come

January 22, 2016, 12:05:28 PM  #14 Quote from: picchio on January 22, 2016, 10:41:14 AMQuote from: gbianchi on January 21, 2016, 11:22:06 PMQuote from: hopenotlate on November 29, 2015, 07:11:55 PMDetto questo vaso al sodo: su un sito di gambling mi si chiede, per questioni di sicurezza a mia garanzia)  di firmare un messaggio dal lindirizzo sul quale voglio richiedere il prelievo seguendo la seguente procedura:solo lidea che qualcuno dichiari di fare qualcosa "a mia garanzia"  (alias "per il mio bene")  mi fa rabbrividire.poi trovo bizzarra lidea che sono io che devo firmare qualcosa (che non so neppure cosa sia) a mia garanzia (a prescindere dalla crittografia eh...)La logica non e del tutto errata, firmando sei sicuro di essere in possesso della chiave privata e quindi non ci sono errori nellindirizzo. Certo che basta un qualunque messaggio e non una stringa sconosciuta.a parte che in linguaggio di tutti i giorni stiamo dicendo questo:fai questa complicata procedura per essere certo di non essere un coglione che mi hai datto il conto corrente di tua moglie anziche il tuo.che invece si risolve molto piu semplicemente con:controlla bene di avermi dato il tuo conto e non quello di tua moglie, altrimenti (ovviamente) i soldi vanno a tua moglie.ma ce pure la dimostrzione matematica che  in molti casi e una palese bugia.Appena ho un attimo di tempo vi posto nellaltro thread la dimostrazioneNon so il motivo per il quale fanno fare la firma, ma non e quello dichiarato. Re: Consiglio su procedura "sign a message" January 22, 2016, 03:58:37 PMLast edit: January 22, 2016, 05:31:29 PM by arulbero  #15 Quote from: hopenotlate on January 22, 2016, 09:25:09 AMQuote from: arulbero on January 21, 2016, 09:20:49 PMQuote from: Anon39 on November 29, 2015, 08:27:43 PMquesta procedura serve a verificare che tu sia effettivamente proprietario della chiave privata di quellindirizzonon cè nessun rischio relativo alla sicurezza dellindirizzo nel firmare un messaggio Beh, non cè nessun rischio relativo alla sicurezza dellindirizzo  cè "solo" il rischio di autorizzare una transazione che svuoti lindirizzo con cui si sta effettuando la firma!  E fondamentale essere sicuri che ciò che si sta firmando non sia proprio una transazione!Mi potresti spiegare meglio il concetto?Quellindirizzo che ho indicato come mio indirizzo desiderato sul quale ricevere il prelievo richiesto sul sito è un indirizzo mai usato in precedenza ed in seguito utilizzato solo per quello specifico prelievo.Ora, passate delle settimane e ricevuti i btc richiesti, cosa rischio? Tutto il saldo del mio wallet o solo il saldo ricevuto su quellindirizzo o niente?Allora: dal momento che sono passate delle settimane al 99,99% i tuoi bitcoin sono al sicuro.Il concetto è: una transazione non è nientaltro che un messaggio che dice allincirca:"Io possessore dellindirizzo A autorizzo che i btc legati allindirizzo A siano trasferiti allindirizzo B"Ovviamente il punto fondamentale è che il messaggio deve essere autorizzato con la firma effettuata per mezzo della chiave privata relativa allindirizzo A.Alcune osservazioni:1) quel messaggio non è immediatamente leggibile da un essere umano, ma va decodificato con appositi tool (si presenta in genere come una stringa alfanumerica di 64 caratteri in formato esadecimale (32 byte) ma possono esserci delle variazioni) 2) chiunque può comporre il messaggio di sopra, anche io che non possiedo il tuo indirizzo A posso costruire quel messaggio per girare i tuoi bitcoin verso il mio indirizzo B; ma io poi non lo posso firmare (si tratta di una " unsigned transaction", chi usa Armory o altri wallet offline per firmare le transazioni sa bene di cosa parlo), quindi se la transazione rimane non firmata non è autorizzata ed è inutile (ma se tu invece me la firmi, capisci bene che poi posso trasmetterla alla rete ed è fatta)La morale è: se qualcuno ti sottopone una stringa e non un messaggio chiaramente comprensibile a un essere umano, firmarlo non ha senso; firmare vuol dire: "io sono daccordosottoscrivo questo messaggio e quindi autorizzo quello che cè scritto qui"Nel tuo caso, visto che il tuo indirizzo A era inizialmente vuoto, avrebbero benissimo potuto riprendersi in breve tempo almeno i bitcoin che ti avevano pagato su quellindirizzo (se ti avessero fatto firmare una transazione ad hoc). Ma ripeto se non è successo niente fino ad oggi non cè pericolo (anche se spostare i btc in un altro indirizzo male non fa). Re: Consiglio su procedura "sign a message" January 22, 2016, 04:54:19 PM  #16 Quote from: arulbero on January 22, 2016, 03:58:37 PM - snip -  (anche se spostare i btc in un altro indirizzo male non fa).Grazie per la risposta.Circa lultima parte della stessa devo fare alcune premesse:Premessa 1)  sono  una capra.Premessa 2)  ho da poco iniziato ad usare electrum e non lo ho qui sottomano e lo conosco molto pocoCome faccio a spostare quei btc da un indirizzo ad un altro? Nel