränkte Rechte. Der Hoster hat Vollzugriff auf diesen Cointainer und alles was darin läuft. Ich meine das wörtlich. Ich weiß nicht welcher Teil von "Vollzugriff" da jetzt missverständlich sein soll. Er muss nichts entschlüsseln. Er hat Vollzugriff! Er bekommt alle Daten von dir entschlüsselt und muss sie nur mitlesen. Illegal wäre es keine Frage. Das hilft dir aber nichts. In den AGBs ist geregelt, dass du keine Rechte gegenüber dem Betreiber hast. Dafür müsstest du einen der teureren Verträge nehmen wo dir explizit zugesichert wird, dass kein Techniker unbefugt an deinen Server geht und dann auch alles protokollieren muss. Für den Betreiber ist die Rechnung damit ganz einfach. Stellen wir uns mal vor ich wäre der oberste Admin von dem Laden. Heute habe ich mal vor alle API Keys zu bekommen. Einfach einen Filter eingerichtet der gezielt die API Schnittstelle überwacht und schon habe ich die Keys. Ich kann auch alle Dateien nach der API URL durchsuchen. Der Aufwand für mich an die Keys zu kommen ist wirklich minimal. Jetzt stellt sich die Frage was ich mit den Keys mache. Einfach alle Konten leer zu räumen wäre zu auffällig und ich werde am Ende gekündigt. Andererseits liegt auf einigen Konten eventuell mehr als ich bis zur Rente verdienen würde. Dafür lohnt sich das Risiko schon. In jedem Fall werde ich alle API Keys abspeichern auch wenn sie aktuell noch zu wenig Guthaben haben. Sollte ich gekündigt werden, nehme ich alle Keys mit und werden dann Monate später anfangen vereinzelt Konten leer zu räumen. Wenn dein Konto leer geräumt wurde, dann ist ein Trojaner auf deinem PC der Grund dafür. Das Gegenteil kannst du nicht beweisen. So habe ich am Ende dein Geld und sowohl der Betreiber als auch ich sind fein raus aus der Sache. Nerd empfinde ich als eine Beleidigung. Ich habe einen ganz normalen Job so wie du wahrscheinlich auch und bitte um den gleichen Respekt wie ihn auch jeder andere verdient hat. Das Sicherheitskonzept solltest du dringend überdenken. Ich versuche dir hier zu erklären, dass der Hoster Vollzugriff hat. Das gilt für jeden Hoster egal welche Größe. Ich versuche dir ebenfalls zu erklären, dass es sehr einfach ist an die API Keys zu kommen. Da macht sich niemand die Arbeit ausgerechnet deine API Keys zu bekommen. Wenn dann wird jemand gleich alle API Keys aller Kunden mitschneiden.

Nein! Muss du auf deinem Rechner SSL-Scanning betreiben um die Antwort vom Server zu entschlüsseln? Nein? Warum nicht? Weil du der Endpunkt bist! Dir ist der SSL Schlüssel bekannt weil du der Endpunkt bist! Du entschlüsselst den kompletten SSL Verkehr weil du der Endpunkt bist! Exakt das gleiche gilt auch für den Webserver. Warum sollte der SSL Scanning betreiben wenn er als Endpunkt doch genau sieht was da übertragen wird?

Die https-Verbindung wird zwischen deinem PC und dem Web-Server aufgebaut. Dazwischen kann dann keiner deine Keys mitschneiden. Auf den beiden Endpunkten kann aber jeder den Key auslesen. Der Betreiber des Webserver hat also weiterhin Vollzugriff. Es ist völlig egal wie du die Sache absicherst, wo und in welcher Form du den Key speicherst. Am Ende willst du eine Abfrage gegen die API machen und in dem Moment brauchst du den API Key. Stell dir das einfach wie ein Keylogger vor. Der läuft auf deinem Server mit und alles was du Richtung API schickst, kann er mitlesen selbst wenn du es über eine HTTPS Verbindung schickst. Wie gesagt. Alles zwischen den beiden HTTPS Endpunkten kommt höchstens über ein man in the middle Angriff an die Daten. Auf deinem Ende kannst du dich dagegen absichern. Auf dem Server wird das schon etwas schwieriger weil der Web Server dir auch wunderbar seinen eigenen HTTPS-Proxy als vertrauenswürdig verkaufen kann. Der Proxy würde dann direkt selber den man in the middle Angriff durchführen. Du würdest davon nichts merken. Ist trotzdem unwahrscheinlich weil der man in the middle Angriff völlig unnötig ist. Es reicht völlig wenn sie ein Überwachungsprogramm auf dem Webserver laufen lassen. Damit kommen sie an alle Daten.