senso se io ho 1BTC nel mio portafoglio e di questo BTC  0.1 ci sono arrivati tramite un certo indirizzo come faccio a spostare proprio quei 0.1btc? Re: Consiglio su procedura "sign a message" January 22, 2016, 04:59:34 PM  #17 Quote from: hopenotlate on January 22, 2016, 04:54:19 PMCome faccio a spostare quei btc da un indirizzo ad un altro? Nel senso se io ho 1BTC nel mio portafoglio e di questo BTC  0.1 ci sono arrivati tramite un certo indirizzo come faccio a spostare proprio quei 0.1btc? Semplice: vai su "addresses", fai tasto destro sullindirizzo che vuoi svuotare, e clicca su "send from" Re: Consiglio su procedura "sign a message" January 22, 2016, 06:12:05 PM  #18 Il sito in questione è betcoin vero? Re: Consiglio su procedura "sign a message" January 22, 2016, 07:35:50 PM  #19 Quote from: Zazzu on January 22, 2016, 06:12:05 PMIl sito in questione è betcoin vero? Penso pure io che sia betcoin.tm,non capisco perchè chieda questa "verifica" , ma penso che se fosse stato uno scam nella sezione internazionale ne avrebbero cominciato a parlare Re: Consiglio su procedura "sign a message" January 23, 2016, 01:12:45 PM  #20 Quote from: Zazzu on January 22, 2016, 06:12:05 PMIl sito in questione è betcoin vero? si,  betcoin.tm acquisto tramite virwox January 13, 2016, 01:14:21 PM  #1 scrivo qui perchè non so quale potrebbe essere la sezione giusta3 giorni fa ho provato a comprare dei ( millesimi )  bitcoin  tramite virwox s:virwox.com?language=it   facendo il passagio da paypal   a Linden Dollarsversandoli  nel wallet che avevo creato su easycoin     solo che nel wallet non compare niente, qualè il metodo piu sicuro per acquistare bit coins ? Re: acquisto tramite virwox January 13, 2016, 04:47:42 PM  #2 devi vedere se virwox li ha mandati allindirizzo che avevi creato sul wallet online. Posta lindirizzo o vedilo stesso tu sulla blockchain, per vedere se ha davvero ricevuto quei bitcoin Re: acquisto tramite virwox January 13, 2016, 04:49:49 PM  #3 pessima idea quella di farseli mandare su un wallet online, soprattutto su un sito onion.Verifica se sono stati inviati, ma in genere virwox pagava, anche perchè aveva delle fee altissime per il cambio con paypal Re: acquisto tramite virwox January 13, 2016, 06:07:53 PM  #4 Il metodo più sicuro per acquistare bitcoin , sono gli exchange (ma devi mandare documenti per verifica e pagare con bonifico, qualcuno anche con carta) oppure gli utenti del forum, ma solo quelli super verificati oppure che accettino escrow prima del pagamento Re: acquisto tramite virwox January 14, 2016, 02:30:29 PM  #5 Quote from: zorrozorro on January 13, 2016, 01:14:21 PMscrivo qui perchè non so quale potrebbe essere la sezione giusta3 giorni fa ho provato a comprare dei ( millesimi )  bitcoin  tramite virwox s:virwox.com?language=it   facendo il passagio da paypal   a Linden Dollarsversandoli  nel wallet che avevo creato su easycoin     solo che nel wallet non compare niente, qualè il metodo piu sicuro per acquistare bit coins ?La domanda è: perchè usare il wallet di un sito del genere? Scarica uno dei client oppure usa un wallet online affidabile come GreenAddress. Re: acquisto tramite virwox January 14, 2016, 10:02:28 PM  #6 Quote from: brutale2 on January 14, 2016, 02:30:29 PMQuote from: zorrozorro on January 13, 2016, 01:14:21 PMscrivo qui perchè non so quale potrebbe essere la sezione giusta3 giorni fa ho provato a comprare dei ( millesimi )  bitcoin  tramite virwox s:virwox.com?language=it   facendo il passagio da paypal   a Linden Dollarsversandoli  nel wallet che avevo creato su easycoin     solo che nel wallet non compare niente, qualè il metodo piu sicuro per acquistare bit coins ?La domanda è: perchè usare il wallet di un sito del genere? Scarica uno dei client oppure usa un wallet online affidabile come GreenAddress.Infatti.... Io ne  ho di bitocoin, parecchi li ho minati, molti li ho comprati, anche su questo sito, ma non ho mai avuto problemi, me li sono fatti inviare direttamente sul mio indirizzo Re: acquisto tramite virwox January 15, 2016, 02:16:25 PM  #7 molti pensano che usando dei wallet su tor, hanno maggiore garanzia di anonimato, in realtà hanno il 99% delle possibilità di essere scammati Re: acquisto tramite virwox January 16, 2016, 06:46:18 AM  #8 leggendo le guide di questo forum ho trovato molte risposte  , grazie Bitcoin Forum Re: acquisto tramite virwox January 16, 2016, 06:52:37 AM  #9 Quote from: brutale2 on January 14, 2016, 02:30:29 PMQuote from: zorrozorro on January 13, 2016, 01:14:21 PMscrivo qui perchè non so quale potrebbe essere la sezione giusta3 giorni fa ho provato a comprare dei ( millesimi )  bitcoin  tramite virwox s:virwox.com?language=it   facendo il passagio da paypal   a Linden Dollarsversandoli  nel wallet che avevo creato su easycoin     solo che nel wallet non compare niente, qualè il metodo piu sicuro per acquistare bit coins ?La domanda è: perchè usare il wallet di un sito del genere? Scarica uno dei client oppure usa un wallet online affidabile come GreenAddress. Re: acquisto tramite virwox January 16, 2016, 02:13:33 PM  #10 Quote from: zorrozorro on January 16, 2016, 06:46:18 AMleggendo le guide di questo forum ho trovato molte risposte  , grazie Bitcoin ForumPerò non ci hai detto alla fine se quei satoshi che avevi comprato su virwox ti sono stati rubati dal wallet su tor oppure non sono mai stati inviati da virwox stessa (onestamente credo la prima) Re: acquisto tramite virwox January 17, 2016, 02:48:46 PM  #11 Quote from: rodrigobitcoin on January 16, 2016, 02:13:33 PMQuote from: zorrozorro on January 16, 2016, 06:46:18 AMleggendo le guide di questo forum ho trovato molte risposte  , grazie Bitcoin ForumPerò non ci hai detto alla fine se quei satoshi che avevi comprato su virwox ti sono stati rubati dal wallet su tor oppure non sono mai stati inviati da virwox stessa (onestamente credo la prima)allatto del trasferimento sono spariti, erano pocopiù di dieci euro per fare una prova , non ci sono mai arrivati nel wallet Re: acquisto tramite virwox January 17, 2016, 02:54:14 PM  #12 Quote from: zorrozorro on January 17, 2016, 02:48:46 PMQuote from: rodrigobitcoin on January 16, 2016, 02:13:33 PMQuote from: zorrozorro on January 16, 2016, 06:46:18 AMleggendo le guide di questo forum ho trovato molte risposte  , grazie Bitcoin ForumPerò non ci hai detto alla fine se quei satoshi che avevi comprato su virwox ti sono stati rubati dal wallet su tor oppure non sono mai stati inviati da virwox stessa (onestamente credo la prima)allatto del trasferimento sono spariti, erano pocopiù di dieci euro per fare una prova , non ci sono mai arrivati nel walletNon ho capito, quindi ti ha fregato virwox ? Nel wallet che avevi scritto per il prelievo non hai ricevuto niente? Re: acquisto tramite virwox January 17, 2016, 03:21:27 PM  #13 Quote from: zorrozorro on January 17, 2016, 02:48:46 PMQuote from: rodrigobitcoin on January 16, 2016, 02:13:33 PMQuote from: zorrozorro on January 16, 2016, 06:46:18 AMleggendo le guide di questo forum ho trovato molte risposte  , grazie Bitcoin ForumPerò non ci hai detto alla fine se quei satoshi che avevi comprato su virwox ti sono stati rubati dal wallet su tor oppure non sono mai stati inviati da virwox stessa (onestamente credo la prima)allatto del trasferimento sono spariti, erano pocopiù di dieci euro per fare una prova , non ci sono mai arrivati nel walletParlando per esperienza personale, ho fatto e continuo a fare tantissime transazioni con Virwox,e mai una volta e sparito o si e perso un satoshi. Magari a volte ci metteva un mare di tempo (specialmente la prima volta), ma alla fine tutto e sempre arrivato a destinazione.Dovresti accertarti che non sia stato commesso qualche errore di digitazione,o qualche problema col wallet su onion...e comunque dovrebbe esserci traccia della transazione....onestamente dubito che Virwox si faccia accusare di furto per poco piu di 10 euro.Aggiornaci Re: acquisto tramite virwox January 17, 2016, 04:04:30 PM  #14 Non penso che siano spariti a causa di virwoz, anche perchè se hai pagato con paypal non puoi aprire una contestazione ? Hai provato a contattarli per chiedergli chiarimenti ? Re: acquisto tramite virwox January 23, 2016, 12:07:22 AM  #15 Quote from: superscommessebitcoin on January 17, 2016, 04:04:30 PMNon penso che siano spariti a causa di virwoz, anche perchè se hai pagato con paypal non puoi aprire una contestazione ? Hai provato a contattarli per chiedergli chiarimenti ? non è stato colpa di virwox, easy coin mi ha fregato a quanto pare,  ora sto provando  Coinbase Re: acquisto tramite virwox January 23, 2016, 02:18:32 PM  #16 Quote from: zorrozorro on January 23, 2016, 12:07:22 AMQuote from: superscommessebitcoin on January 17, 2016, 04:04:30 PMNon penso che siano spariti a causa di virwoz, anche perchè se hai pagato con paypal non puoi aprire una contestazione ? Hai provato a contattarli per chiedergli chiarimenti ? non è stato colpa di virwox, easy coin mi ha fregato a quanto pare,  ora sto provando  CoinbaseMa perchè ti ostini ad usare wallet online? Sono cmq pericolosi (anche se coinbase è molto conosciuto). Al massimo potresti usare Re: acquisto tramite virwox January 23, 2016, 03:03:11 PM  #17 Quote from: zorrozorro on January 23, 2016, 12:07:22 AMQuote from: superscommessebitcoin on January 17, 2016, 04:04:30 PMNon penso che siano spariti a causa di virwoz, anche perchè se hai pagato con paypal non puoi aprire una contestazione ? Hai provato a contattarli per chiedergli chiarimenti ? non è stato colpa di virwox, easy coin mi ha fregato a quanto pare,  ora sto provando  CoinbaseSe posso esserti ulteriormente daiuto, come wallet online uso DA SEMPRE , non e mai sparito nulla, e molto veloce nelle transazioni e soprattutto e gratuito, anzi ti da anche un piccolissimo bonus alliscrizione.Provalo, io non ho mai cambiato fino ad oggi (chiaro che uso