Es gibt noch eine dritte Möglichkeit. Einfach die Einzahlungen der neuen User dafür nutzen die alten User zu bezahlen. Ein klassisches Schneeball System. Noch besser wird es wenn man sich vorher ne schöne Kurve für die Auszahlungen überlegt. Einfach dem User das Gefühl geben er würde in wenigen Jahren Gewinne erwirtschaften. Dann zum Ende hin die Auszahlungen verringern. Sagen wir 2 Monate bevor der User Gewinne macht, halbiert man die Rewards. Dann dauert es eben 4 Monate bis der User Gewinn erwirtschaftet. 2 Monate später erneut Halbierung der Rewards usw. Der User wird bei einem solchen System erst sehr spät merken, dass er seinen Einsatz nie zurück bekommt.

Vielleicht mal ein paar Beispiele woran man sofort erkennt, dass da garantiert keine Profis am Werk sind. function buy() public payable { require(current_state != State.Paused && current_state != State.Created && current_state != State.Freedom); require(msg.value >= 1); require(msg.sender != owner); buyTokens(msg.sender); } // Payable function for buy coins from token owner function buyTokens(address _buyer) public payable { require(current_state != State.Paused && current_state != State.Created && current_state != State.Freedom); require(msg.value >= 1); require(_buyer != owner); Warum macht die erste Funktion die Validierungen doppelt? Das verbrennt nur unnötig gas. Aber gut das kann ja selbst einem Profi mal passieren. uint256 currentSoldAmount = safeAdd(tokens, soldAmount); if(current_state == State.Presale) { require(currentSoldAmount <= TOKEN_PRESALE_LIMIT); } if(current_state == State.ICO1) { require(currentSoldAmount <= TOKEN_ICO1_LIMIT); } if(current_state == State.ICO2) { require(currentSoldAmount <= TOKEN_ICO2_LIMIT); } if(current_state == State.ICO3) { require(currentSoldAmount <= TOKEN_ICO3_LIMIT); } require( (balances[owner] - tokens) >= owner_MIN_LIMIT ); balances[owner] = safeSub(balances[owner], tokens); balances[_buyer] = safeAdd(balances[_buyer], tokens); soldAmount = safeAdd(soldAmount, tokens); Warum wird da eine teurer Rechenoperation safeAdd(soldAmount, tokens) doppelt durchgeführt. Auch hier hat jemand geschlampt. function transfer(address _to, uint256 _value) onlyOwnerBeforeFree returns (bool success) { if (balances[msg.sender] >= _value && balances[_to] + _value > balances[_to]) { balances[msg.sender] -= _value; balances[_to] += _value; Transfer(msg.sender, _to, _value); return true; } else { return false; } } Spätestens jetzt wird es kriminell. Eine Addition und eine Subtraktion ohne SafeMath. Ich habe bisher nur davon gelesen was das für Folgen haben kann. Jetzt habe ich ein Token gefunden bei dem ich das gleich selbst ausprobieren kann.

Ich habe mir mal deren Smart Contract angesehen. Dringend die Finger von lassen. Ich bekomme gerade feuchte Träume weil man selten einen solch schlecht geschriebenen ERC-20 Token findet. Selbst wenn es kein Scam ist, werden Menschen wie ich die Schwachstellen im Smart Contract ausnutzen. Es ist nur eine Frage der Zeit.