anche un wallet offline) Re: acquisto tramite virwox January 23, 2016, 03:36:13 PM  #18 Usare un wallet online è la stessa identica cosa di lasciare i proprio risparmi ad una banca, il bitcoin è nato proprio per cambiare, per poter essere autonomi. non esistono wallet online sicuri, un domani anche i grossi portebbero scammare come hanno scammato gli exchange maggiori Re: acquisto tramite virwox January 23, 2016, 05:06:36 PM  #19 Quote from: zorrozorro on January 23, 2016, 12:07:22 AMQuote from: superscommessebitcoin on January 17, 2016, 04:04:30 PMNon penso che siano spariti a causa di virwoz, anche perchè se hai pagato con paypal non puoi aprire una contestazione ? Hai provato a contattarli per chiedergli chiarimenti ? non è stato colpa di virwox, easy coin mi ha fregato a quanto pare,  ora sto provando  CoinbaseAh ecco, mi sembrava strano che virwox avesse iniziato a scammare, con i tassi altissimi che prendono per scambiare con paypal, sarebbe stato proprio folle Re: acquisto tramite virwox January 23, 2016, 07:11:08 PM  #20 Quote from: bittaitaliana on January 23, 2016, 03:36:13 PMUsare un wallet online è la stessa identica cosa di lasciare i proprio risparmi ad una banca, il bitcoin è nato proprio per cambiare, per poter essere autonomi. non esistono wallet online sicuri, un domani anche i grossi portebbero scammare come hanno scammato gli exchange maggioriSu questo sono daccordo al 101% con te!! Chiaramente mi affido al wallet online giusto per poche decine di euro da muovere tra qualche exchange o altro....e chiaro che se si dispone di un bel gruzzolo, sarebbe da scemi lasciarli online in un wallet che oggi ce e domani non si sa...per esempio come gia detto prima uso virwox da tempo ormai e per convertire da cash a btc mi sento abbastanza al sicuro...lo stesso con Xapo....certo, se iniziamo a parlare di grosse cifre ci penserei un attimo sopra Non firmate digitalmente cose ignote. December 25, 2015, 10:17:02 AMLast edit: December 25, 2015, 05:15:12 PM by gbianchi  #1 Siccome la prudenza non e mai troppa, ho deciso di scrivere due righe su questo argomento.Prima una piccola premessa tecnica: come e noto,quando voi spedite dei bitcoin versoqualche indirizzo, oppure quando un qualche utente  li spedisce ad un vostro indirizzo, viene eseguita una "transazione".Una transazione, in estrema sintesi, non e altro che una piccola stringa di caratteri,firmata digitalmente dal proprietario dellindirizzo.Quindi e importante che se qualcuno vi sottopone un file, un testo, una stringa esadecimale,insomma una qualsiasi forma di documento e vi chiede di firmarlo digitalmente (col vostro wallet),EVITATE DI FARLO se non sapete ESATTAMENTE cosa state firmando, ne siete consapevoli,e avete la VOLONTA di farlo.la firma digitale e lequivalente di una firma nella vita reale, e come nella vitareale se qualcuno vi chiede di firmare qualcosa lo fate solo se siete ben consapevolidi cosa state firmando (a parte chi vi prende per sfinimento tipo le banche )allo stesso modo, anzi con ancora maggor attenzione dovreste comportarvi nelmondo bitcoin, dove quando una cosa e fatta NON SI TORNA INDIETRO.Ovviamente questo vale anche per altre forme di firma digitale, ma essendo in un forumBitcoin, dove firma digitale = spedizione denaro, direi che sensibilizzare sullargomento e importantissimo !(nota per HostFat: non so in che sezione mettere questa piccola nota, e non sose era gia stata scritta da qualcuno, io non ne ho mai viste, ma se ce gia cancella pure) Re: Non firmate digitalmente cose ignote. December 25, 2015, 11:13:56 AM  #2 Potresti collegare questa discussione dalla discussione di benvenuto. Re: Non firmate digitalmente cose ignote. December 25, 2015, 12:02:52 PM  #3 Quote from: gbianchi on December 25, 2015, 10:17:02 AM...Quindi e importante che se qualcuno vi sottopone un file, un testo, una stringa esadecimale,insomma una qualsiasi forma di documento e vi chiede di firmarlo digitalmente (col vostro wallet),EVITATE DI FARLO se non sapete ESATTAMENTE cosa state firmando, ne siete consapevoli,e avete la VOLONTA di farlo.la firma digitale e lequivalente di una firma nella vita reale, e come nella vitareale se qualcuno vi chiede di firmare qualcosa lo fate solo se siete ben consapevolidi cosa state firmando (a parte chi vi prende per sfinimento tipo le banche )allo stesso modo, anzi con ancora maggor attenzione dovreste comportarvi nelmondo bitcoin, dove quando una cosa e fatta NON SI TORNA INDIETRO.Il punto da sottolineare più volte è proprio questo. Se cercate "sign a message" qui nel forum troverete molte situazioni in cui si invita qualcuno a firmare un messaggio come metodo per dimostrare di essere il proprietario di un certo indirizzo (ad esempio, se non si è sicuri dellidentità di un account - sospetto di account rubato - si può chiedere alla persona in questione di firmare un messaggio con un suo indirizzo - un indirizzo riportato nel forum molto tempo fa e quindi ricollegabile a quellaccount in tempi non sospetti)Di solito in questi post lattenzione è sul "sign" (come si fa a firmare?, cosa significa?) e quasi mai sul "message", che però è altrettanto importante! Con la propria firma si dichiara di essere lautore del messaggio che si sta firmando! Se nel messaggio cè scritto (ovviamente nel linguaggio del protocollo bitcoin): "io possessore della chiave privata dellindirizzo x autorizzo il trasferimento di tutti gli input non spesi dal mio indirizzo allindirizzo y" e io lo firmo, ho appena creato una transazione (è così che funzionano tutti i client)! A quel punto basta che questo messaggio sia trasmesso alla rete e io ho speso in maniera irrecuperabile i miei btc. Re: Non firmate digitalmente cose ignote. December 25, 2015, 06:20:46 PM  #4 Potresti inserire queste info nel topic di benvenuto: sembrano tecnicismi ma non lo sono assolutamente, anzi.Magari questo thread affonda e si perde nelle pagine precedenti: aggiungilo lì. Re: Non firmate digitalmente cose ignote. December 25, 2015, 08:12:58 PM  #5 Quote from: acquafredda on December 25, 2015, 06:20:46 PMPotresti inserire queste info nel topic di benvenuto: sembrano tecnicismi ma non lo sono assolutamente, anzi.Magari questo thread affonda e si perde nelle pagine precedenti: aggiungilo lì.Ho come la sensazione di essere nellignore list di qualcuno -( Re: Non firmate digitalmente cose ignote. December 25, 2015, 08:28:51 PM  #6 Quote from: picchio on December 25, 2015, 08:12:58 PMHo come la sensazione di essere nellignore list di qualcuno -(ma scherzi ? leggo sempre con attenzione quello che scrivi !in questo caso:1) non vorrei appesantire troppo il thread di benvenuto, ho il terrore di renderlo troppo pesantee manca ancora tutta una sezioncina sullacquistovendita di beni servizi2) voglio aspettare cosa succede a questo thread. Non so se ne esiste un altro,come chiedevo allinizio ad HostFat, e se non ce ne sono altri, se rimane qui o viene spostato in qualche altra sezione !comunque scusa se ti ho dato limpressione di ignorarti, veramente ti leggo sempre con piacere Re: Non firmate digitalmente cose ignote. December 25, 2015, 08:37:55 PM  #7 gbianchi , picchio non diceva a te per lignore, ma perchè ha scritto la stessa cosa due post prima di un altro utente, ma oggi è natale è voglio essere buono  piuttosto, non so se hai letto, ho scritto quello che ho firmato nel wallet dove sono sparitis:bitcointalk.orgindex.php?topic=1300015.msg13355847#msg13355847 Re: Non firmate digitalmente cose ignote. December 25, 2015, 09:03:48 PM  #8 Quote from: gbianchi on December 25, 2015, 08:28:51 PMQuote from: picchio on December 25, 2015, 08:12:58 PMHo come la sensazione di essere nellignore list di qualcuno -(ma scherzi ? ..Scherzo, scherzo ma lo smile mi e rimasto nella tastiera ;-) Re: Non firmate digitalmente cose ignote. December 26, 2015, 09:36:21 AM  #9 Quote from: picchio on December 25, 2015, 08:12:58 PMQuote from: acquafredda on December 25, 2015, 06:20:46 PMPotresti inserire queste info nel topic di benvenuto: sembrano tecnicismi ma non lo sono assolutamente, anzi.Magari questo thread affonda e si perde nelle pagine precedenti: aggiungilo lì.Ho come la sensazione di essere nellignore list di qualcuno -(Ti riferisci a me picchio! Scusa ma pensavo di averti messo in quote!!! Invece non lho fatto.mea culpa [diciamo pure che ieri quando sono entrato nel forum avevo in corpo qualche bicchiere extra.] Re: Non firmate digitalmente cose ignote. December 26, 2015, 10:14:36 AM  #10 Quote from: acquafredda on December 26, 2015, 09:36:21 AMQuote from: picchio on December 25, 2015, 08:12:58 PMQuote from: acquafredda on December 25, 2015, 06:20:46 PMPotresti inserire queste info nel topic di benvenuto: sembrano tecnicismi ma non lo sono assolutamente, anzi.Magari questo thread affonda e si perde nelle pagine precedenti: aggiungilo lì.Ho come la sensazione di essere nellignore list di qualcuno -(Ti riferisci a me picchio! Scusa ma pensavo di averti messo in quote!!! Invece non lho fatto.mea culpa [diciamo pure che ieri quando sono entrato nel forum avevo in corpo qualche bicchiere extra.]Nessun problema. E che avendolo scritto pochi post prima mi pareva passato inosservato :-) Re: Non firmate digitalmente cose ignote. December 26, 2015, 09:39:43 PM  #11 Restando in tema ho notato che betcoin per il prelievo vuole che verifichi il wallet firmando una stringa alfanumerica, secondo voi è affidabile oppure cè da preoccuparsi? Re: Non firmate digitalmente cose ignote. December 26, 2015, 09:54:12 PM  #12 Spero di spiegarmi ...Da quello che ho capito puoi firmare solo una transazione in ingresso e dirottarla su altro address. Se io svuoto le transazioni in ingresso non possono in alcun modo firmare transazioni che ancora non sono avvenute o sbaglio qualcosa?Ossia: se ho BTC su un address rischio solo se non sposto le transizioni in ricezione. Se lo svuoto e lo riempio non dovrebbe esserci modo per prendere i BTC. Re: Non firmate digitalmente cose ignote. December 26, 2015, 11:59:49 PMLast edit: December 27, 2015, 08:46:41 AM by arulbero  #13 Quote from: picchio on December 26, 2015, 09:54:12 PMSpero di spiegarmi ...Da quello che ho capito puoi firmare solo una transazione in ingresso e dirottarla su altro address. Se io svuoto le transazioni in ingresso non possono in alcun modo firmare transazioni che ancora non sono avvenute o sbaglio qualcosa?Ossia: se ho BTC su un address rischio solo se non sposto le transizioni in ricezione. Se lo svuoto e lo riempio non dovrebbe esserci modo per prendere i BTC.Il rischio è il seguente:- tu vuoi prelevare dei btc da A e metterli su un tuo indirizzo x- A prepara una transazione da A e x, la firma ma non la trasmette - A prepara una seconda transazione, dal tuo indirizzo x (ovvero dalloutput della transazione del punto precedente, di cui adesso ha già pronto il txid) di nuovo ad A, fa lhash di questa seconda transazione e ti invia questa transazione incompleta stringa di 64 caratteri- tu firmi la stringa (in questo modo A completa l"assemblaggio" della seconda transazione)- A trasmette la prima transazione, tu ricevi i btc e quindi A può dire di averti pagato- unora dopo A trasmette anche la seconda transazione e si riprende i btc che ti aveva inviato (a meno che tu non li abbia spostati subito; faccio notare per inciso che in realtà cè un caso ancora peggiore, A potrebbe trasmettere alla rete le due transazioni contemporaneamente e queste potrebbero essere convalidate nello stesso blocco! -> :bitcoin.stackexchange.comquestions1726can-multiple-transactions-transferring-the-same-bitcoin-be-done-in-one-block)Ovviamente qualora nellindirizzo su cui vuoi essere pagato ci fossero già altri output non spesi di altre transazioni, A sarebbe in grado con questo stratagemma non solo di riprendersi i propri btc ma anche di svuotare completamente il contenuto del tuo indirizzo (preparando una transazione ad hoc).Tutti i dati necessari per fare una transazione (txid di transazioni che hanno portato i btc nel nostro indirizzo, lindirizzo stesso) sono pubblici; ciò che distingue il legittimo proprietario di un indirizzo da tutti gli altri è solo la possibilità di firmare la transazione (operazione che tra laltro comporta la comunicazione della chiave pubblica, altrimenti non avrebbe senso chiedere a qualcuno di firmare qualcosa se poi non si è in grado di verificare la firma). Da notare infine che in tutto questo A non verrebbe nemmeno a conoscenza della chiave privata di x, ma visto che la funzione della chiave privata è solo quella di firmare (e di produrre la relativa chiave pubblica per la verifica) non cambierebbe nulla (se non che lindirizzo x rimarrebbe sicuro dopo il furto, bella consolazione ) Re: Non firmate digitalmente cose ignote. December 27, 2015, 12:40:47 AM  #14 Quote from: arulbero on December 26, 2015, 11:59:49 PMQuote from: picchio on December 26, 2015, 09:54:12 PMSpero di spiegarmi ...Da quello che ho capito puoi firmare solo una transazione in ingresso e dirottarla su altro address. Se io svuoto le transazioni in ingresso non possono in alcun modo firmare transazioni che ancora non sono avvenute o sbaglio qualcosa?Ossia: se ho BTC su un address rischio solo se non sposto le transizioni in ricezione. Se lo svuoto e lo riempio non dovrebbe esserci modo per prendere i BTC.Il rischio è il seguente:- tu vuoi prelevare dei btc da A e metterli su un tuo indirizzo x- A prepara una transazione da A e x, la firma ma non la trasmette - A prepara una seconda transazione, dal tuo indirizzo x (ovvero dalloutput della transazione del punto precedente, di cui adesso ha già pronto il txid) di nuovo ad A, fa lhash di questa seconda transazione e ti invia questa stringa di 64 caratteri- tu firmi la stringa (in questo modo A completa l"assemblaggio" della seconda transazione)- A trasmette la prima transazione, tu ricevi i btc e quindi A può dire di averti pagato- unora dopo A trasmette anche la seconda transazione e si riprende i btc che ti aveva inviato (a meno che tu non li abbia spostati subito; faccio notare per inciso che in realtà cè un caso ancora peggiore, A potrebbe trasmettere alla rete le due transazioni contemporaneamente e queste potrebbero essere convalidate nello stesso blocco! -> :bitcoin.stackexchange.comquestions1726can-multiple-transactions-transferring-the-same-bitcoin-be-done-in-one-block)Ovviamente qualora nellindirizzo su cui vuoi essere pagato ci fossero già altri output non spesi di altre transazioni, A sarebbe in grado con questo stratagemma non solo di riprendersi i propri btc ma anche di svuotare completamente il contenuto del tuo indirizzo (preparando una transazione ad hoc).Tutti i dati necessari per fare una transazione (txid di transazioni che hanno portato i btc nel nostro indirizzo, lindirizzo stesso) sono pubblici; ciò che distingue il legittimo proprietario di un indirizzo da tutti gli altri è solo la possibilità di firmare la transazione (operazione che tra laltro comporta la comunicazione della chiave pubblica, altrimenti non avrebbe senso chiedere a qualcuno di firmare qualcosa se poi non si è in grado di verificare la firma). Da notare infine che in tutto questo A non verrebbe nemmeno a conoscenza della chiave privata di x, ma visto che la funzione della chiave privata è solo quella di firmare (e di produrre la relativa chiave pubblica per la verifica) non cambierebbe nulla (se non che lindirizzo x rimarrebbe sicuro dopo il furto, bella consolazione )Non ho capito, firmare un file non significa criptare un hash del file con la propria chiave privata in modo che chi controlla possa risalire allhash e quindi capire che sono stato io a firmare?Se mi danno lhash da firmare io dovrei fare lhash dellhash e crittare quello che non dovrebbe equivalere alla firma del file.Se invece implementa allora è diverso ma mi perdo ... Re: Non firmate digitalmente cose ignote. December 27, 2015, 01:26:26 AM  #15 Quote from: arulbero on December 26, 2015, 11:59:49 PMSpero di spiegarmi ...Da quello che ho capito puoi firmare solo una transazione in ingresso e dirottarla su altro address. Se io svuoto le transazioni in ingresso non possono in alcun modo firmare transazioni che ancora non sono avvenute o sbaglio qualcosa?Ossia: se ho BTC su un address rischio solo se non sposto le transizioni in ricezione. Se lo svuoto e lo riempio non dovrebbe esserci modo per prendere i BTC.Di solito non perdo molto tempo a studiare queste cose (purtroppo non ho lanima da scammer )pero penso che ci siano esempi anche molto piu semplici di social engineering:individuo un tipo X che ha dei wallet pubblicati (ad esempio quelli delle donazioni) con un po di grana dentro.con lausilio di qualche strumento forgio una transazione con tutte le txid dalladdress di X ad uno mio,e gia che ci sono metto anche una lauta fee cosi sono certo che passa velocemente Provo a contattare X e magari blandirlo un po: uh che figata che hai fatto e bla bla bla, vorrei donarti qualcosa, e provo a sparare una supercazzola per farmi firmare qualcosa prima della fantomatica donazione (mi firmi un "autografo"...  devo far vedere al mio capo che ti ho davvero fatto una donazione a questo indirizzo.... boh un po di fantasia)se non becca pazienza, ma se becca (perche non sa di questi pericoli) ...mi faccio firmare la transazione.la sparo in reteciao ciao bitcoin di Xsara perche e tardi e sono un po addormentato... ma secondo me funziona Re: Non firmate digitalmente cose ignote. December 27, 2015, 08:55:17 AMLast edit: December 27, 2015, 11:23:21 PM by arulbero  #16 Quote from: picchio on December 27, 2015, 12:40:47 AMNon ho capito, firmare un file non significa criptare un hash del file con la propria chiave privata in modo che chi controlla possa risalire allhash e quindi capire che sono stato io a firmare?Se mi danno lhash da firmare io dovrei fare lhash dellhash e crittare quello che non dovrebbe equivalere alla firma del file.Se invece implementa allora è diverso ma mi perdo ...Hai ragione tu, mi sono confuso con la blind signature, firmare un file vuol dire ricevere il file "in chiaro", fare lhash del file (1 sola volta) e quindi criptare lhash con la propria chiave privata (anche perchè se fosse altrimenti non si sarebbe mai in grado di sapere che cosa si sta effettivamente firmando). Il problema è che se ti inviano una stringa alfanumerica "in chiaro" non è immediato comunque riconoscere a occhio se si tratta di una transazione o no.EDIT: nel caso particolare della firma di una transazione però, si firma in realtà lhash di un hash (vedi i punti 13,14 e 15 della risposta articolata in 19 punti che si trova qui ). Adesso mi è venuto il dubbio di come funzioni esattamente la firma  EDIT2: allora, in generale lalgoritmo ECDSA prevede che la firma consista nel criptare lhash di un messaggio, nel caso particolare però della firma di una transazione bitcoin si è deciso di fare 2 volte lhash della transazione e poi criptare il risultato ottenuto (per una questione di sicurezza, in questo caso non centra nulla la blind signature) -> Using one round of SHA-256 is subject to a length extension attack, which explains why double-hashing is used. Fonte: Re: Non firmate digitalmente cose ignote. December 31, 2015, 09:11:08 AM  #17  Quote from: Zazzu on December 26, 2015, 09:39:43 PMRestando in tema ho notato che betcoin per il prelievo vuole che verifichi il wallet firmando una stringa alfanumerica, secondo voi è affidabile oppure cè da preoccuparsi?anche io vorrei sapere se cè qualche rischio... Per la richiesta di prelievo su betcoin.tm ho firmato una stringa alfanumerica...ovviamente non avevo letto questo post Re: Non firmate digitalmente cose ignote. December 31, 2015, 09:13:39 AM  #18 Quote from: cicciobtc on December 31, 2015, 09:11:08 AM Quote from: Zazzu on December 26, 2015, 09:39:43 PMRestando in tema ho notato che betcoin per il prelievo vuole che verifichi il wallet firmando una stringa alfanumerica, secondo voi è affidabile oppure cè da preoccuparsi?anche io vorrei sapere se cè qualche rischio... Per la richiesta di prelievo su betcoin.tm ho firmato una stringa alfanumerica...ovviamente non avevo letto questo post Io non sono sicuro di nulla ma nel dubbio trasferirei tutto in altro indirizzo ... Re: Non firmate digitalmente cose ignote. December 31, 2015, 09:51:32 AMLast edit: December 31, 2015, 10:02:55 AM by gbianchi  #19 Quote from: cicciobtc on December 31, 2015, 09:11:08 AM Quote from: Zazzu on December 26, 2015, 09:39:43 PMRestando in tema ho notato che betcoin per il prelievo vuole che verifichi il wallet firmando una stringa alfanumerica, secondo voi è affidabile oppure cè da preoccuparsi?anche io vorrei sapere se cè qualche rischio... Per la richiesta di prelievo su betcoin.tm ho firmato una stringa alfanumerica...ovviamente non avevo letto questo post nella tua domanda ce gia la risposta...mi pare di capire che NON SAI cosa ti fanno firmare... e allora perche dovresti firmarlo ?a parte il rischio e proprio il concetto... perche dovresti firmare un qualcosa di cui non sai il significato ?queta e lennesima pessima abitudine che ci hanno insegnato (in primis le banche, le assicurazioni ecc)che andrebbe ERADICATA. Re: Non firmate digitalmente cose ignote. December 31, 2015, 11:23:36 AM  #20 Quote from: cicciobtc on December 31, 2015, 09:11:08 AM Quote from: Zazzu on December 26, 2015, 09:39:43 PMRestando in tema ho notato che betcoin per il prelievo vuole che verifichi il wallet firmando una stringa alfanumerica, secondo voi è affidabile oppure cè da preoccuparsi?anche io vorrei sapere se cè qualche rischio... Per la richiesta di prelievo su betcoin.tm ho firmato una stringa alfanumerica...ovviamente non avevo letto questo post Come ti ha detto anche gbianchi firmare qualcosa che non si capisce non ha senso (va proprio contro il principio della firma, che significa "io sottoscrivo - quindi comprendo e sono d"accordoautorizzo - ciò che cè scritto nel messaggio").Ultimamente ho notato che, anche qui nel forum, la firma dei messaggi viene utilizzata soprattutto per verificare in modo indiretto unidentità (se sono in grado di firmare un qualsiasi messaggio allora io sono il proprietario di questo indirizzo), e spesso passa in secondo piano il messaggio vero e proprio, che deve essere sempre chiaro, anche se spesso inutile nel contenuto, a chi firma.Come strumento minimo (ma non credo sufficiente) di salvaguardia, bisognerebbe almeno provare a incollare la stringa alfanumerica proposta qui-> o qui -> per verificare che non si tratti di una transazione, ma comunque ripeto come principio generale proprio non capisco per quale motivo uno dovrebbe essere indotto a firmare qualcosa che non è in grado di capire. Sondaggio: La vostra opinione su una carta ricaricabile con Bitcoin? December 15, 2015, 03:42:40 PMLast edit: January 21, 2016, 07:58:58 PM by HostFat  #1 Questo è un piccolo sondaggio sullargomento carte ricaricabili, trattate in questa discussione:s:bitcointalk.orgindex.php?topic=787292.0 Re: La vostra opinione su una carta ricaricabile con Bitcoin? December 15, 2015, 03:47:39 PM  #2 Ho lADVCASH, tutto molto bello Re: La vostra opinione su una carta ricaricabile con Bitcoin? January 21, 2016, 07:54:00 PM  #3 Altri voti? multisign escrow January 19, 2016, 08:15:40 PM  #1 Cè qualcuno così gentile da spiegarmi dettagliatamente come funziona logicamente, cioè come programmarlo, o che riesca a linkarmi una guida (o un source da vedere) a riguardo?Avrei intenzione di programmare un escrow multisign per un mio amico ma è più difficile del previsto.Grazie in anticipo per le risposte. Re: multisign escrow January 20, 2016, 02:41:25 PM  #2 guadagnare bitcoin all'istante

Comments

Post a Comment

Popular posts from this blog

schnell

Image
October 09, 2010, 08:41:02 PM   ICH!Superidee!Wir brauchen ein Portal welches Bundesliga, Nationalmannschaft im Fussball, aber auch am besten Formel 1 usw abdeckt.Das muss kein rein deutsches wettportal sein (es kann idealerweise eine europaeische globale plattform sein)BWIN for bitcoins= BTCOINWIN Re: German = Deutsch October 10, 2010, 10:38:55 PM   Wurde bitcoin das erste mal auf deutsch hier erwähnt? http:www.chemieonline.deforumshowthread.php?t=161727Dort bat jemand um eine Spende für eine Antikrebsmaschine ... Mediziner hier?------------------------------------------------------------------------------------------------------------Ich wollte bei ebay-kleinanzeigen 50 BC verschenken, antwort von ebay:Da wir nicht nur Verlinkungen zu anderen Webseiten aber auch jegliche Form von Geld- oder Kreditdienstleistungen auf unserer Plattform verbieten, können wir Ihre Anzeige leider auch nach Entfernen der Internetverlinkung nicht wieder freischalten.Wir würden uns freuen, wenn Sie erneut
Read more